什么是本地文件包含 (LFI)？

本地文件包含 (LFI) 是一种网络应用程序漏洞类别，攻击者可以导致服务器端脚本包含和评估来自本地文件系统的文件。在 PHP 应用程序如 WordPress 主题中，这通常源于不安全地使用 include()、require() 或类似函数，其中用户可控参数选择文件。成功利用可能会揭示敏感文件 (wp-config.php, .env, backups)、泄露凭据，并在某些配置中导致代码执行。.

LFI 与远程文件包含 (RFI) 不同 — 现代 PHP 通常禁用远程包含，因此 LFI 是一种更常见的现实世界风险。本地文件通常包含秘密和配置，使 LFI 对攻击者极具价值。.

AC Services 主题漏洞：快速事实

• 受影响产品：“AC Services | HVAC、空调和供暖公司” WordPress 主题 (主题系列：Window / AC Services)
• 易受攻击的版本：≤ 1.2.5
• 漏洞类型：本地文件包含 (LFI)
• CVE：CVE-2026-27326
• 报告者：独立研究人员（公开披露日期 2026-03-04）
• 所需权限：无 — 未认证
• 影响：本地文件泄露（包括 wp-config.php），潜在的数据库凭证泄露，可能根据服务器配置和可写上传目录导致网站接管
• 修补状态：在供应商发布确认修复并应用之前，将活动网站视为有风险.

为什么这个漏洞对 WordPress 网站是危险的

使此 LFI 严重的关键属性：

1. 未认证的利用 — 攻击者可以在没有账户的情况下进行探测和利用。.
2. 敏感本地文件 — WordPress 安装通常包含 wp-config.php、日志、备份和其他包含凭证和秘密的文件。.
3. 自动化大规模扫描 — 攻击者部署机器人在披露后迅速发现和利用易受攻击的主题。.
4. 转向完全妥协 — 暴露的数据库凭证可能导致内容操控、管理员创建或持久后门。.
5. 供应链风险 — 在多个客户网站上部署的购买主题可能导致广泛暴露。.

鉴于这些因素，立即实施分层缓解措施：阻止利用尝试，检测过去的利用，并修补根本原因。.

攻击者如何（并且通常会）滥用 LFI

攻击者通常遵循此剧本：

1. 指纹识别 — 识别使用易受攻击主题和版本的网站。.
2. 探测 — 向已知易受攻击的端点发送精心制作的请求，通常带有目录遍历序列（../ 或编码等效物）。.
3. 数据提取 — 检索 wp-config.php 和其他包含凭据或盐的文件。.
4. 凭据使用或升级 — 使用暴露的数据库凭据来更改数据、创建管理员用户或获得进一步访问。.
5. 持久性和清理 — 安装后门/网页外壳并删除日志以隐藏痕迹。.

早期阻止 LFI 尝试是减少风险和停止许多自动化攻击的有效方法。.

受损指标（IoCs）和检测指导

在日志和文件系统中查找这些迹象 — LFI 利用尝试的常见 IoC：

• HTTP requests to theme endpoints with query parameters containing traversal payloads (“../” or “..%2F”).
• 带有参数的请求，例如 文件=, 页面=, 模板=, 包含=, 包含=, 路径=, 视图=, 等等，特别是如果它们映射到主题代码。.
• 对于应该返回 404/403 的请求，重复的 200 响应。.
• 访问 wp-config.php、.env 或备份文件的证据。.
• 在 uploads、wp-content 或主题目录中出现的新或修改的 PHP 文件（可能是网页外壳）。.
• 意外的数据库更改（新管理员用户、带有恶意软件的修改帖子）。.
• 显示文件内容或堆栈跟踪的提升错误日志。.
• 来自Web服务器的意外出站连接。.

你现在可以采取的检测措施：

• 审查 web 服务器访问日志，查找包含 ../ 或尝试获取敏感文件名的请求。.
• 扫描文件系统以查找最近修改的文件和 uploads 中意外的 PHP 文件。.
• 在数据库中搜索不熟悉的用户和可疑的帖子内容。.
• 使用您的服务器或托管提供商日志检查被阻止或可疑的请求。.

您现在可以应用的即时缓解措施（无需更新主题）

如果您运行受影响的主题并且无法立即更新，请应用以下务实步骤：

1. 在边缘阻止LFI模式（虚拟修补）
   实施阻止目录遍历的服务器或防火墙规则（../ 和编码形式）、空字节和包装方案（php://, 数据：, file:）。尽可能限制对主题包含端点的访问，仅允许受信任的来源。.
2. 限制对敏感文件的直接访问
   添加Web服务器规则以拒绝对 wp-config.php, .env, .git 和其他已知敏感名称的请求。.
3. 锁定主题文件
   暂时移除或重命名主题中调用include()并使用不受信任输入的可疑入口文件。如果不需要公开功能的易受攻击文件，请将其移出Web根目录。.
4. 加固文件权限和PHP执行
   确保上传目录不执行PHP。应用最小权限（文件644，目录755），并验证Web服务器用户无法写入核心主题或插件目录。.
5. 如果发现泄露证据，请轮换密钥和凭据
   如果wp-config.php或其他秘密被访问，请立即轮换数据库凭据和任何暴露的API密钥，并相应更新配置。.
6. 监控和隔离可疑主机
   在调查期间阻止攻击者IP。如果存在持久后门或Shell，请考虑隔离主机以防止进一步损害。.
7. 在修复之前备份
   创建完整的文件系统和数据库备份以保留证据并提供恢复点。.

紧急应用这些控制措施——它们降低了即时风险，并提供了进行全面修复的时间。.

安全代码修复和开发者指导

如果您维护主题或与开发人员合作，请通过消除对未验证的用户控制输入的使用来修复根本原因。最强的控制是白名单。.

推荐的安全模式

1. 使用允许的模板或文件的白名单。将逻辑名称映射到实际文件：

// 允许的模板映射

$p = isset($_GET['page']) ? $_GET['page'] : 'home';.

if ( array_key_exists( $p, $allowed ) ) {

2. 永远不要将原始输入传递给 include/require。白名单是最强的控制；basename()/realpath() 只是部分缓解。

3. 如果将输入转换为路径是不可避免的，请规范化并确保文件在安全的基础目录内：.

$base = realpath( get_template_directory() . '/templates' );.

if ( $target && strpos( $target, $base ) === 0 ) {.

完整的修复检查清单（优先级）

4. 避免动态代码评估 (eval(), create_function 等)，并将文件内容视为数据，而不是可执行代码。

立即（数小时内）

• 5. 确保 Web 服务器进程在文件操作中具有最小权限，并且不能任意修改主题代码。.
• 对于主题更新，包含安全单元测试和专注于 include() 使用的代码审查。自动静态分析可以帮助检测风险调用。.
• 按紧急程度遵循以下步骤：.

短期（24–72小时）

• 应用边缘/服务器规则以阻止 LFI 模式和针对已知易受攻击端点的请求。.
• 通过 nginx/apache 规则拒绝对敏感文件的直接访问。.
• 在更改之前创建完整备份（文件系统 + 数据库）。.

如果有供应商补丁可用，请在所有站点上更新主题（先在暂存环境中测试）。

• 如果没有补丁，请在生产环境中禁用或替换易受攻击的主题；在修复期间切换到默认或已知良好的主题。.
• 审计恶意用户、计划任务和意外的出站连接。.
• 运行全面的恶意软件扫描和文件完整性检查。.

长期（持续进行）

• 加固文件权限并禁用上传中的 PHP 执行。.
• 实施日志记录和监控异常；保持系统更新。.
• 使用暂存环境进行更新，并维护事件响应计划。.

针对WordPress主机和网站所有者的加固建议

• 维护并测试完整网站备份和恢复程序。.
• 对文件系统和数据库账户应用最小权限原则。.
• 强制使用强密码并定期更换（数据库密码、盐值、API密钥）。.
• 禁用通过管理界面编辑文件： define('DISALLOW_FILE_EDIT', true);
• 定期运行漏洞扫描和文件完整性检查。.
• 配置Web服务器以拒绝访问 .git, .env 和备份文件。.
• 在可行的情况下限制不必要的出站服务器连接。.
• 为管理员账户启用双因素认证并监控登录尝试。.

事件响应：如果怀疑您的网站被攻破该怎么办

1. 控制
   如果可能，将网站置于维护/离线模式。阻止可疑IP并在有主动数据外泄或持久性Shell的情况下隔离主机。.
2. 保留证据
   在修改任何内容之前，对文件系统和数据库进行取证快照。保留服务器日志（Web、PHP、syslog）。.
3. 根除
   删除恶意文件或从经过验证的干净备份中恢复。更换凭据并使会话失效。删除可疑的管理员用户和计划任务。.
4. 恢复
   从干净的来源恢复服务，加固网站，并密切监控复发情况。.
5. 审查和学习
   进行根本原因分析并改善防御，以减少复发的可能性。.

如果漏洞复杂或您缺乏内部能力，请聘请一位有经验的合格事件响应专家，专注于WordPress取证调查。.

获取专业帮助和服务

如果您需要协助实施缓解措施、进行取证分析或在多个客户之间恢复站点，请寻求可信的安全顾问或事件响应提供商。请向潜在提供商询问：

• 在WordPress事件响应和取证时间表方面的证明经验。.
• 参考资料和之前的参与摘要（根据需要进行编辑）。.
• 明确的工作范围、交付物和隔离、根除和恢复的时间表。.
• 安全处理凭证和证据保存实践。.

为安全团队提供安全测试指导和注意事项。

• 仅测试您拥有或已获得明确许可的系统。.
• 测试中不要包含敏感文件 — 使用无害文件确认包含行为。.
• 在主动利用测试之前，优先进行被动日志分析。.
• 如果需要主动测试，请使用隔离的暂存环境并保留日志以供分析。.
• 如果您发现其他问题，请遵循负责任的披露。.

公共利用代码和大规模扫描器在披露后迅速出现；请及时应用缓解措施。.

附录 — 示例服务器规则（高层次，使用前测试）

您可以根据自己的环境调整的高层次示例：

• 阻止直接访问 wp-config.php （Nginx代码片段）： location ~* wp-config.php { 拒绝所有; }
• 拒绝包含遍历序列的请求：拒绝包含 ../ 或编码变体的请求，您的服务器支持请求匹配。.
• 阻止可疑的包装方案：拒绝包含的请求 php://, 数据：, 期待：, 等等。.

这些规则故意设计得很通用——在部署到生产环境之前，请在暂存环境中仔细调整和测试。.