一個高嚴重性的本地文件包含 (LFI) 漏洞已被披露，影響 Welldone WordPress 主題 (版本 ≤ 2.4)。該漏洞被追蹤為 CVE-2026-28118，並被分配了 8.1 的 CVSS 基本分數，這一弱點允許未經身份驗證的攻擊者在易受攻擊的網站上包含本地文件並暴露其內容。本地文件中的信息（數據庫憑證、API 密鑰、配置詳細信息）可能導致完全妥協 — 對於使用受影響主題的任何網站，必須立即採取行動。.

本建議書以實用的香港安全從業者語氣撰寫：簡潔、優先考慮，並專注於快速遏制，隨後進行驗證和恢復。請與您的運營或託管團隊分享此信息，並在管理多個網站時優先考慮“立即緩解”步驟。.

披露摘要

• 受影響的軟件：Welldone WordPress 主題
• 易受攻擊的版本：≤ 2.4
• 漏洞類型：本地文件包含 (LFI)
• CVE：CVE-2026-28118
• CVSS：8.1（高）
• 所需權限：無（未經身份驗證）
• 影響：任意本地文件讀取；可能泄露憑證和敏感文件；根據服務器配置可能導致完全接管
• 報告者：Tran Nguyen Bao Khanh（報告於 2025 年 8 月 19 日；公開披露於 2026 年 2 月 26 日）

為什麼 LFI 對 WordPress 網站如此危險

本地文件包含發生在代碼使用用戶提供的輸入構建本地文件路徑而未經適當驗證時，然後包含或讀取該文件。在 PHP 中，像 include()、require()、include_once() 和 require_once() 這樣的函數是常見的失敗點 — 特別是在根據查詢參數加載模板部分或文件的主題和插件中。.

對於 WordPress，後果是嚴重的：

• wp-config.php 通常包含數據庫憑證和鹽；讀取它可以使攻擊者獲得完整的數據庫訪問權限。.
• 其他文件可能包含 API 密鑰、SMTP 憑證或專有數據。.
• PHP 流包裝器 (php://filter, data://) 或可訪問的上傳位置可以幫助攻擊者從讀取文件升級到執行代碼。.
• 該缺陷是未經身份驗證的，因此大規模自動掃描和利用的可能性很高；預期會有機會主義攻擊者進行快速掃描。.

攻擊者通常如何利用 LFI（高層次）

攻擊者找到在 include() 調用中使用的參數（例如：include( $template_path . $_GET[‘page’] . ‘.php’ );）。在未經驗證的情況下，攻擊者可以發送目錄遍歷有效負載 (../../../../wp-config.php) 或使用 PHP 流包裝器 (php://filter) 來讀取任意本地文件。LFI 通常可以鏈接以實現遠程代碼執行 (RCE)，通過暴露可寫的上傳區域或日誌文件。.

我們在此不提供有效的利用有效負載；防禦者應專注於識別下面列出的模式和指標。.

攻擊和妥協的指標——要注意什麼

監控網頁伺服器訪問日誌、PHP 錯誤日誌以及任何 WordPress 日誌以尋找這些跡象：

1. 查詢字串中包含目錄遍歷模式的請求：
   • 未編碼或編碼的 “../” 序列（例如，, ..%2F, %2e%2e%2f)
   • 重複的遍歷嘗試，如 ../../../../
2. 參考敏感檔案名稱的請求：
   • 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, wp-config.php.bak, .env, /etc/passwd, .htpasswd
3. 使用常見 LFI 參數名稱的請求：
   • 名為 檔案, 頁面, 模板, inc, 路徑, 模組
   • 向主題端點發送各種遍歷有效載荷的突發
4. 使用 PHP 流包裝器模式：
   • php://filter, expect://, data:// 在查詢參數中
5. 可寫目錄下的異常檔案或修改：
   • 新的或可疑的 PHP/JS 檔案在 wp-content/uploads, wp-content/themes//
   • 意外修改的模板或插件檔案
6. 異常的資料庫活動：意外的管理員用戶創建、奇怪的查詢或內容注入。.

如果您發現任何這些指標，請將情況視為高優先級並遵循以下事件響應檢查清單。.

立即（幾小時內）緩解 — 分級和實用的行動

這些步驟按速度和可能影響排序。如果您運行受影響的主題或不確定，請立即執行它們。.

1. 暫時禁用易受攻擊的主題
   • 切換到標準的、維護中的默認主題，以快速消除攻擊面。.
   • 如果無法切換，則在應用其他緩解措施時將網站置於維護模式。.
2. 從文件系統中移除或隔離易受攻擊的主題
   • 使用 SFTP/SSH，重命名或移除易受攻擊的主題目錄 wp-content/themes/ 以防止主題代碼運行。.
   • 如果您正在調查，請保留一份離線副本以供分析。.
3. 在網絡伺服器上阻止可疑請求
   • 在網絡伺服器層級（nginx 或 Apache）阻止包含目錄遍歷序列和 PHP 流包裝器的請求。首先在測試環境中測試任何規則，以避免破壞合法流量。.
   • 示例 nginx（概念性）：

   if ($request_uri ~* "(%2e|%2f|\.\./|\.\.\\)") {
       return 403;
   }
   if ($request_uri ~* "php://|data://|expect://|file://") {
       return 403;
   }

   • 示例 Apache (.htaccess) — 拒絕直接訪問 wp-config 並阻止可疑查詢字符串：

   <Files "wp-config.php">
     Order allow,deny
     Deny from all
   </Files>
   
   <IfModule mod_rewrite.c>
     RewriteEngine On
     RewriteCond %{QUERY_STRING} (\.\.|php://|data://) [NC,OR]
     RewriteCond %{REQUEST_URI} (\.\.|php://|data://) [NC]
     RewriteRule ^.* - [F,L]
   </IfModule>

4. 加強文件權限和所有權（快速檢查）
   • 確保 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 不是全局可讀的：使用 400 或 440 在適當的地方。.
   • 標準設置：目錄 755，文件 644（進一步收緊敏感文件）。.
   • 確保正確的所有權，並避免以能夠修改網站文件的相同用戶運行網絡伺服器進程，如果您的主機支持分離。.
5. 在可能的情況下禁用危險的 PHP 包裝器和函數
   • 在 php.ini, ，設置 allow_url_fopen = 關閉 和 allow_url_include = 關閉.
   • 如果不需要，考慮禁用風險函數： 執行, shell_exec, 系統, passthru, proc_open, popen. 例如：

   disable_functions = exec,shell_exec,system,passthru,proc_open,popen

6. 阻止用戶提供的參數用於文件加載
   • 如果主題端點接受 檔案 或 模板 參數，添加臨時伺服器端規則以阻止或驗證這些參數，直到您可以修補。.

中期（天）修復和驗證

1. 替換或更新主題
   • 檢查是否有官方修補的 Welldone 版本來解決 CVE-2026-28118。當可用時，先在測試環境中測試，然後再部署到生產環境。.
   • 如果沒有修補，考慮用維護的替代品替換主題，或創建一個維護的基礎主題的自定義子主題。.
2. 審計您的文件系統以查找 webshell 和可疑文件
   • 更新後 wp-content/uploads, ，主題和插件目錄中查找意外的 PHP 文件、最近的修改或已知的 IOC 模式。.
3. 旋轉憑證和秘密
   • 旋轉所有 WordPress 管理員密碼、數據庫憑證、API 密鑰和任何可能已暴露的令牌。.
   • 從備份恢復後，始終旋轉憑證。.
4. 審查伺服器和應用程序日誌
   • 在披露日期之前和之後搜索日誌以查找利用跡象。如有需要，將相關日誌導出到安全位置以進行取證。.
5. 完整網站惡意軟件掃描和完整性檢查
   • 運行惡意軟件掃描器和文件完整性檢查，以查找 webshell、後門和修改的核心文件。將代碼與已知良好的來源進行比較。.
6. 如果確認受到損害，從乾淨的備份中恢復
   • 如果您無法自信地清理受損的網站，請從在最早的損害跡象之前拍攝的已知良好備份中恢復。恢復後，應用加固並旋轉憑證。.

長期預防和加固（幾週/持續進行）

• 最小權限原則：確保文件和數據庫用戶僅擁有所需的權限。.
• 1. 隔離環境：在測試和生產之間使用不同的憑證和隔離。.
• 2. 持續監控和警報：集中日誌並為目錄遍歷嘗試、參考和異常錯誤峰值添加警報。 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, ，以及錯誤的異常峰值。.
• 4. 定期漏洞掃描和代碼審查：自動掃描加上主題和插件代碼的定期手動審查。.
• 5. 定期備份和測試恢復：離線、版本化的備份和定期恢復測試。.
• 6. WordPress 強化：保持核心、插件和主題更新；移除未使用的組件；禁用文件編輯器；實施安全標頭並強制使用 HTTPS。.

7. 建議的檢測和預防規則（概念性）

8. 將這些模式適應到您的 WAF 或伺服器規則集中，並徹底測試以避免誤報。這些是用於規則創建的概念性正則表達式片段：

• 9. 阻止目錄遍歷： (\.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c)
• 11. 阻止 PHP 流包裝器： 12. (php://|data://|expect://|zip://|phar://)
• 13. 阻止對敏感文件的引用： 14. (wp-config\.php|/etc/passwd|/proc/self/environ|\.env|\.htpasswd)
• 15. 阻止長編碼序列，這些序列通常用於混淆： 16. (%[0-9A-Fa-f]{2}){6,}

17. 示例偽規則（與 WAF 無關）：如果請求查詢字符串匹配以下任一：

• (\.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c) 或者
• 18. (php://|data://|expect://) 或者
• 19. (wp-config\.php|/etc/passwd|\.env)

20. 則阻止請求（HTTP 403）並記錄詳細信息。將規則範圍限制在可能的端點以減少誤報。.

如果您的網站已被入侵 — 事件響應檢查清單

1. 將網站下線（維護模式）或隔離主機。.
2. 對網站和日誌進行完整快照以進行取證分析。.
3. 更改所有密碼：管理用戶、數據庫、FTP/SFTP、控制面板。.
4. 旋轉可能已存儲在服務器上的API密鑰和令牌。.
5. 掃描並移除惡意文件和網絡殼；如果不確定，從乾淨的備份中恢復。.
6. 驗證數據庫完整性並移除未經授權的管理用戶或注入內容。.
7. 進行全面審計以確定攻擊路徑和任何橫向移動。.
8. 如有必要，從已知良好的來源重建環境；如果後門可能存在，請不要僅依賴“清理”。.

開發者和系統管理員技術說明

這類漏洞通常源於不安全的用戶輸入與文件系統路徑的串接。遵循這些安全做法：

• 切勿使用原始用戶輸入來構建文件名，而不對允許的值進行白名單檢查。.
• 使用映射：將短鍵映射到允許的文件名，而不是接受完整路徑。.
• 在傳遞給include/require之前，對任何路徑進行標準化和驗證。.
• 如果用戶內容決定模板選擇，則將選擇限制為您代碼庫中存在的受信任集合。.

安全模式示例（偽代碼）：

$allowed_templates = ['home', 'archive', 'single'];

實用服務器片段（摘要）

在部署到生產環境之前，先在測試主機上測試這些：

保護 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 （Apache .htaccess）：

<files wp-config.php>
  order allow,deny
  deny from all
</files>

Nginx 規則以阻止 php 包裝器嘗試（概念性）：

if ($query_string ~* "php://|data://|%2e%2e|(\.\./)") {
  return 403;
}

PHP ini 強化（範例）：

allow_url_fopen = Off

最終行動 — 在接下來的 24–72 小時內該做什麼

1. 清查：識別所有運行 Welldone 主題 ≤ 2.4 的網站。.
2. 至少應用一項立即緩解措施：
   • 禁用或重新命名主題資料夾，或
   • 在伺服器級別阻止利用模式，並
   • 鎖定 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 訪問。.
3. 啟用持續掃描和監控上述指標。.
4. 如果您托管客戶，請及時通知利益相關者並在受影響的租戶中應用緩解措施。.

需要專業協助嗎？

如果您管理許多 WordPress 安裝或缺乏內部事件響應能力，請尋求可信的事件響應提供商或您的托管提供商的安全團隊。 在任何可能破壞證據的激進清理之前，優先考慮遏制、日誌捕獲和取證。.