“警察局” WordPress 主題中的本地文件包含 (LFI) (<= 2.17) — 網站擁有者現在必須做的事情

作者： 香港安全專家

發布日期： 2026-03-01

TL;DR

一個關鍵的本地文件包含 (LFI) 漏洞 (CVE-2026-28049) 影響 “警察局” WordPress 主題版本 2.17 及更早版本。未經身份驗證的攻擊者可以包含並讀取您網絡伺服器上的本地文件，暴露 wp-config.php、環境文件、備份、日誌和其他敏感數據。該問題的嚴重性高 (CVSS 8.1)。如果您運行此主題且尚未更新或緩解，請立即採取行動。.

本文解釋：

• 漏洞的高層次工作原理
• 誰和什麼面臨風險
• 如何檢測利用嘗試
• 立即控制和手動緩解
• 恢復和長期預防

什麼是本地文件包含 (LFI) 漏洞？

本地文件包含發生在應用程序使用未經驗證的用戶輸入來確定要包含或顯示的文件系統路徑時。在 WordPress 主題中，這通常意味著接受文件名或模板的參數在未經適當清理的情況下被使用。成功的 LFI 使攻擊者能夠從伺服器讀取任意文件，在某些鏈中可能導致遠程代碼執行。.

此漏洞的關鍵事實：

• 影響主題版本 ≤ 2.17
• 類型：本地文件包含 (LFI)
• CVE：CVE-2026-28049
• CVSS：8.1（高）
• 所需特權：無（未經身份驗證）

為什麼這個 LFI 對 WordPress 網站特別危險

WordPress 將關鍵秘密存儲在文件中。典型的例子是 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, ，其中包含數據庫憑證和身份驗證密鑰。如果攻擊者讀取該文件，他們可以：

• 訪問或修改數據庫（如果允許遠程數據庫訪問）
• 創建管理帳戶
• 注入內容或後門
• 竊取用戶數據、支付記錄或個人識別信息

即使沒有直接暴露 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, LFI 可以揭示包含秘密的日誌、備份或臨時文件。在許多主機設置中，本地讀取訪問權限足以進一步升級。.

攻擊者如何發現並利用此漏洞

攻擊者和自動掃描器尋找看似接受文件名的參數，例如 檔案=, 模板=, 路徑=, 頁面=, 包含=, tpl=. 然後他們嘗試目錄遍歷有效載荷，例如 ../ 或 URL 編碼變體，如 %2e%2e/.

典型的利用流程：

1. 發現接受文件名或模板的參數。.
2. 發送像 ../../wp-config.php （如有必要，進行 URL 編碼）的有效載荷。.
3. 如果響應包含文件內容，則數據外洩成功。.

由於該漏洞是未經身份驗證的，因此在公開披露後，可能會進行大規模掃描和快速利用。將暴露視為緊急情況。.

受損指標 (IoC) — 現在要尋找的內容

• 包含的請求 %2e%2e 或 ../ 在查詢參數中。.
• 包含文件名的請求，例如 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .env, config.php, backup.zip, dump.sql.
• 響應突然包含原始 PHP 源代碼、憑據或長的 base64 大塊。.
• 意外的新管理用戶、更改的內容或可疑的計劃任務。.
• 特定端點的 200 響應激增或對同一 URL 的重複 POST 請求。.
• 網頁伺服器錯誤日誌顯示有關用戶輸入觸發的文件包含的 PHP 警告。.
• 外部 IP 重複請求相同的異常 URL（掃描行為）。.

如果您發現掃描或文件讀取的證據，假設敏感數據可能已被暴露，並立即遵循恢復步驟。.

立即控制 — 現在需要採取的行動（優先順序）

如果您在任何生產網站上使用易受攻擊的主題（<= 2.17），請立即執行這些步驟：

1. 將網站置於維護模式 — 防止進一步的自動利用，並給您時間安全地進行調查。.
2. 替換或停用易受攻擊的主題 — 切換到受信任的默認主題（例如，Twenty* 主題）或您控制的其他安全主題。如果您無法立即切換，請在伺服器上刪除或重新命名主題目錄（例如，重新命名 /wp-content/themes/police-department 到 /wp-content/themes/police-department.disabled）以防止易受攻擊的代碼被提供。.
3. 在網頁伺服器或 CDN 層阻止易受攻擊的端點 — 創建規則以阻止包含可疑參數或模式的請求，例如 ../ 在查詢字符串中。請參閱“臨時手動緩解”部分以獲取示例規則。.
4. 如果可用，通過 WAF 應用虛擬修補 — WAF 可以在您調查和測試官方修補程序時阻止利用嘗試。使用阻止目錄遍歷、敏感文件名和已知 LFI 負載的規則。.
5. 如果懷疑暴露，請檢查訪問並輪換憑證 — 如果日誌顯示嘗試讀取 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 或其他秘密，請立即輪換數據庫密碼並更新 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。. 。輪換身份驗證鹽和存儲在網站上的任何 API 密鑰。.
6. 創建法醫快照 — 保存網頁伺服器日誌、訪問日誌、錯誤日誌的副本，以及文件系統快照（如果可能）以供後續調查。.
7. 掃描網頁外殼和其他指標 — 使用惡意軟體掃描器和手動檢查來查找上傳、主題或插件目錄中的意外 PHP 文件。.

在調查人員審查之前不要刪除證據 — 首先複製日誌和文件。.

臨時手動緩解措施（示例）

在部署到生產環境之前，先在測試環境中測試任何規則。這些是粗略但有效的緩解措施，以降低立即風險。.

Apache (.htaccess) — 拒絕包含目錄遍歷序列的請求

# Block requests with directory traversal attempts in query string
RewriteEngine On
RewriteCond %{QUERY_STRING} (%2e%2e|%2f|%5c) [NC]
RewriteRule .* - [F,L]

這會阻止包含常見 URL 編碼遍歷模式的查詢。它可能會影響使用編碼字符的合法請求。.

Nginx — 拒絕查詢中包含 ../ 或編碼等價物的請求

# Block basic directory traversal attempts
if ($request_uri ~* "(%2e%2e|%2f\.\.|../|%5c)") {
    return 444;
}

注意： 返回 444 在沒有響應的情況下關閉連接，並有效地阻止掃描器。.

限制對主題文件的直接訪問

如果您希望在更新之前完全阻止主題目錄：

Apache：

<Directory "/var/www/html/wp-content/themes/police-department">
    Require all denied
</Directory>

Nginx：

location ~* /wp-content/themes/police-department/ {

這防止網頁伺服器提供主題目錄內的文件，如果啟用了替代主題則是安全的。.

PHP 設定（伺服器範圍）以降低風險

• 確保 allow_url_include = 關閉.
• 使用 open_basedir 限制 PHP 文件訪問僅限於網站根目錄和所需目錄。.
• 如果不需要，禁用危險函數，例如 執行, shell_exec, 系統, proc_open.

這些並不能修復主題錯誤，但會提高攻擊者的成本。.

偵測和響應 — 更深入的步驟

1. 保留日誌和證據 — 複製訪問日誌、錯誤日誌、PHP-FPM 日誌和保留時間戳的網頁伺服器配置文件。.
2. 確定攻擊時間線 — 在日誌中搜索 ../, %2e%2e, 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .env, ，以及其他敏感文件名。注意來源 IP 和用戶代理。.
3. 搜索網頁殼或新添加的文件 — 檢查最近修改的 PHP 文件在：
   • wp-content/uploads/
   • wp-content/themes/
   • wp-content/plugins/

   常見指標：混淆代碼、長的 base64 字串、使用 eval(), preg_replace 與 /e, ，或在運行時解碼的壓縮有效負載。.

4. 檢查 WordPress 用戶和身份驗證 — 審核 wp_users 和 wp_usermeta 是否有意外的管理帳戶或權限變更。.
5. 根據需要輪換密鑰 — 如果 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。 懷疑有洩露，請更改數據庫憑證，更新 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, ，並輪換身份驗證鹽和存儲在伺服器上的任何 API 密鑰。.
6. 重新安裝乾淨的副本 — 在控制後，當安全版本可用時，從官方來源替換主題為乾淨副本。.
7. 針對敏感暴露進行取證分析 — 如果客戶數據或財務記錄洩漏，請涉及事件響應或取證專家。.
8. 如有需要，通知託管提供商或當局 — 一些主機可以協助提供網絡級指標和修復。.

為什麼 WAF 和分層保護對 LFI 重要

網絡應用防火牆 (WAF) 通過在到達易受攻擊的代碼之前阻止惡意請求來提供幫助。對 LFI 的有效保護包括：

• 阻止查詢字符串和參數值中的目錄遍歷序列
• 阻止對已知敏感文件名的訪問嘗試（例如，, 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .env)
• 檢查請求主體中的可疑有效載荷
• 限制速率和 IP 信譽檢查以減慢大規模掃描
• 虛擬修補 — 臨時規則以防止利用，直到部署官方修復

當沒有立即的修補可用或更新必須在生產推出之前在測試環境中進行測試時，虛擬修補特別有價值。.

如果您無法立即修補：優先行動

1. 應用 WAF 虛擬修補以阻止利用有效載荷和掃描嘗試。.
2. 禁用或從生產網站中移除易受攻擊的主題。.
3. 在 CDN 或網絡伺服器層阻止可疑的查詢字符串和文件名。.
4. 收緊 PHP 設置（open_basedir, allow_url_include).
5. 在永久修復到位之前，經常審核日誌。.
6. 旋轉任何懷疑被曝光的秘密。.

強化檢查清單 — 長期預防

• 保持 WordPress 核心、主題和插件更新；使用暫存環境測試更新。.
• 訂閱您使用的主題/插件的漏洞資訊和修補通知。.
• 在檔案權限上強制執行最小權限；避免世界可寫的 PHP 檔案。.
• 使用 open_basedir 並保持 allow_url_include 禁用。.
• 定期運行自動化惡意軟體掃描和檔案完整性檢查。.
• 使用安全的秘密管理；在可能的情況下避免將憑證存儲在公共可訪問的檔案中。.
• 通過 IP 限制管理儀表板或要求所有管理帳戶進行雙因素身份驗證。.
• 維護一個包含加密異地備份的災難恢復計劃。.
• 實施分層防禦：網路控制、WAF、主機級強化和應用安全。.

恢復：在控制和清理後

在重新向公眾開放您的網站之前，確保以下事項：

1. 確認易受攻擊的主題已被移除或更新到安全版本。.
2. 如果檢測到持續的妥協，則從已知良好的備份中恢復。.
3. 如果資料庫憑證和 API 金鑰可能已被曝光，請更改它們。.
4. 更新 WordPress 鹽值（AUTH_KEY、SECURE_AUTH_KEY 等） 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。.
5. 從可信來源重新安裝插件和主題；不要重新引入修改過的檔案。.
6. 重新運行惡意軟體掃描並驗證檔案校驗和。.
7. 在修復後的至少 30 天內監控日誌以檢查異常活動。.
8. 記錄修復步驟以便合規和取證記錄。.

偵測手冊 — 查詢和工具

使用這些搜索模式在日誌和存儲庫中檢測嘗試：

• 搜索訪問日誌以查找 \.\./, %2e%2e, ，或 %252e%252e （雙重編碼）。.
• 搜索包含的請求 9. 或使用使會話失效的插件。在可行的情況下強制執行雙因素身份驗證。, .env, config.php, dump.sql, 備份.
• 檢查錯誤日誌中引用的消息 include() 或無法打開流。.
• 使用惡意軟件掃描器識別新的 PHP 文件或可疑字符串（評估, base64_解碼, ，等等）。.
• 使用版本控制差異或文件修改時間戳查找最近的更改。.
• 如果您有 SIEM 或日誌聚合，為這些模式創建警報以便及早捕捉利用。.

常見問題（FAQ）

問：主題頁面說沒有可用的補丁 — 我該怎麼辦？

答：立即移除或禁用易受攻擊的主題，並在可能的情況下應用 WAF 虛擬補丁。用安全的替代品替換主題，或保持分層保護，直到供應商補丁發布並經過驗證。.

問：我的網站在托管服務上 — 主機會保護我嗎？

答：托管保護各不相同。不要假設完全保護 — 與您的主機確認並在需要時應用額外的 WAF 和加固控制。.

問：我可以僅僅重命名主題文件夾來停止利用嗎？

答：可以。重命名主題目錄是一個有效的臨時措施，因為該文件夾下的 PHP 代碼將不再以相同的可預測路徑提供。確保您網站的活動主題是安全的，然後再重命名，以避免破壞前端。.

問：我應該從備份中恢復嗎？

答：如果您發現活動的妥協（網頁外殼、意外的管理帳戶），從已知良好的備份中恢復，然後應用補丁和加固通常比就地修復更安全。.

最後的備註和即時摘要

如果您的 WordPress 網站使用“警察局”主題 (<= 2.17)，請將此視為緊急事項：

1. 立即移除或禁用易受攻擊的主題，或應用 WAF 規則以阻止 LFI 模式。.
2. 檢查日誌以尋找掃描或文件讀取指標並保留它們。.
3. 如果您看到文件讀取的證據，請更換憑證和密鑰。.
4. 對網站進行全面的惡意軟體和完整性掃描。.
5. 在修復後的幾週內密切監控。.

速度和分層控制很重要。迅速控制以減少數據盜竊或網站接管的機會。如果您處理受監管或敏感數據並懷疑遭到入侵，請尋求專業的事件響應或取證團隊。.

參考資料和進一步閱讀

• OWASP：本地文件包含 (LFI) 概述
• CVE-2026-28049 警告和追蹤（請參見上方鏈接的 CVE 記錄）
• WordPress 加固指南和 PHP/FPM 配置最佳實踐

注意：此帖子提供技術指導。對於主動入侵或受監管數據暴露，請尋求事件響應專家的協助。.