阿里云服务器WordPress WP_Query SQL注入漏洞修复

原创 攻城师  2017-02-14 12:53  阅读 1,462 次 评论 0 条
行云管家,新手有礼

近日,阿里云服务器上运行的wordpress系统爆出了SQL注入漏洞,阿里云安骑士检测出了该漏洞。

WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。WordPress wp-includes/class-wp-query.php存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。目前,供应商发布了安全公告及相关补丁信息,修复了此漏洞。

由于该漏洞危害程序高,建议所有的wordpress站长都尽快升级到最新版本。

该漏洞具体信息

CNVD-ID CNVD-2017-01227
发布时间 2017-02-13
危害级别 (AV:N/AC:L/Au:N/C:P/I:P/A:P)

影响产品 WordPress WordPress <4.7.2
BUGTRAQ ID 95816
CVE ID CVE-2017-5611
漏洞描述 WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站。WordPress wp-includes/class-wp-query.php存在SQL注入漏洞,允许远程攻击者利用漏洞提交特制的SQL查询,操作或获取数据库数据。
漏洞类型 通用软硬件漏洞
URL
参考链接 http://www.openwall.com/lists/oss-security/2017/01/28/5
漏洞解决方案 用户可参考如下厂商提供的安全补丁以修复该漏洞:
https://codex.wordpress.org/Version_4.7.2
漏洞发现者 Ian Dunn of the WordPress Security Team
厂商补丁 WordPress WP_Query SQL注入漏洞的补丁
验证信息 (暂无验证信息)
报送时间 2017-02-06
收录时间 2017-02-12
更新时间 2017-02-12
漏洞附件 (无附件)

漏洞修复方法

更新wordpress至4.7.2最新版本

升级方法

wordpress升级有两种方法,自动升级和手动升级。

更新之前一定记得备份网站,谁也保不准在升级过程中会出现什么情况,这里也简单说一下如何备份:
第一:备份网站源码。方法很简单,通过FTP或者其他工具,把你的网站所有源代码都下载到本地;
第二:备份数据库。一般都用PHPmyadmin来备份数据库,在数据库管理界面右上角有一个【导出】按钮,选择后点【执行】,就能自动帮你下载下备份文件。或者用mysqldump导出数据库。

自动升级

官方发布更新的时候都会在你的后台仪表盘给出通知,比如这样:

点击【更新】后就会出现下图:

点击【现在更新】,网站开始自动更新,不出意外的话一分钟左右页面自动跳转到WordPress新版本介绍界面,说明升级成功。

但是有时候因为网络环境不好或者服务器响应太慢等原因,自动升级到一半就中断了,造成更新失败,这时你可以返回到更新界面重试一遍自动更新。如果提示你“另一个更新正在进行”,就用PHPmyadmin或其他软件进入数据库管理,打开wp_options数据表,然后找到core_updater.lock字段,删除掉即可。如果多次尝试自动更新还是无法更新或者更新失败,那就只能进行手动更新。

select * from wp_options where option_name='core_updater.lock';
delete from wp_options where option_name='core_updater.lock';

手动升级更新方法

1、备份程序文件和数据库。
2、下载最新的 WordPress 程序。
3、解压下载后的zip文件,删除压缩包里的wp-content文件夹。
4、上传wordpress文件夹下所有内容覆盖掉服务器上原有的文件。
5、运行http://网站域名/wp-admin/upgrade.php 执行升级程序。
6、提示:WordPress已升级,我们需要接着升级您的数据库。
7、成功:升级完成,您的WordPress数据库已成功升级。

 

本文地址:https://www.cloudbility.com/club/1453.html
关注我们:请关注一下我们的微信公众号:扫描二维码,公众号:cloudbility
版权声明:本文为原创文章,版权归 攻城师 所有,欢迎分享本文,转载请保留出处!

发表评论


表情