不是很想評價這背後的問題,就事論事,WordPress 4.7 的漏洞問題怎麼可能會出現在 6.8 裡面?,不過既然被網安系統掃描提到讓整改,那就改吧。
早上接到網安大隊通知,說是接收到上級檔案說發現了我們一個網站有安全漏洞,需要進行整改報告,我瞄了一眼檔案就發現這肯定是純機器掃描的,而且還是老機器。
漏洞描述:WordPress 在 4.7.0 版本存在漏洞,可以繞過管理員許可權檢視 WordPress 上所有釋出過文章的使用者 id 與使用者資訊。
解決方案:升級至最新版本。
建議網安部門對上述 WEB 漏洞隱患開展偵察調查。指導相關單位及時排查類似整改風險隱患,修補系統漏洞,加強網路安全防護。請相關單位對網站進行即時監測,第一時間發現漏洞隱患,及時處置,避免造成網路安全危害。
WordPress 4.7 都已經是快十年前的老版本了,怎麼可能現在有漏洞我們還在用?實在是有些無語,但是工作任務來了就還是改吧。
如果你有遇到類似的情況和問題,用下面的程式碼,加入到 WordPress 主題的 function.php 就可以遮蔽到系統的使用者 API 介面。
// 停用使用者列表 REST API
add_filter('rest_endpoints', function($routes) {
if (isset($routes['/wp/v2/users'])) {
unset($routes['/wp/v2/users']);
}
if (isset($routes['/wp/v2/users/(?P<id>[\d]+)'])) {
unset($routes['/wp/v2/users/(?P<id>[\d]+)']);
}
return $routes;
});下面的檔案是提交的報告,這裡公開給客戶和 WordPress 使用者打個樣,如果你遇到類似的問題,可以根據下方的檔案內容和格式進行回覆。
如果非此問題,比如網站被黑,被網安要求整改還有其他較為複雜的情況,可以聯絡薇曉朵客服給到協助,簡單的可以問題會基於幫助,複雜的會按對應的問題計費。
國內已備案的 WordPress 網站一定要記得勤更新和備份,如果有問題了要第一時間處理,避免類似情況真實發生,網路安全無小事。