前段时间通过了备案，把网站放到了阿里云学生机上，虽然被称为套路云，但9.5一个月的服务器，对于我这个穷逼的学生党，很良心了。而且这个学生机可以从一直续费到24岁，很nice!。

下次试试腾讯云?

#今天收到阿里云盾报告

恍惚之中，记得之前就有个wordprss的ip验证不当的风险，也没在乎。<可怜小网站，完全不用担心被大佬盯上?>

就是这个了，好像也没啥大问题。

2018-11-0909 :03:14
wordpress /wp-includes/http. php文件中的wp. http_ val idate_ url函数对输入IP验证不当，导致黑客可构攻击。未修复

于是谷歌了一下

找到了方法

修这个漏洞主要是博客系统中../wp-includes/http.php文件中的一个http函数验证不周全导致的，这个主要是用于验证IP格式的函数wp_http_validate_url()对于014.114.114.114这种经过特殊构造的IP格式来绕过系统的安全机制，从而可能发起攻击可执行webshell代码或者ssrf攻击。

问题既然出现在http.php文件中，那么就开始修改文件。

漏洞修复方法：

if isset($parsed_home['host'])) { $same_host = (strtolower($parsed_home['host']) === strtolower($parsed_url['host']) || 'localhost' === strtolower($parsed_url['host'])); } else { $same_host = false; };