Revolution Slider是一个严重的安全漏洞,它是WordPress的一个插件。它的工作原理是访问某个允许下载配置文件的URL,例如
www.domain.com/wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php
我一直试图改写条件,以便网址不再可访问。这就是我现在在.htaccess文件中的内容
RewriteEngine on
RewriteCond %{QUERY_STRING} ^action=revslider_show_image&img=(&.*)?$ [NC]
RewriteRule ^wp-admin/admin-ajax\.php$ /?%1 [R=301,NE,NC,L]
但它不起作用,我对重写不太熟悉,对我在这里做错了什么建议?
答案 0 :(得分:1)
不应重定向到受保护的文件,而应禁止它(带F标志,相当于403)。
此外,您的条件模式有错误。
将此代码放入您的htaccess 之前 Wordpress'主要规则
RewriteCond %{QUERY_STRING} ^action=revslider_show_image&img=[^&]*$ [NC]
RewriteRule ^wp-admin/admin-ajax\.php$ - [F]
答案 1 :(得分:0)
贾斯汀的回答将起作用并直接回答你的“我怎么做”的问题,但是......
这将阻止Rev Slider完全工作,因为你禁止用于获取和显示图像的ajax调用。
我知道你正在寻找一个快速修复,直到你更新插件(我今天确认自己,修补4.6工作就好了),但要注意你是怎么做的。你要做的最好的事情是更新插件,而不是实现它。