商丘做网站,商丘网站优化,商丘网络推广,商丘网络公司
当前位置:首页 > 新闻资讯 > 建站经验 >

「福建网络推广」WordPress4.9 最新版本网站安全漏洞详情与修复

发表日期:2018-09-03 14:27聚圣源浏览次数: 本文关键词:seo,福建,网络推广,优化,WordPress4.9,最,

  wordpress 目前互联网的市场占有率较高,许多站长以及建站公司都在使用这套开源的博客建站系统来设计网站,wordpress的优化以及html静态化,深受google以及搜索引擎的喜欢,全世界大约有着百分之28的网站都在使用这套系统,国外,外贸网站,个人博客使用的最多。

  我们SINE安全在对其wordpress网站进行详细的安全检测以及网站漏洞检测,发现wordpress存在着高危的网站安全漏洞,在wordpress4.9版本一下存在着管理员密码找回漏洞,可以在找回密码的过程中窃取用的密码资料,可以先人一步对其找回的密码进行设置。

  WordPress 漏洞详情

  在该系统代码里我们发现wp_mail这个函数具体的作用是用来发送邮件,用户找回密码首先会发送邮件过去,确认账号的所有者,然后再进行重新设置密码,但是在这个找回密码发送邮件的过程中,我们发现,代码里的发送服务器地址:server这个值里是可以伪造的,也就是说我们可以构造恶意的函数来对其进行sql注入以及查询数据库里的账号密码。

「福建网络推广」WordPress4.9 最新版本网站安全漏洞详情与修复

  在正常的情况下,网站发送邮件的参数配置里会把退件的一个地址作为用户密码找回的时候,如果没有发送到对方的邮件里,会直接退回到退件的邮件地址里去,也就是说我们可以设置退件的地址发送到我们设置好的邮件地址里去,我们来进行重新找回密码,设置用户的新的密码。

  我们首先利用阿里云的服务器,ECS购买一个按量付费的国内服务器,linux centos系统,然后安装nginx+PHP+mysql数据库的这么一个网站环境,再下载WordPress官方的一个版本,安装到服务器中,我们来现场实战一下:如下图:

「福建网络推广」WordPress4.9 最新版本网站安全漏洞详情与修复

  我们创建一个我们自己的邮箱,在服务器里搭建好邮箱的环境,开启stmp25端口,然后抓包WordPress找回这里,远程代码执行我们的操作,如下图:

  这里我们提交到我们的网站里去,邮件没有发送成功就会退送到我中山们远程代码指定好的邮件地址里去的.

「福建网络推广」WordPress4.9 最新版本网站安全漏洞详情与修复

  然后如果邮件里没有用户密码找回的链接,我们可以通过查看源代码或者是html代码就可以看到重新设置用户密码的链接。

「福建网络推广」WordPress4.9 最新版本网站安全漏洞详情与修复

  WordPress 网站漏洞修复建议:

  建议各位网站的运营者尽快升级WordPress到最高版本,或者是关闭用户密码找回功能,对网站程序代码不懂的话,也可以直接关闭邮件的发送设置,还是不太懂的话,建议找专业的网站安全公司进行网站漏洞修复,国内SINE安全公司、以及绿盟、启明星辰都是比较专业的。

如没特殊注明,文章均来自网络! 转载请注明来自:http://www.jushengyuan.com.cn/news/jzjy/10558.html

网站设计案例推荐

热门文章

站长工具综合查询里面SSL证书不...

SSL证书不安全是怎么回事?但是点进去这个提示后,显示的是别人的tdk是不是被劫持或者被黑了?...

日期:2018-03-27 浏览次数:2018

简洁而实用的版权信息可增色网...

打开网站,人们自然会从上往下浏览,首先映入眼帘的一定是BANNER主视觉,然后是网站主体内容部分。相比较而言,注意到网站底部版权信息的浏览者确实不多,但这并说明网站版权信...

日期:2018-09-20 浏览次数:1897

网站设计需要注意的3点问题...

对于网站设计来讲会受到很多因素的影响,而且不同类型的网站,在设计时需要体现的元素也不一样,比如说对于一个企业网站更想体现出品牌以及产品的特点,主要是对产品、企业信...

日期:2018-02-12 浏览次数:1820

企业网站为什么要改版 改版选择...

网站改版,是每个建站企业必须面临的工作。相信也有不少站长问,已经做好的企业网站,为何还要大费周章重新进行改版设计呢?下面小编就来给大家说说,企业究竟为什么要改变,并...

日期:2018-03-26 浏览次数:1354

永城网站制作:模板建站不可不...

随着互联网建站尤其是自助建站热潮不断高涨,建站行业涌现出越来越多的自助建站平台,这些平台普遍都提供网站模板可选。...

日期:2018-04-30 浏览次数:950

相关文章

「建昌县seo」阿里云ECS 被植入挖...

阿里云ECS办事器是现在许多网站客户在利用的,可以利用差别体系在办事器中,windows2008 windows2012,linux体系都可以在阿里云办事器中利用,...

日期:2019-06-17 浏览次数:72

「荣县seo」企业网站建设教程:...

当今网络期间,企业网站的紧张性不言而言,许多在企业在阿里巴巴这些b2b平台都市有一个商店,这些商店会分派一个简朴的网站临时一...

日期:2019-06-17 浏览次数:68

「通城县seo」网站建设对于企业...

处在如许一个信息化期间,尤其是当移动互联网遍及之后,每小我私家的生存里都已经无法缺少网络了,这对付企业来说也是一样。现在...

日期:2019-06-17 浏览次数:67

「郓城县seo」关于中国移动宽带...

从前只是听说过, 也知道长城防火墙屏蔽外洋的一些网站 ,大概说屏蔽一些不太好的网站 ,但是呢,小编诺伊网也没留意到毕竟是怎么...

日期:2019-06-17 浏览次数:65

「临汾市seo」网站建设首页设计...

网站首页的紧张性不问可知,现在网站优化目的页80%以上都是首页,这就意味着,当有生疏访客进入网站的时间,他们百分之八十的几率...

日期:2019-06-17 浏览次数:66

随机推荐

OpenSNS系统评测:社群经济的第一...

商丘服饰:做的新网站,上线2个...

商丘做网站:baocms系统6.4独创城...

建站不求人:详解一个网站的诞...

如何做好联系我们界面网站设计...

做淘宝客网站,选择比努力更重...