之前小編曾經寫過兩篇關於 WordPress 防黑的教程,分別是 《WordPress 網站終極防黑手冊,全方位保護網站安全 (一) 》以及 《WordPress 網站終極防黑手冊,全方位保護網站安全 (二) 》。其實在第一篇防黑教程中小編提到過 WordPress 爆路徑的問題,並且給出了隱藏 WordPress 程序路徑的方法。但是昨天小編在研究 WordPress 鏈接重寫時發現另一個 WordPress 的程序路徑泄露 bug,如下圖:
如上圖所示,如果目標站是 WordPress 搭建的網站,我們只要訪問 http://目標站.com/?robots=1 則會看見如上所示的,WordPress 系統生成的默認的 robots.txt 文件。而該內容信息則是
User-agent: * Disallow: /WordPress 系統所在目錄/wp-admin/ Disallow: /WordPress 系統所在目錄/wp-includes/
這樣也就暴露了 WordPress 程序所在目錄,可以被黑客利用來進一步對網站實施攻擊。解決方法很簡單隻要在主題的 functions.php 文件中加入以下代碼即可:(感謝 @源碼集合 的提醒,代碼已更新。)
//解決 robots 爆路徑
$bots = $_GET['robots'];
if (!$bots){}
else {
echo '<head><meta http-equiv="Content-Type" content="text/html; charset=utf8"/></head>';
echo '請勿試圖攻擊本站!';
exit;
}
至於怕爬蟲抓取了系統的 php 文件可以在 robots.txt 里加入以下代碼:
Disallow: /*.php$
另外 WordPress 還有個泄露當前系統版本號的 bug,只需要訪問以下鏈接:
http://目標站.com/?rss=feed2
則會在該頁面看到如下內容:
在該頁面可以看到當前 WordPress 系統的版本號,這樣黑客就可以利用已知的漏洞來對網站進行攻擊,修復方法,只需要在當前 WordPress 主題的 functions.php 文件加入以下代碼:
//去除版本信息
function wxd_remove_version() {
return '';
}
add_filter('the_generator', 'wxd_remove_version');
這樣即可防止 WordPress 的 feed 頁面泄露系統信息了。