緊急：米勒 WordPress 主題中的本地文件包含 (<= 1.3.3) — 網站擁有者現在必須做的事情

摘要： 一個關鍵的本地文件包含 (LFI) 漏洞 (CVE-2026-28053) 已被披露，影響米勒 WordPress 主題的版本最高至 1.3.3。該問題允許未經身份驗證的攻擊者從易受攻擊的網站包含本地文件並呈現其內容。這可能導致憑證洩露、完整數據庫妥協或根據環境的遠程代碼執行。CVSS 3.1 基本分數：8.1（高）。如果您運行米勒主題（或管理運行該主題的網站），請將此視為立即優先事項。.

本公告由香港的 WordPress 安全專家準備。它解釋了漏洞是什麼、為什麼它是危險的、如何檢測利用以及您現在必須採取的實際步驟。指導是直接且以行動為導向的——沒有供應商推廣，只有技術建議。.

目錄

• 什麼是本地文件包含 (LFI)？
• 我們對米勒主題中的 CVE-2026-28053 的了解
• 為什麼這個漏洞對 WordPress 網站很重要
• 您應該尋找的妥協指標 (IoCs)
• 立即緩解步驟（接下來的 60-120 分鐘）
• 建議的加固和配置更改
• 檢測和響應妥協
• 您可以部署的示例 WAF / 伺服器規則
• 長期建議和事件後檢查清單
• 附錄：有用的命令、示例日誌和檢查清單

什麼是本地文件包含 (LFI)？

本地文件包含 (LFI) 是一種漏洞，應用程序根據用戶控制的輸入包含來自本地文件系統的文件。攻擊者可以操縱 URL 參數或表單輸入，使應用程序讀取並返回文件，例如：

• wp-config.php（數據庫憑證和鹽）
• .htaccess
• PHP 源文件（暴露代碼和秘密）
• 系統文件，如 /etc/passwd

雖然 LFI 不一定直接導致遠程代碼執行 (RCE)，但它通常會促進進一步的升級：讀取 wp-config.php 以獲取數據庫憑證，包括包含注入 PHP 的日誌文件，或利用可寫的上傳目錄來實現 RCE。在 WordPress 環境中，主題代碼中的未經身份驗證的 LFI 特別危險，因為主題在公共請求空間中運行，並且經常成為自動掃描器的目標。.

我們對 CVE-2026-28053（Miller 主題 ≤ 1.3.3）的了解

• 漏洞類型：本地文件包含 (LFI)
• 受影響的版本：Miller 主題 ≤ 1.3.3
• CVE：CVE-2026-28053
• 認證：無需（未經身份驗證）
• CVSS 基本分數：8.1（高）
• OWASP 分類：注入
• 可利用性：遠程，通過提供操縱主題中包含路徑的精心設計的請求

在撰寫時，主題作者可能尚未提供官方修補程序。請確認供應商頁面以獲取更新；在官方修補程序發布之前，網站仍然面臨風險，必須依賴緩解和加固措施。.

為什麼這對 WordPress 網站所有者來說是危險的

LFI 在主題中的三個主要影響：

1. 憑證暴露 — wp-config.php 通常包含數據庫憑證和密鑰。洩露允許數據庫訪問和管理權限接管。.
2. 遠程代碼執行或網站控制 — 將 LFI 與可寫目錄或日誌中毒結合可能導致 RCE，允許後門、篡改或惡意軟件托管。.
3. 權限提升和樞紐 — 擁有數據庫憑證或 shell 訪問權限的攻擊者可以創建管理用戶、竊取數據或利用托管環境進行進一步攻擊。.

由於該漏洞是未經身份驗證的並且影響主題代碼，自動利用和大規模掃描的可能性很高。將控制和緩解視為緊急事項。.

受損指標（現在要注意的事項）

• 包含目錄遍歷序列（../ 或 ..\）或參數如 ?file=, ?template=, ?inc= 的 HTTP 訪問日誌請求, 等等。.
• 參考的可疑請求 /wp-content/themes/miller/ 或編碼遍歷，例如 %2e%2e%2f 或 %252e%252e%252f.
• 包含 /etc/passwd, 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, ，或 php://filter/ 在參數中。.
• 在 wp-content/uploads, 、主題目錄或其他可寫路徑中意外創建或修改文件。.
• 新的管理員用戶、不尋常的定時任務或意外的外發網絡連接。.
• 來自文件完整性監控的警報或主題文件中意外的校驗和變更。.

如果您觀察到這些跡象，請立即進入事件響應（見下文）。.

立即緩解步驟 — 在接下來的60-120分鐘內該怎麼做

1. 如果存在，禁用或移除Miller主題
   暫時切換到默認的、已知良好的主題（例如Twenty Twenty-Three）。如果在高流量的生產網站上無法切換，請優先考慮網絡層阻止（見下文）。.
2. 在網絡層阻止利用向量
   部署WAF或服務器規則以阻止帶有路徑遍歷的請求，, php:// 模式和對 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 或 /etc/passwd.
3. 限制對敏感檔案的直接訪問
   確保 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 不可公開讀取。應用限制性文件權限（例如，400/440，盡可能）。添加網絡服務器規則（.htaccess或nginx）以拒絕對不打算公開執行的主題子文件夾中的PHP文件的直接訪問。.
4. 加固 PHP
   驗證 allow_url_include 被禁用，實施 open_basedir 限制可達路徑，並考慮在您的環境中禁用危險函數（exec、shell_exec、system、passthru、proc_open、popen），如果可行的話。.
5. 旋轉憑證
   如果日誌顯示wp-config.php或其他秘密被讀取，請輪換數據庫憑據、API密鑰和WordPress鹽。強制重置管理員帳戶的密碼。.
6. 如果確認受到攻擊，請隔離主機
   將網站置於維護模式，通過 IP 限制訪問，或在調查期間將主機下線。.
7. 部署臨時虛擬補丁
   如果您控制反向代理或 WAF，請添加阻止利用模式的規則。虛擬補丁在等待官方主題更新時降低了即時風險。.

建議的加固和配置更改（長期）

• 保持 WordPress 核心、主題和插件更新。維護清單，以便您能快速識別受影響的網站。.
• 刪除未使用的主題和插件。非活動代碼仍然可以被發現和濫用。.
• 設置保守的文件權限：目錄 755（或 750），文件 644，wp-config.php 440 或 400（如果您的主機用戶模型允許）。.
• 使用 open_basedir 限制 PHP 僅在您網站所需的目錄中運行。.
• 實施文件完整性監控，以檢測未經授權的更改並對修改發出警報。.
• 禁用上傳和其他非代碼目錄中的 PHP 執行。以下是示例 Apache/Nginx 規則。.
• 對數據庫用戶採取最小權限原則——僅授予正常運行所需的權限。.
• 維護安全的版本備份，存儲在伺服器外並定期測試恢復。.

檢測利用嘗試——實用查詢和檢查

1. 在 HTTP 日誌中搜索遍歷模式：

   grep -i -E "(\.\./|\%2e\%2e|\%2e\%2e%2f|php://filter|wp-config.php|/etc/passwd)" /var/log/apache2/access.log

2. 檢查錯誤日誌以查找包含/打開流的錯誤：

   grep -i "無法打開流" /var/log/apache2/error.log

3. 在內容目錄中查找最近修改的文件：

   find /var/www/html/wp-content -type f -mtime -7

4. 在數據庫中查找最近創建的管理用戶：

   SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE user_registered >= NOW() - INTERVAL 7 DAY;

5. 將主題文件的檔案校驗和與供應商的全新副本進行比較，以檢測篡改。.

事件響應程序（如果您懷疑被入侵）

1. 隔離 — 在防火牆/WAF 阻止攻擊流量，並將網站置於維護模式或按 IP 限制訪問。.
2. 保留證據 — 快照磁碟，收集日誌，並在進行破壞性更改之前製作取證副本。.
3. 根除 — 刪除後門，從乾淨來源恢復 WordPress 核心/主題/插件，並更換被入侵的憑證（DB、WP 管理員、SSH、FTP）。旋轉 API 密鑰。.
4. 恢復並驗證 — 從已知乾淨的備份中恢復，驗證檔案完整性，並重新掃描惡意軟體。.
5. 溝通 — 如果個人數據可能已被暴露，根據您的政策或法律要求通知利益相關者和用戶。.
6. 事件後分析 — 記錄根本原因並更新修補/監控流程以減少重複發生。.

如果您不舒服自己執行事件響應，請聘請具有 WordPress 取證能力的經驗豐富的安全專業人員。.

阻止常見 LFI 嘗試的示例 WAF / 伺服器規則

以下是您可以調整以用於 mod_security、Nginx 或其他 WAF 的示例模式和規則。首先在非阻止/日誌模式下測試以避免誤報。.

檢測遍歷和包含嘗試的通用模式

• 阻止包含的請求： ../ 或 ..\ (原始或編碼)，, %2e%2e%2f, php://filter, 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, /etc/passwd.
• 注意查詢參數，如： 檔案=, 包含=, 包含=, 模板=, 頁面=, 路徑=.

概念性 mod_security 規則：

SecRule REQUEST_URI|ARGS|ARGS_NAMES "@rx (\.\./|\%2e\%2e|\%252e\%252e|php://filter|wp-config\.php|/etc/passwd)" \
 "id:100001,phase:2,deny,status:403,log,msg:'Potential LFI attempt blocked'"

示例 Nginx 片段：

# block suspicious traversal sequences
if ($request_uri ~* "\.\./|\%2e\%2e|\%252e%252e") {
    return 403;
}

# block php://filter usages in query string
if ($arg_file ~* "php://filter|wp-config\.php|/etc/passwd") {
    return 403;
}

目標規則：拒絕訪問易受攻擊的包含端點

如果已知特定主題文件暴露了包含參數（例如，, inc.php?file=），則限制對該端點的訪問，或在不需要的情況下完全拒絕。.

<Files "inc.php">
  Require all denied
</Files>

或僅限於管理訪問的IP限制：

<Files "inc.php">
  Require ip 203.0.113.0/24
  Require all denied
</Files>

主題開發者應實施的安全PHP模式示例

主題開發者不得信任包含()調用中的用戶輸入。使用白名單方法並將令牌映射到固定路徑。驗證和標準化輸入，並且永遠不要接受用戶的完整文件系統路徑。.

<?php

如何在整個網站群中優先考慮緩解措施

1. 清點網站並識別那些安裝了Miller的網站（活動或非活動）。.
2. 優先考慮高流量和面向公眾的網站以便立即採取行動。.
3. 在您修補或移除主題時，將WAF規則應用於整個網絡以阻止已知的利用字符串。.
4. 對於非關鍵網站，考慮移除主題或在主題目錄中禁用PHP執行，直到修補完成。.
5. 修復後，監控活動至少30天以檢測延遲的後利用指標。.

長期安全姿態改進

有效的WordPress安全性是分層的：

• 補丁管理：保持核心、主題和插件更新並維護清單。.
• 應用防護：使用WAF、反向代理並加固PHP設置。.
• 最小權限：限制數據庫和文件權限。.
• 監控與日誌：檔案完整性監控、保留日誌和警報。.
• 備份與恢復：版本化的備份在主機外和測試恢復。.
• 安全開發：主題開發者應該將包含目標列入白名單並驗證輸入。.

實用檢查清單 — 逐步指導網站擁有者

1. 確認網站是否安裝了Miller主題（啟用或未啟用）。.
2. 如果Miller啟用：如果可能，切換到安全主題；否則部署WAF/伺服器規則以阻止LFI模式。.
3. 添加伺服器規則以阻止路徑遍歷和 php:// 樣式請求。.
4. 設定檔案權限：wp-config.php 400/440，其他檔案644，目錄755。.
5. 禁用上傳和非代碼目錄中的PHP執行。.
6. 確保 allow_url_include = 關閉 並實施 open_basedir 限制。.
7. 掃描檔案以檢查變更並進行深入的惡意軟體掃描。.
8. 檢查日誌以查找LFI嘗試和可疑的管理活動。.
9. 如果懷疑遭到入侵：保留日誌，將網站下線，輪換憑證，從乾淨的備份恢復，並進行事件後回顧。.
10. 如果需要，考慮聘請經驗豐富的事件響應或管理安全服務進行虛擬修補和取證支持。.

附錄：有用的命令和示例搜索

• 查找最近修改的Miller主題內的檔案：

  find /var/www/html/wp-content/themes/miller -type f -mtime -7 -ls

• 在網頁日誌中搜索遍歷序列：

  grep -iE "(\.\./|\%2e\%2e|php://filter|wp-config\.php|/etc/passwd)" /var/log/nginx/access.log

• 列出過去 7 天內新增的 WordPress 用戶 (MySQL)：

  SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE user_registered >= NOW() - INTERVAL 7 DAY;

• 檢查 PHP 配置中的危險設置：

  php -i | grep -E "allow_url_include|open_basedir|disable_functions"

來自香港安全專家的最後備註

這個在 Miller 主題中的 LFI 顯示了單一不安全的包含模式如何暴露整個網站。關鍵行動：

• 將未經身份驗證的文件包含視為高優先級。.
• 立即使用虛擬修補 (WAF/伺服器規則) 和主機級控制，而不是等待供應商修補。.
• 如果懷疑 wp-config.php 或其他秘密被曝光，請更換憑證並進行仔細調查。.
• 採取分層防禦：WAF、主機加固、安全編碼、監控和可靠備份。.

快速而有條理地行動。如果需要外部協助，請尋求經驗豐富的 WordPress 事件響應團隊或具法醫能力的安全顧問。.