前几天阿里云提示我的网站存在SSRF漏洞,具体的漏洞描述如下
阿里云给了两个方案,一个是删除xmlrpc.php文件,一个是通过http服务器禁止该文件的访问。我不确定删除后是否会有其他影响,所以选择了方案二。
在Nginx的配置文件里新增以下代码:
# 拒绝所有请求xmlrpc.php文件的访问
# WordPress xmlrpc.php文件存在SSRF漏洞
location ~* /xmlrpc.php {
deny all;
}
由于Nginx上配置了PHP的php_fpm服务配置,所以上述的配置需要放置在PHP的配置之前,完整的配置如下:
# 拒绝所有请求xmlrpc.php文件的访问
# WordPress xmlrpc.php文件存在SSRF漏洞
location ~* /xmlrpc.php {
deny all;
}
# pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
#
location ~* \.php$ {
root html/blog/;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
fastcgi_param SCRIPT_NAME $fastcgi_script_name;
include fastcgi_params;
}
配置完成之后,在阿里云控制台下验证漏洞,提示验证通过,漏洞完美修复!