“警察局” WordPress 主题中的本地文件包含 (LFI) (<= 2.17) — 网站所有者现在必须采取的措施

作者： 香港安全专家

发布日期： 2026-03-01

TL;DR

一个关键的本地文件包含 (LFI) 漏洞 (CVE-2026-28049) 影响“警察局” WordPress 主题版本 2.17 及更早版本。未经身份验证的攻击者可以包含并读取您网络服务器上的本地文件，暴露 wp-config.php、环境文件、备份、日志和其他敏感数据。该问题的严重性很高 (CVSS 8.1)。如果您运行此主题且尚未更新或缓解，请立即采取行动。.

本文解释：

• 漏洞的高层工作原理
• 谁和什么面临风险
• 如何检测利用尝试
• 立即遏制和手动缓解
• 恢复和长期预防

什么是本地文件包含 (LFI) 漏洞？

本地文件包含发生在应用程序使用未经验证的用户输入来确定要包含或显示的文件系统路径时。在 WordPress 主题中，这通常意味着接受文件名或模板的参数在没有适当清理的情况下被使用。成功的 LFI 使攻击者能够从服务器读取任意文件，在某些链中可能导致远程代码执行。.

此漏洞的关键事实：

• 影响主题版本 ≤ 2.17
• 类型：本地文件包含 (LFI)
• CVE：CVE-2026-28049
• CVSS：8.1（高）
• 所需权限：无（未认证）

为什么这个 LFI 对 WordPress 网站特别危险

WordPress 在文件中存储关键秘密。典型的例子是 wp-config.php, ，其中包含数据库凭据和身份验证密钥。如果攻击者读取该文件，他们可以：

• 访问或修改数据库（如果允许远程数据库访问）
• 创建管理账户
• 注入内容或后门
• 外泄用户数据、支付记录或个人身份信息

即使没有直接暴露 wp-config.php, LFI 可以揭示包含秘密的日志、备份或临时文件。在许多托管设置中，本地读取访问足以进一步升级。.

攻击者如何发现并利用此漏洞

攻击者和自动扫描器寻找看似接受文件名的参数，例如 文件=, 模板=, 路径=, 页面=, 包含=, tpl=. 然后他们尝试目录遍历有效负载，例如 ../ 或 URL 编码的变体，如 %2e%2e/.

典型的利用流程：

1. 发现接受文件名或模板的参数。.
2. 发送有效负载，如 ../../wp-config.php （如有必要，进行 URL 编码）。.
3. 如果响应包含文件内容，则数据外泄成功。.

由于该漏洞是未经身份验证的，公开披露后可能会进行大规模扫描和快速利用。将暴露视为紧急情况。.

受损指标（IoC）— 现在需要注意的事项

• 带有 %2e%2e 或 ../ 在查询参数中。.
• 包含文件名的请求，例如 wp-config.php, .env, config.php, backup.zip, dump.sql.
• 响应突然包含原始 PHP 源代码、凭据或长的 base64 大块。.
• 意外的新管理员用户、内容更改或可疑的计划任务。.
• 针对特定端点的 200 响应激增或对同一 URL 的重复 POST 请求。.
• Web 服务器错误日志显示关于用户输入触发的文件包含的 PHP 警告。.
• 外部 IP 重复请求相同的异常 URL（扫描行为）。.

如果发现扫描或文件读取的证据，假设敏感数据可能已被暴露，并立即遵循恢复步骤。.

立即遏制 — 现在需要采取的行动（优先顺序）

如果您在任何生产网站上使用易受攻击的主题（<= 2.17），请立即执行以下步骤：

1. 将网站置于维护模式 — 防止进一步的自动利用，并为您提供安全调查的时间。.
2. 替换或停用易受攻击的主题 — 切换到受信任的默认主题（例如，Twenty* 主题）或您控制的其他安全主题。如果您无法立即切换，请在服务器上删除或重命名主题目录（例如，重命名 /wp-content/themes/police-department 到 /wp-content/themes/police-department.disabled）以防止易受攻击的代码被提供。.
3. 在 Web 服务器或 CDN 层阻止易受攻击的端点 — 创建规则以阻止包含可疑参数或模式的请求，例如 ../ 在查询字符串中。请参阅“临时手动缓解”部分以获取示例规则。.
4. 如果可用，通过 WAF 应用虚拟补丁 — WAF 可以在您调查和测试官方补丁时阻止利用尝试。使用阻止目录遍历、敏感文件名和已知 LFI 有效负载的规则。.
5. 如果怀疑暴露，请审查访问并轮换凭据 — 如果日志显示尝试读取 wp-config.php 或其他机密，请立即轮换数据库密码并更新 wp-config.php. 。轮换存储在网站上的身份验证盐和任何 API 密钥。.
6. 创建法医快照 — 保存网页服务器日志、访问日志、错误日志的副本，以及文件系统快照（如果可能的话）以供后续调查。.
7. 扫描网页外壳和其他指标 — 使用恶意软件扫描器和手动检查来查找上传、主题或插件目录中意外的 PHP 文件。.

在调查人员审查之前不要删除证据 — 首先复制日志和文件。.

临时手动缓解措施（示例）

在部署到生产环境之前，在暂存环境中测试任何规则。这些是粗略但有效的缓解措施，以降低即时风险。.

Apache (.htaccess) — 拒绝包含目录遍历序列的请求

# Block requests with directory traversal attempts in query string
RewriteEngine On
RewriteCond %{QUERY_STRING} (%2e%2e|%2f|%5c) [NC]
RewriteRule .* - [F,L]

这会阻止包含常见 URL 编码遍历模式的查询。它可能会影响使用编码字符的合法请求。.

Nginx — 丢弃查询中包含 ../ 或编码等价物的请求

# Block basic directory traversal attempts
if ($request_uri ~* "(%2e%2e|%2f\.\.|../|%5c)") {
    return 444;
}

注意： 返回 444 在没有响应的情况下关闭连接，并有效地阻止扫描器。.

限制对主题文件的直接访问

如果您希望在更新之前完全阻止主题目录：

Apache：

<Directory "/var/www/html/wp-content/themes/police-department">
    Require all denied
</Directory>

短期虚拟补丁和 WAF 规则（概念性和安全示例）

location ~* /wp-content/themes/police-department/ {

这会阻止网页服务器提供主题目录中的文件，如果激活了替代主题，则是安全的。.

PHP 设置（服务器范围）以降低风险

• 确保 allow_url_include = 关闭.
• 使用 open_basedir 限制 PHP 文件访问到网站根目录和所需目录。.
• 如果不需要，禁用危险函数，例如 执行, shell_exec, 系统, proc_open.

这些并不能修复主题漏洞，但增加了攻击者的成本。.

检测和响应 — 更深入的步骤

1. 保留日志和证据 — 复制访问日志、错误日志、PHP-FPM 日志和保留时间戳的 Web 服务器配置文件。.
2. 确定攻击时间线 — 在日志中搜索 ../, %2e%2e, wp-config.php, .env, ，以及其他敏感文件名。注意源 IP 和用户代理。.
3. 搜索 Web Shell 或新添加的文件 — 检查最近修改的 PHP 文件：
   • wp-content/uploads/
   • wp-content/themes/
   • wp-content/plugins/

   常见指标：混淆代码、长的 base64 字符串、使用 eval(), preg_replace 与 /e, ，或在运行时解码的压缩有效负载。.

4. 检查 WordPress 用户和身份验证 — 审计 wp_users 和 wp_usermeta 是否有意外的管理员账户或权限更改。.
5. 根据需要轮换密钥 — 如果 wp-config.php 怀疑泄露，改变数据库凭据，更新 wp-config.php, ，并轮换身份验证盐和存储在服务器上的任何 API 密钥。.
6. 重新安装干净的副本 — 在隔离后，一旦有安全版本可用，从官方来源替换主题为干净副本。.
7. 针对敏感暴露进行取证分析 — 如果客户数据或财务记录被泄露，请涉及事件响应或取证专家。.
8. 如有需要，通知托管服务提供商或相关部门 — 一些主机可以协助提供网络级指标和修复。.

为什么 WAF 和分层保护对 LFI 重要

Web 应用防火墙 (WAF) 通过在到达易受攻击代码之前阻止恶意请求来提供帮助。有效的 LFI 保护措施包括：

• 阻止查询字符串和参数值中的目录遍历序列
• 阻止对已知敏感文件名的访问尝试（例如，, wp-config.php, .env)
• 检查请求体中的可疑有效负载
• 限制速率和 IP 声誉检查以减缓大规模扫描
• 虚拟补丁 — 临时规则以防止利用，直到部署官方修复

当没有立即补丁可用或更新必须在生产发布前在暂存环境中测试时，虚拟补丁尤其有价值。.

如果您无法立即修补：优先行动

1. 应用 WAF 虚拟补丁以阻止利用有效负载和扫描尝试。.
2. 禁用或从生产网站中移除易受攻击的主题。.
3. 在 CDN 或 Web 服务器层阻止可疑的查询字符串和文件名。.
4. 收紧 PHP 设置（open_basedir, allow_url_include).
5. 在永久修复到位之前，频繁审核日志。.
6. 轮换任何怀疑被暴露的秘密。.

加固检查清单 — 长期预防

• 保持 WordPress 核心、主题和插件更新；使用暂存环境测试更新。.
• 订阅您使用的主题/插件的漏洞信息和补丁通知。.
• 对文件权限实施最小权限原则；避免世界可写的 PHP 文件。.
• 使用 open_basedir 并保持 allow_url_include 禁用。.
• 定期运行自动恶意软件扫描和文件完整性检查。.
• 使用安全的秘密管理；尽可能避免将凭据存储在公共可访问的文件中。.
• 通过 IP 限制管理员仪表板或要求所有管理员账户进行双因素身份验证。.
• 维护一个带有加密异地备份的灾难恢复计划。.
• 实施分层防御：网络控制、WAF、主机级加固和应用安全。.

恢复：在遏制和清理后

在重新向公众开放您的网站之前，请确保以下事项：

1. 确认易受攻击的主题已被移除或更新到安全版本。.
2. 如果检测到持续的妥协，请从已知良好的备份中恢复。.
3. 如果数据库凭据和 API 密钥可能已被暴露，请更改它们。.
4. 更新 WordPress 盐值（AUTH_KEY、SECURE_AUTH_KEY 等） wp-config.php.
5. 从可信来源重新安装插件和主题；不要重新引入修改过的文件。.
6. 重新运行恶意软件扫描并验证文件校验和。.
7. 在修复后至少监控日志中的异常活动 30 天。.
8. 记录修复步骤以便合规和取证记录。.

检测剧本 — 查询和工具

在日志和存储库中使用这些搜索模式来检测尝试：

• 在访问日志中搜索 \.\./, %2e%2e, ，或 %252e%252e （双重编码）。.
• 搜索包含的请求 wp-config.php, .env, config.php, dump.sql, 备份.
• 检查错误日志中引用的消息 include() 或无法打开流。.
• 使用恶意软件扫描器识别新的 PHP 文件或可疑字符串（eval, base64_decode, ，等等）。.
• 使用版本控制差异或文件修改时间戳查找最近的更改。.
• 如果您有 SIEM 或日志聚合，请为这些模式创建警报，以便及早捕捉利用。.

常见问题解答（FAQ）

问：主题页面说没有可用的补丁 — 我该怎么办？

答：立即删除或禁用易受攻击的主题，并在可能的情况下应用 WAF 虚拟补丁。用安全的替代主题替换该主题，或保持分层保护，直到发布并验证供应商补丁。.

问：我的网站在托管服务上 — 主机会保护我吗？

答：托管保护各不相同。不要假设完全保护 — 请与您的主机确认，并在需要时应用额外的 WAF 和加固控制。.

问：我可以仅通过重命名主题文件夹来停止利用吗？

答：可以。重命名主题目录是一种有效的临时措施，因为该文件夹下的 PHP 代码将不再以相同的可预测路径提供服务。在重命名之前，请确保您网站的活动主题是安全的，以避免破坏前端。.

问：我应该从备份中恢复吗？

答：如果您发现活动的妥协（Web Shell、意外的管理员帐户），从已知良好的备份中恢复，然后应用补丁和加固通常比就地修复更安全。.

最后的说明和即时总结

如果您的 WordPress 网站使用“警察局”主题 (<= 2.17)，请将此视为紧急事项：

1. 立即删除或禁用易受攻击的主题，或应用阻止 LFI 模式的 WAF 规则。.
2. 检查日志以寻找扫描或文件读取的迹象并保存它们。.
3. 如果您看到文件读取的证据，请更换凭据和密钥。.
4. 对网站进行全面的恶意软件和完整性扫描。.
5. 在修复后密切监控数周。.

速度和分层控制很重要。迅速控制以减少数据盗窃或网站接管的机会。如果您处理受监管或敏感数据并怀疑被攻击，请联系专业的事件响应或取证团队。.

参考资料和进一步阅读

• OWASP：本地文件包含 (LFI) 概述
• CVE-2026-28049 通知和跟踪（请参见上面链接的 CVE 记录）
• WordPress 加固指南和 PHP/FPM 配置最佳实践

注意：此帖子提供技术指导。对于主动攻击或受监管的数据泄露，请联系事件响应专家。.