wordpress

wordpress WP_Image_Editor_Imagick 指令注入漏洞之临时修复

星期四, 五月 19th, 2016 | php, wordpress | 2 Comments

imagick的漏洞最近闹的沸沸扬扬,我自己一直也没有特别关注,主要是我也没有对应的使用此功能做在线web图片的处理.

有用的情况下也是之前的一个内网项目做过图片的快速处理.

耐不住阿里云的安骑士的 友情提醒我的此漏洞,我惶恐的去查了下服务器的配置根本就没有发现 imagick 的扩展.

具体PHP支持开启 imagick 的扩展可以参照这篇文章 Centos 下编译PHP图片扩展库 ImageMagick、MagickWandForPHP、imagick

但是漏洞还是要修复的,要不老是 邮件 短信提醒的多可怕

提示如下:
漏洞名称:wordpress WP_Image_Editor_Imagick
指令注入漏洞补丁编号:4547205
补丁文件:../wp-includes/media.php
补丁来源:云盾自研
更新时间:2016-05-19 11:06:18
漏洞描述:该修复方案为临时修复方案,可能存在兼容性风险,为了防止WP_Image_Editor_Imagick扩展的指令注入风险,将wordpress的默认图片处理库优先顺序改为GD优先,用户可在/wp-includes/media.php的_wp_image_editor_choose()函数中看到被修改的部分

解决方法:
其实提示的临时修复方式也很简单,我自己没有购买付费服务就按照他的提示自己手工修复下,然后验证下,OK 显示已经修复

1
2
3
4
 $implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_GD' ) );
 
 //注释掉下面一行,换成上面一行即可,其实就是关闭了Imagick的作为备选项的功能了 easy吧
 //$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

Tags: , ,

Gravatar头像显示的简便方便之WordPress开发

星期一, 六月 29th, 2015 | wordpress | 没有评论

Gravatar的头像不显示,出现个xx感觉很不舒服,想法解决;
最简单的方式是使用https的方式去显示:

调用ssl 头像链接,后台编辑functions.php加入如下代码:

1
2
3
4
5
6
//调用ssl 头像链接
function get_ssl_avatar($avatar) {
   $avatar = preg_replace('/.*\/avatar\/(.*)\?s=([\d]+)&.*/','<img src="https://secure.gravatar.com/avatar/$1?s=$2&d=mm" class="avatar avatar-$2" height="$2" width="$2">',$avatar);
   return $avatar;
}
add_filter('get_avatar', 'get_ssl_avatar');

Tags: ,

wp升级小计

星期二, 四月 28th, 2015 | wordpress | 没有评论

风险提示wp4.0的版本有xss的匿名评论的漏洞,要赶快打补丁

就升级了,下载最先的版本,覆盖即可,登录后台点击升级搞定;

记得后台关闭 表情的功能,否则就等着一直load那些我们无法访问的表情图片吧

没有遇到诡异的事情,聊记一下

Tags: ,

WP-Syntax代码高亮插件的美化和难选中修复

星期三, 一月 14th, 2015 | html5, pagemaker, wordpress | 没有评论

上次发了一个服务器安装的配置脚本信息,由于脚本比较多,发现浏览的时候用鼠标很难选择一直不知道是什么原因;

期间尝试了去除ad广告部分和统计的js代码,可是问题依旧,无意间更换了wp-syntax的css文件竟然解决了此问题;

也不太想深究其中原因,只把美化后的css代码贴出:
这一段代码替换wp-syntax/css/wp-syntax.css里的内容即可
› Continue reading

Tags: ,

wordpress升级避免被扫描和替换googleapis加快访问

星期一, 九月 1st, 2014 | wordpress | 没有评论

最近看了下服务器的访问日志,发展正儿八经的访问博客网站的流量没有多少,一堆东欧过来的ip地址 不停的尝试 xmlrpc.php进行提交数据,破解网站等操作,
移除此文件或者禁止访问该文件没有多大用处,他们还是会继续执行.

后来在网上查了下,是3.5之前的wordpress有这个漏洞,果断升级成新版本到3.9.2,等到今天再查的时候已经停止对我网站的 扫描了.

另:发现由于不能访问googleapis.com网站造成后台的速度好慢,替换成国内的地址,就ok了

修改 wp-includes/script-loader.php 下搜索googleapis,替换成useso解决问题. 对360赞一个,提供了useso.com 镜像了常用的googleapis.com服务.

Tags: ,

wordpress防止xmlprc.php大量消耗服务器资源

星期一, 八月 25th, 2014 | linux, wordpress | 没有评论

最近发现访问自己的blog网站的时候,变的很慢,有时候居然无法响应;
到服务器跟踪了下访问日志,有大量的提交到xmlrpc.php的操作,ip地址也是不段变化中.

搜索了下看原理可以利用此漏洞文件进行http的DDOS攻击,还有可能被破解用户口令密码.
也没有什么高招 ,只是 删除文件或者拒绝访问即可(至少不再消耗php解析资源)
解决办法:
› Continue reading

Tags: , ,

防止暴力破解wordpress的后台帐号

星期五, 一月 17th, 2014 | wordpress | 没有评论

今天无意中查看了后台日志,发现好多POST提交到wp-login.php的信息,不用想肯定有人在不停的试验去破解对应的管理员帐号信息了.
还好我的管理员的密码够复杂.不过看着不放心,就把此文件给随便改个名字,在把此文件中的提交地址都换成新的名字就可以新登录了,
还要记得顶部的登出也要更改啊

Tags:

清除wordpress无用的sql信息

星期日, 一月 12th, 2014 | wordpress | 没有评论

直接上sql代码了

DELETE FROM wp_posts WHERE post_type = 'revision';
DELETE FROM wp_posts WHERE post_status = 'draft';
DELETE FROM wp_posts WHERE post_status = 'auto-draft';
DELETE FROM wp_comments WHERE comment_approved = '0';
DELETE FROM wp_comments WHERE comment_approved = 'spam';
DELETE FROM wp_comments WHERE comment_approved = 'trash';
DELETE pm FROM wp_postmeta pm LEFT JOIN wp_posts wp ON wp.ID = pm.post_id WHERE wp.ID IS NULL;
DELETE FROM wp_commentmeta WHERE comment_id NOT IN (SELECT comment_id FROM wp_comments);
DELETE FROM wp_term_relationships WHERE term_taxonomy_id=1 AND object_id NOT IN (SELECT id FROM wp_posts);
DELETE FROM wp_options WHERE option_name LIKE '_site_transient_browser_%' OR option_name LIKE '_site_transient_timeout_browser_%' OR option_name LIKE '_transient_feed_%' OR option_name LIKE '_transient_timeout_feed_%';
优化数据表,可以用以下的语句:
 
OPTIMIZE TABLE wp_commentmeta; 
OPTIMIZE TABLE wp_comments; 
OPTIMIZE TABLE wp_links;
OPTIMIZE TABLE wp_options;
OPTIMIZE TABLE wp_postmeta;
OPTIMIZE TABLE wp_posts;
OPTIMIZE TABLE wp_terms;
OPTIMIZE TABLE wp_term_relationships;
OPTIMIZE TABLE wp_term_taxonomy;
OPTIMIZE TABLE wp_usermeta;
OPTIMIZE TABLE wp_users;

Tags:

使用qq互联api实现wordpress网站的会员的绑定登录

星期日, 一月 27th, 2013 | wordpress | 3 Comments

一直想用qq的帐号直接登录网站,方便用户注册,不过对应自己的一个blog网站又感觉没有必要.

思来想去终于想到一个让自己能接受的理由完成此功能的开发,即 用qq帐号快速登录于本站点的帐号相关联起来,

以后自己只要开着qq就可以直接登录网站进行写文章,不需要再记忆原来的密码.

功能已经实现,现在自己的已经绑定好了,周同学要是也想用的话,可以直接点击右侧的qq登录使用,我做了对应的绑定帐号验证功能.

好像wordpress也有对应的插件,不过自己喜欢动手嘛,用着舒服,也顺便看看qq互联的api和wordpress对应用户的验证和登录的控制.

OK, 结束.

Tags: , , ,

遭遇要执行请求的操作,wordpress需要访问您网页服务器的权限

星期三, 十一月 28th, 2012 | php, wordpress | 没有评论

最近折腾了下wordpress,记录碰到的各种问题的解决之法:
换了独立的vps机器后,在后台自动升级的时候遭遇 到要执行请求的操作,wordpress需要访问您网页服务器的权限 到这个;

这个界面只会出现在PHP进程不是以用户身份来运行的主机上,也就是你的服务器运行PHP的用户和WP文件夹的所有者不一样,
目的就是为了安全,wordpress在升级时会创建一个临时文件看看owner是不是和当前运行的php是否一样,如果不一样,就会出现这个界面。
› Continue reading

Tags:

Rss

Search

文章分类

Meta