修复wordpress插件编辑器漏洞

具体方法,将下面的代码添加到您的配置文件 wp-config.php中:

define( ‘DISALLOW_FILE_EDIT‘, true );

以此关闭插件编辑器功能,一切就这么简单,漏洞也就不存在了。

原文地址:https://www.cnblogs.com/xinlvtian/p/8366061.html

时间: 2024-08-30 09:17:07

修复wordpress插件编辑器漏洞的相关文章

不使用插件实现对WordPress默认编辑器的增强

四处寻觅无果.无意看了一下wordpress官方的API函数.苍天有眼啊!原来,后台的编辑器可以插入很多增强功能.果断卸载掉CK and SyntaxHighlighter编辑器插件.事实上,Wordpress的编辑器很强大,几乎包含所有的编辑器按钮.只是程序默认的功能比较少而已吖! 马上为自己的wordpress默认编辑器添加了常用的实用功能做下测试,效果还真是很不错的吖.哈哈看图! 是不是和默认的那个简陋的编辑器不一样呢?最后一行功能是用代码加上的.这些功能默认编辑器是没有的!只是我们需要把

WordPress插件Social Warfare<=3.5.2 无需登录RCE漏洞

该漏洞只存在于Social Warfare插进的3.5.0.3.5.1和3.5.2版本中,其他版本不存在. 2019年3月21日插件作者紧急发布了3.5.3版本以修复高危的RCE漏洞,在<=3.5.2版本中存在一处无需登录即可getshell的RCE漏洞. 漏洞分析 在/wp-content/plugins/social-warfare/lib/utilities/SWP_Database_Migration.php文件中有一处eval()函数,该函数将file_get_contents()读取

wordpress插件bug排查后记(这篇文章是写给自己的)

这篇文章是写给自己的. 周三的时候我在维护公司的一个wordpress项目页面时发现了一个非常奇怪的情况:当我尝试更新网站上的一个页面后,在wordpress后台的编辑器中发现其内容并没有按我预期的将图片的网址替换下来(网站开启了百度云插件,插件会抓取文章中的图片,然后将图片上传至百度云,并将文章中的地址替换),但是,我查看前台的页面却发现页面显示时正常的.检查页面中的图片网址也是做过替换的,总之一句话,就是前台文章展示页和后台编辑器中的内容不一致.这个bug真诡异,下面就把排查这个bug的过程

WordPress插件:WP No Category Base 去除分类Category目录

不少折腾WordPress的朋友都希望去掉分类链接中的 /category/ 目录标志,网上很多这方面的教程,据倡萌所知,除了使用 WP No Category Base 插件(或类似插件),其他的方法都是不太完美的.WordPress大学目前也去掉了/category/ 目录,使用的正是 WP No Category Base 插件. WP No Category Base 插件功能简单,就是仅仅为了去除 /category/ 目录标志,直接安装,不需要任何设置就可以使用. WP No Cat

如何解决Wordpress插件冲突的问题

之前有一篇文章介绍了如何判断依附插件是否被启用的问题(例如,在作为WooCommerce扩展的插件中,就要判断当前网站的Woocommerce是否启用了),文章链接:http://suoling.net/is_woocommerce_activated/现在开始说正事儿:首先,我们要引入一个Wordpress核心文件:    /*  避免 current_user_can 不可用的问题 */    if ( !function_exists( 'wp_get_current_user' ) )

(转载)DotNetTextBox编辑器漏洞(system_dntb漏洞)

关键字:system_dntb/确定有 system_dntb/uploadimg.aspx 并能打开,这时候是不能上传的,由于他是验证cookie来得出上传后的路径,这样我们可以用cookie欺骗工具.cookie:UserType=0; IsEdition=0; Info=1; uploadFolder=../system_dntb/Upload/;路径可以修改,只是权限够,上传后改名为1.asp;.jpg利用iis解析漏洞. (转载)DotNetTextBox编辑器漏洞(system_dn

bbPress 2.5.1 汉化中文版--wordpress插件

1.本版为wordpress插件版,下载反直接安装即可. 2.如果原来有bbpress的话,想更新,要删除自己原来的版本,然后在后台重新安装并激活即可. (操作前请备好份,本人测试在后台删除bbpress数据并不会丢失的,如果担心也可以自行登陆FTP删除插件再安装) 3.也可自行后台更新,更新完后通过下载本包,解压找到语言文件复制到你的网站插件对应目录上. 注:本版(本帖附件)是基于原官bbpress 2.5.1版汉化的,由bbpress.me汉化. 还有,欢迎纠错,或觉得哪里翻译不好可以提出来

WordPress插件制作教程(一): 如何创建一个插件

上一篇还是按照之前的教程流程,写了一篇WordPress插件制作教程概述,从这一篇开始就为大家具体讲解WordPress插件制作的内容.这一篇主要说一下插件的创建方法. 相信大家都知道插件的安装文件在什么地方吧,没错就在WP-Content->plugins里面,我们所安装的插件都存放在了这个文件夹里面.当我们刚开始搭建好WordPress网站的时候,里面会默认提供两个插件,一个是Akismet(过滤垃圾评论插件)和一个hello插件(显示歌词的插件).我们可以打开hello.php这个文件,这

WordPress插件制作教程(八): 最后总结

WordPress插件教程最后一篇,还是为大家简单的做下总结.这次插件制作教程讲的内容和知识点个人觉得不是很多,因为插件制作不单单是这些内容,它涉及的知识很多很多,不是说你会一些函数就可以做出一个好的插件,还需要各方面的结合. 这次的WordPress插件教程主要是简单的为大家讲解了一些基本的知识和要点,但这些是远远不够的.你还需要多多的去实践去研究,在WordPress插件教程概述中也提到过,制作插件你得有PHP方面的知识,你的PHP学习的好坏对你制作插件的是有一定的影响的,除此之外你还得会基