Loading [MathJax]/jax/output/CommonHTML/config.js

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

社区首页 >专栏 >wordpress页面异常导致本地路径泄漏

wordpress页面异常导致本地路径泄漏

作者头像

WindCoder

发布于 2018-09-19 10:13:08

发布于 2018-09-19 10:13:08

98100

代码可运行

举报

文章被收录于专栏：WindCoderWindCoder

运行总次数：0

代码可运行

之前用360检测到如下错误，类似的出现过好几次了，暂且记录下来，路径用的其他地方的，但问题及解决办法是一样的。

注：以下方案仅在使用虚拟机无法改php等配置的网站上实验过。

问题

http://localhost/blog/wp-includes/registration-functions.php 页面出现 Fatal error: Call to undefined function _deprecated_file() in /Users/yuexiaosheng/WEB/php/blog/wp-includes/registration-functions.php on line 8

解决方案

在出问题的php文件里

1.加访问控制

if(!defined('WP_USE_THEMES'))
{
exit('Hello world!');
}

exit中的语句应该可以随便改，这仅是一个输出语句。

效果图：

2.加@

@_deprecated_file( basename(__FILE__), '2.1', null, __( 'This file no longer needs to be included.' ) );

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

原始发表：2014-08-18，如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

评论

登录后参与评论

暂无评论

编辑精选文章

换一批

万字详解高可用架构设计

Go 开发者必备：Protocol Buffers 入门指南

10分钟带你彻底搞懂分布式链路跟踪

多租户的 4 种常用方案

亿级月活的社交 APP，陌陌如何做到 3 分钟定位故障？

60页PPT全解：DeepSeek系列论文技术要点整理

每天一个WordPress文件：index.php

php 渲染 wordpress 客户端数据

第一个当然是介绍 index.php，WordPress 根目录下面的 index.php 是 WordPress 的最重要的一个文件，根据基本的 htaccess 规则：

Denis

2023/04/15

7671

360安全扫描之WordPress 页面异常导致本地路径泄漏的漏洞修补

安全 php 安全漏洞

今天头脑一热到360安全检测那里去为自己的网站进行安全扫描了一番。上次扫描还是一年前，当初扫描一个网站是 94 分，那时候还不懂代码，就这么挂着，被360 公开着。今天的扫描发现了两个漏洞，评分 91 。为了光鲜的 100 ，Jeff决定今个儿决定要解决了这些漏洞。主题 index.php 文件的页面异常导致本地路径泄漏的漏洞修补其中一个漏洞是页面异常导致本地路径泄漏，就是打开 http://域名/wp-content/themes/主题/ 这个路径会跳出个错误提示，然后这个提示就会泄露你的服务器路径。

Jeff

2018/01/19

1.3K0

360安全扫描之WordPress 页面异常导致本地路径泄漏的漏洞修补

Wordpress <= 4.9.6 任意文件删除漏洞

php html https http 数据库

meta['thumb']来自与数据库，是图片的属性之一。代码未检查meta['thumb']的内容，直接带入unlink函数，如果

逍遥子大表哥

2021/12/17

1.3K0

Wordpress <= 4.9.6 任意文件删除漏洞

WordPress程序文件功能介绍（WP程序开发必备）

php wordpress 网站建设 http 数据库

WordPress程序文件功能介绍（WP程序开发必备）。了解一下 WordPress程序文件的功能，对于Wordpress二次开发还是很有必要。

主机教程网2bcd.com

2022/11/04

8720

WordPress程序文件功能介绍（WP程序开发必备）

wordpress在线用户统计插件

https://www.123pan.com/s/99w9-n4rRh?提取码:66ke

用户1287596

2024/10/05

790

WordPress显示访客UA信息：Show UserAgent纯代码轻度汉化版

前几天在修复留言日期显示错误的问题时，突然觉得可以在这个位置集成一下访客信息，因为见到过不少博客的留言板都有了类似的功能。经过搜索、测试并筛选，最终选定了 Show UserAgent 这款插件。在本地测试了一下，感觉还不错！一、强迫症在我熟悉了 WordPress 插件机制后，我总是强迫症的想将插件修改为代码集成。实际上插件和代码的差别只在于代码不需要用到一些钩子动作（hook action）和选项数据（option data）。很多人说插件用多了会拖慢速度，没错是有这么回事，但是如果你把同样数量的插

张戈

2018/03/23

1.3K0

WordPress显示访客UA信息：Show UserAgent纯代码轻度汉化版

WordPress Catch Themes Demo 导入 Shell 上传

https 网络安全 html

此模块需要 Metasploit：https://metasploit.com/download

Khan安全团队

2022/01/14

3950

每天一个WordPress文件：wp-config.php

php 数据库 wordpress config 后台

wp-config.php 是 WordPress 用来保存配置信息的地方，包含网站的基础配置详细信息（如数据库连接信息），它是 WordPress 最重要的文件之一，该文件位于 WordPress 文件目录的根目录中。

Denis

2023/04/15

8210

获取 WordPress 路径和 URl 地址的函数大全

wordpress 玩转wordpress

为了 WordPress 更快的运行直接写了绝对地址，其实是不好的，如果修改了 WordPress 程序的地址，编写的这个插件或者是主题就只有你自己用，别人无法使用，为了避免错误，了解 WordPress 中与获取路径相关的函数很重要。

Yangsh888

2022/03/28

2.1K0

如何删除WordPress 的“多站点”模式（multisite）？

WordPress 中有一个“多站点”模式（multisite），即通过一个WordPress 程序管理多个站点。其默认是不开启的，如果你开启了但又想恢复为原来的“单站点”模式，该如何做？（注意：本文不会说明如何开启WordPress 的“多站点”模式，若不知，请自行搜索。）步骤如下： 1、备份网站数据！（安全第一，有备无患）； 2、通过ftp 或者在线修改或者下载修改又上传等方式对WordPress 安装根目录下的 wp-config.php 进行操作； 3、删除下的代码： define( 'M

Jeff

2018/01/19

1.5K0

WordPress主题下funtions.php的一段“恶意”代码

wordpress php html

不多说了，相信有很多WordPresser都知道这段在WordPress主题下fountions.php的“恶意”代码，之所以为“恶意”加个双引号是想说：其实也不算太“恶意”，对你的伤害只是两点：1、感染wp-content\themes\下所有主题的fountions.php文件；2、以当前被感染博客的主页URL为标题和内容，向　livethemas@gmail.com发送邮件。已经知道的就不用往下看啦，还不知道的快去你的主题fountions.php检查有木有，有的话赶快删除之。话说这段恶意代码还真够长

Jeff

2018/01/19

1.2K0

WordPress5.0 远程代码执行分析

网络安全安全 wordpress 网站建设 http

2019年2月19日，RIPS 团队官方博客放出 WordPress5.0.0 RCE 漏洞详情，漏洞利用比较有趣，但其中多处细节部分并未放出，特别是其中利用到的 LFI 并未指明，之后网络上很多所谓的漏洞分析文章，多数对 LFI 并未分析，遂想一探究竟，并将自己的分析过程记录下来。

信安之路

2019/03/12

1.4K0

WordPress5.0 远程代码执行分析

CVE-2018-6389: WordPress <= 4.9.x 拒绝服务(DOS)漏洞

php python wordpress https 网站建设

在文件 WordPress/wp-admin/load-scripts.php 中：

逍遥子大表哥

2021/12/17

1K0

CVE-2018-6389: WordPress <= 4.9.x 拒绝服务(DOS)漏洞

WordPress4.2升级修复补丁：解决大量404请求以及评论表情路径及尺寸异常问题

上一篇文章写到了 WordPress 升级 4.2 版本后部分主题出现了大量 404 请求的问题，匆忙解决也没深究原因。今天继续调试主题却发现了评论表情不显示了，看来又是 4.2 惹的祸了！于是埋头

张戈

2018/03/23

1.2K0

WordPress4.2升级修复补丁：解决大量404请求以及评论表情路径及尺寸异常问题

WordPress 添加投稿功能

WordPress网站开放投稿功能，接受读者的投稿。但WordPress本身并不提供投稿功能，只拥有强大的扩展能力，我们可以自己添加这个投稿功能。

阳光岛主

2019/02/18

1.6K0

提高 WordPress 安全性，移除页面头部版本和服务发现代码

wordpress 安全服务客户端软件

WordPress 会在页面的头部输出版权信息和其他服务发现代码，版权信息代码会让用户知道你的目前运行的 WordPress 的版本，而服务发现代码则可以说明你的博客支持哪些服务。

Denis

2023/04/13

2820

Wordpress <= 4.9.6 任意文件删除漏洞

本文转载自：Wordpress <= 4.9.6 任意文件删除漏洞 -http://blog.vulnspy.com/2018/06/27/Wordpress-4-9-6-Arbitrary-File-Delection-Vulnerbility/

Ambulong

2018/06/27

2.2K1

WordPress <= 4.9.6 任意文件删除漏洞

该漏洞出现的原因是由于在 WordPress 的wp-includes/post.php文件中wp_delete_attachement()函数在接收删除文件参数时未进行安全处理，直接进行执行导致。

iDavid丶

2018/07/14

9811

WordPress <= 4.9.6 任意文件删除漏洞

WP Super Cache静态缓存插件纯代码版（兼容多域名网站）

缓存 wordpress php 网站建设

中午，小熊发来一篇来自歧路亡羊博客的精彩教程：《wordpress 利用代码来实现缓存》。粗略看了一下，发现这个代码在几个月之前我就用过，不过由于此代码无法区分多个域名，从而会导致移动站无法跳转的情况。我利用午休的时间，仔细看了下这篇文章，发现博主在原代码的基础上，还加上了自动刷新缓存的机制，不过貌似是和 WP Super Cache 插件一样，只要更新文章，就会清除所有缓存，感觉不太适合我。不过，这篇文章还是激发了我兴趣。折腾了几个月，我现在也能基本看得懂 PHP 了，所以决定把这个代码修改一下，让它

张戈

2018/03/23

2.2K0

WP Super Cache静态缓存插件纯代码版（兼容多域名网站）

Wordpress安全架构分析

wordpress 安全 php 云数据库 SQL Server

WordPress是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统。WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月，约22%的新网站采用了WordPress。WordPress是目前因特网上最流行的博客系统。

Seebug漏洞平台

2018/03/16

1.7K9

Wordpress安全架构分析

相关推荐

每天一个WordPress文件：index.php

更多 >

LV.0

这个人很懒，什么都没有留下～

作者相关精选

换一批

目录

问题

解决方案
- 1.加访问控制
- 2.加@

加入讨论

的问答专区 >

派大星的数据屋0

1高级数据分析师擅长5个领域

相关课程

一站式学习中心 >

Python教程-Django框架快速入门到实战

微信小程序学习路径课

云开发 CloudBase

小程序·云开发

微信小程序

💥开发者 MCP广场重磅上线！

精选全网热门MCP server，让你的AI更好用 🚀

本文部分代码块支持一键运行，欢迎体验

本文部分代码块支持一键运行，欢迎体验