紧急：米勒 WordPress 主题中的本地文件包含 (LFI) (<= 1.3.3) — 网站所有者现在必须做什么

摘要： 一个关键的本地文件包含 (LFI) 漏洞 (CVE-2026-28053) 已被披露，影响米勒 WordPress 主题的版本最高到 1.3.3。该问题允许未经身份验证的攻击者从易受攻击的网站包含本地文件并呈现其内容。这可能导致凭据泄露、完整数据库被攻陷或远程代码执行，具体取决于环境。CVSS 3.1 基础分数：8.1（高）。如果您运行米勒主题（或管理运行该主题的网站），请将此视为紧急优先事项。.

本公告由总部位于香港的 WordPress 安全专家准备。它解释了漏洞是什么，为什么它是危险的，如何检测利用，以及您现在必须采取的实际步骤。指导直接且以行动为导向——没有供应商推广，只有技术建议。.

目录

• 什么是本地文件包含 (LFI)？
• 我们对米勒主题中的 CVE-2026-28053 的了解
• 为什么这个漏洞对 WordPress 网站很重要
• 您应该寻找的妥协指标 (IoCs)
• 立即缓解步骤（接下来的 60-120 分钟）
• 推荐的加固和配置更改
• 检测和响应妥协
• 您可以部署的示例 WAF / 服务器规则
• 长期建议和事件后检查清单
• 附录：有用的命令、示例日志和检查清单

什么是本地文件包含 (LFI)？

本地文件包含 (LFI) 是一种漏洞，其中应用程序根据用户控制的输入包含来自本地文件系统的文件。攻击者可以操纵 URL 参数或表单输入，使应用程序读取并返回文件，例如：

• wp-config.php（数据库凭据和盐）
• .htaccess
• PHP 源文件（暴露代码和秘密）
• 系统文件，如 /etc/passwd

虽然 LFI 并不总是直接导致远程代码执行 (RCE)，但它通常会使进一步升级成为可能：读取 wp-config.php 以获取数据库凭据，包括包含注入 PHP 的日志文件，或利用可写的上传目录来实现 RCE。在 WordPress 环境中，主题代码中的未经身份验证的 LFI 特别危险，因为主题在公共请求空间中运行，并且经常成为自动扫描器的目标。.

我们对 CVE-2026-28053（米勒主题 ≤ 1.3.3）的了解

• 漏洞类型：本地文件包含 (LFI)
• 受影响的版本：米勒主题 ≤ 1.3.3
• CVE: CVE-2026-28053
• 认证：无要求（未认证）
• CVSS 基础分数：8.1（高）
• OWASP 分类：注入
• 可利用性：远程，通过提供操控主题中包含路径的精心构造的请求

在撰写时，主题作者可能没有官方补丁。请确认供应商页面以获取更新；在发布官方补丁之前，网站仍然面临风险，必须依赖缓解和加固。.

为什么这对 WordPress 网站所有者来说是危险的

LFI 在主题中有三个主要影响：

1. 凭据暴露 — wp-config.php 通常包含数据库凭据和密钥。泄露允许数据库访问和管理接管。.
2. 远程代码执行或网站控制 — 将 LFI 与可写目录或日志注入结合可能导致 RCE，允许后门、篡改或恶意软件托管。.
3. 权限提升和转移 — 拥有数据库凭据或 shell 访问权限的攻击者可以创建管理员用户、窃取数据或利用托管环境进行进一步攻击。.

由于该漏洞是未认证的并且影响主题代码，自动化利用和大规模扫描很可能发生。将控制和缓解视为紧急事项。.

受损指标（现在要注意的事项）

• 包含目录遍历序列（../ 或 ..\）或类似参数的请求的 HTTP 访问日志 ?file=, ?模板=, ?inc=, 等等。.
• 可疑请求引用 /wp-content/themes/miller/ 或编码遍历，如 %2e%2e%2f 或 %252e%252e%252f.
• 包含的请求 /etc/passwd, wp-config.php, ，或 php://filter/ 在参数中。.
• 意外的文件创建或修改在 wp-content/uploads, ，主题目录或其他可写路径中。.
• 新的管理员用户、不寻常的定时任务或意外的外发网络连接。.
• 来自文件完整性监控的警报或主题文件中意外的校验和变化。.

如果您观察到这些迹象，请立即进行事件响应（见下文）。.

立即缓解步骤 — 在接下来的60-120分钟内该做什么

1. 如果存在，请禁用或移除Miller主题
   暂时切换到默认的、已知良好的主题（例如Twenty Twenty-Three）。如果在高流量的生产网站上无法切换，请优先考虑网络层阻止（见下文）。.
2. 在网络层阻止利用向量
   部署WAF或服务器规则以阻止具有路径遍历、, php:// 模式和对 wp-config.php 或 /etc/passwd.
3. 限制对敏感文件的直接访问
   确保 wp-config.php 不可公开读取。应用限制性文件权限（例如，400/440，尽可能）。添加Web服务器规则（.htaccess或nginx）以拒绝对不打算公开执行的主题子文件夹中的PHP文件的直接访问。.
4. 加固 PHP
   验证 allow_url_include 被禁用时，实施 open_basedir 限制可达路径，并考虑在您的环境中禁用危险函数（exec、shell_exec、system、passthru、proc_open、popen），如果可行的话。.
5. 更换凭据
   如果日志显示wp-config.php或其他秘密被读取，请轮换数据库凭据、API密钥和WordPress盐。强制重置管理员账户的密码。.
6. 如果确认被攻陷，请隔离主机
   将网站置于维护模式，通过IP限制访问，或在调查期间将主机下线。.
7. 部署临时虚拟补丁
   如果您控制反向代理或 WAF，请添加阻止利用模式的规则。虚拟修补在您等待官方主题更新时降低了即时风险。.

推荐的加固和配置更改（长期）

• 保持 WordPress 核心、主题和插件更新。维护清单，以便您可以快速识别受影响的网站。.
• 删除未使用的主题和插件。未激活的代码仍然可能被发现和滥用。.
• 设置保守的文件权限：目录 755（或 750），文件 644，wp-config.php 440 或 400（如果您的托管用户模型允许）。.
• 使用 open_basedir 限制 PHP 仅在您网站所需的目录中运行。.
• 实施文件完整性监控，以检测未经授权的更改并对修改进行警报。.
• 禁用上传和其他非代码目录中的 PHP 执行。以下是示例 Apache/Nginx 规则。.
• 对数据库用户采用最小权限原则——仅授予正常操作所需的权限。.
• 维护安全的、版本化的备份，存储在服务器外，并定期测试恢复。.

检测利用尝试——实用查询和检查

1. 在 HTTP 日志中搜索遍历模式：

   grep -i -E "(\.\./|\%2e\%2e|\%2e\%2e%2f|php://filter|wp-config.php|/etc/passwd)" /var/log/apache2/access.log

2. 检查错误日志以查找包含/打开流错误：

   grep -i "无法打开流" /var/log/apache2/error.log

3. 在内容目录中查找最近修改的文件：

   find /var/www/html/wp-content -type f -mtime -7

4. 在数据库中查找最近创建的管理员用户：

   SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE user_registered >= NOW() - INTERVAL 7 DAY;

5. 将主题文件的校验和与来自供应商的新副本进行比较，以检测篡改。.

事件响应程序（如果您怀疑被攻破）

1. 控制 — 在防火墙/WAF 阻止攻击流量，并将网站置于维护模式或通过 IP 限制访问。.
2. 保留证据 — 快照磁盘，收集日志，并在进行破坏性更改之前制作取证副本。.
3. 根除 — 移除后门，从干净来源恢复 WordPress 核心/主题/插件，并更换被泄露的凭据（数据库、WP 管理、SSH、FTP）。轮换 API 密钥。.
4. 恢复并验证 — 从已知干净的备份中恢复，验证文件完整性，并重新扫描恶意软件。.
5. 沟通 — 如果个人数据可能已被暴露，请根据您的政策或法律要求通知利益相关者和用户。.
6. 事件后分析 — 记录根本原因并更新补丁/监控流程以减少重复发生。.

如果您不愿意自己执行事件响应，请聘请具有 WordPress 取证能力的经验丰富的安全专业人员。.

阻止常见 LFI 尝试的示例 WAF / 服务器规则

以下是您可以为 mod_security、Nginx 或其他 WAF 调整的示例模式和规则。首先在非阻塞/记录模式下测试，以避免误报。.

检测遍历和包含尝试的通用模式

• 阻止包含以下内容的请求： ../ 或 ..\ （原始或编码），, %2e%2e%2f, php://filter, wp-config.php, /etc/passwd.
• 注意查询参数，如： 文件=, 包含=, 包含=, 模板=, 页面=, 路径=.

概念性 mod_security 规则：

SecRule REQUEST_URI|ARGS|ARGS_NAMES "@rx (\.\./|\%2e\%2e|\%252e\%252e|php://filter|wp-config\.php|/etc/passwd)" \
 "id:100001,phase:2,deny,status:403,log,msg:'Potential LFI attempt blocked'"

示例 Nginx 代码片段：

# block suspicious traversal sequences
if ($request_uri ~* "\.\./|\%2e\%2e|\%252e%252e") {
    return 403;
}

# block php://filter usages in query string
if ($arg_file ~* "php://filter|wp-config\.php|/etc/passwd") {
    return 403;
}

目标规则：拒绝访问易受攻击的包含端点

如果已知特定主题文件暴露了包含参数（例如，, inc.php?file=), 限制对该端点的访问，或者如果不需要则完全拒绝访问。.

<Files "inc.php">
  Require all denied
</Files>

或仅通过 IP 限制管理访问：

<Files "inc.php">
  Require ip 203.0.113.0/24
  Require all denied
</Files>

主题开发者应实施的安全 PHP 模式示例

主题开发者不得信任 include() 调用中的用户输入。使用白名单方法并将令牌映射到固定路径。验证和规范化输入，绝不要接受用户提供的完整文件系统路径。.

<?php

如何在整个站点群中优先考虑缓解措施

1. 清点站点并识别安装了 Miller 的站点（活动或非活动）。.
2. 优先考虑高流量和面向公众的站点以便立即采取行动。.
3. 在您修补或移除主题时，网络范围内应用 WAF 规则以阻止已知的利用字符串。.
4. 对于非关键站点，考虑移除主题或在主题目录中禁用 PHP 执行，直到修补完成。.
5. 修复后，监控活动至少 30 天，以便发现延迟的后利用指标。.

长期安全态势改善

有效的 WordPress 安全是分层的：

• 修补管理：保持核心、主题和插件更新，并维护清单。.
• 应用保护：使用 WAF、反向代理，并强化 PHP 设置。.
• 最小权限：限制数据库和文件权限。.
• 监控与日志：文件完整性监控、保留日志和警报。.
• 备份与恢复：离线版本备份和经过测试的恢复。.
• 安全开发：主题开发者应将包含目标列入白名单并验证输入。.

实用检查清单 — 网站所有者的逐步指南

1. 确定网站是否安装了Miller主题（激活或未激活）。.
2. 如果Miller处于激活状态：如果可能，切换到安全主题；否则部署WAF/服务器规则以阻止LFI模式。.
3. 添加服务器规则以阻止路径遍历和 php:// 样式请求。.
4. 设置文件权限：wp-config.php 400/440，其他文件644，目录755。.
5. 禁用上传和非代码目录中的PHP执行。.
6. 确保 allow_url_include = 关闭 并实施 open_basedir 限制。.
7. 扫描文件以查找更改并进行深入的恶意软件扫描。.
8. 检查日志以查找LFI尝试和可疑的管理员活动。.
9. 如果怀疑被攻破：保留日志，将网站下线，轮换凭据，从干净的备份恢复，并进行事后审查。.
10. 如果需要，考虑聘请经验丰富的事件响应或托管安全服务进行虚拟修补和取证支持。.

附录：有用的命令和示例搜索

• 查找Miller主题中最近修改的文件：

  find /var/www/html/wp-content/themes/miller -type f -mtime -7 -ls

• 在Web日志中搜索遍历序列：

  grep -iE "(\.\./|\%2e\%2e|php://filter|wp-config\.php|/etc/passwd)" /var/log/nginx/access.log

• 列出过去7天内添加的WordPress用户（MySQL）：

  SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE user_registered >= NOW() - INTERVAL 7 DAY;

• 检查PHP配置以查找危险设置：

  php -i | grep -E "allow_url_include|open_basedir|disable_functions"

来自香港安全专家的最终说明

这个Miller主题中的LFI展示了单一不安全的包含模式如何暴露整个网站。关键行动：

• 将未经身份验证的文件包含视为高优先级。.
• 立即使用虚拟补丁（WAF/服务器规则）和主机级控制，而不是等待供应商补丁。.
• 如果怀疑wp-config.php或其他秘密被暴露，请更换凭据并进行仔细调查。.
• 采用分层防御：WAF、主机加固、安全编码、监控和可靠备份。.

快速而有条理地行动。如果需要外部帮助，请联系经验丰富的WordPress事件响应团队或具有取证能力的安全顾问。.