WordPress最近真是麻烦不断。先是2.11被篡改，现在又爆出一个XSS漏洞。简单的讲就是黑客可以通过Google盗取网站的Cookies信息。进而控制网站。

·

        暂时官方还没有给出好的解决方案，虽然SVN版本不存在这个漏洞，不过SVN版本很多人都不喜欢用。花儿开了在他的博客上提供了一个暂时的解决方法。

·

        其实根据漏洞出现的原理，我们对 WordPress 中 wp-includes/general-template.php 文件 wp_title 函数的 $year 加强过滤即可解决这个注入漏洞。首先找到 function wp_title，然后找到其中的这行（大概在 196 行）：

·
<?php  if ( !empty($year)) {  $title=$year;  ?>
修改为：
<?php  if (!empty($year) && is_numeric($year)) {  $year = intval($year); // hack to avoid XSS injection   $title = $year;  ?>
·
        这样基本上就把 $year 过滤干净了，想利用它来进行 XSS 攻击基本不可能了。以上修改是基于 WordPress 2.1.2 的，其它版本的 WP 应该也类似。
·
注：本文转载自 花儿开了：WordPress 的 XSS 漏洞和暂时解决方案

喜欢本文？ 欢迎订阅前~博客，了解更多博客技巧 ...如何订阅