追記:2015/08/20
現在のバージョンは、1.4.0で大丈夫そうですが、使い終わったら、無効化しておいたほうがよい気がします。
アクセスログとかにもそれらしいのを見かけるので・・。
現在のバージョンは、1.4.0で大丈夫そうですが、使い終わったら、無効化しておいたほうがよい気がします。
アクセスログとかにもそれらしいのを見かけるので・・。
ソフト名:WordPress wp-FileManager Plugin 1.3.0
回避策:あり
脆弱性:
機密情報の奪取,
ディレクトリトラバーサル,
ファイルのダウンロード,
ソース:
http://wordpress.org/extend/plugins/wp-filemanager/
Daily Vuln Watch Japan:WordPress wp-FileManager Pluginに機密情報奪取の脆弱性。危険度:中! - livedoor Blog(ブログ)
http://[サーバのIPアドレス]/wordpress/wp-content/plugins/wp-filemanager/incl/libfile.php?&path=../../&filename=wp-config.php&action=download
試してみなけりゃ分からない? 古いWebアプリの脆弱性(4):書き換え事件でも使われた? WordPressプラグインの脆弱性とシンボリックリンク (3/4) - @IT
Wordpress関連のファイルをFTPなどで転送して作業しているがなんとなく煩雑だなと思っていたり、FTP自体が使えない場合に、WordPressのプラグインの「WP-FileManager」を使ってみてはどうかなと思います。
wp-FileManagerのダウンロード先
wp-FileManager v.1.3.0http://wordpress.org/extend/plugins/wp-filemanager/
wp-FileManagerの設定と使い方
設定
ブラウザ上でファイルをEdit(編集)したい場合は、上記の許可設定以外に下のところに、編集したいファイルの拡張子を記入してください.
php,js,css,txt,html
複数ある場合はコンマで区切って並べればOKです。
使い方
ファイルをダウンロードして、ローカルのパソコンで編集してそれをアップロードします。アップロード時に同名のファイルがある場合は、上書きしてくれます。
ファイル名の横のEditアイコンをクリックすると、ブラウザ上でも編集が可能ですが環境によっては文字が化けたりしそうな気がします。
どんな用途に使えるか
無料のレンタルサーバーでFTPの接続が許可されていない場合や、外部のパソコンから一時的にファイルを編集したい場合などには便利かと思います。wp-FileManager自体は、Wordpressの管理画面のプラグインの追加から検索して導入ができることが多いと思います。このプラグインさえ導入できれば、アップロードとダウンロード程度はなっているサーバーが多いかと思います。
設定例
■Filemanager Default Home location :
../
../
■Values to be listed in comma seperate list.
php,php4,php3,phtml,phps,conf,sh,shar,csh,ksh,tcl,cgi,pl,js,txt,ini,html,htm,css,xml,xsl,ini,inf,cfg,log,nfo,bat,htaccess
■Viewable Extension list :
jpeg,jpe,jpg,gif,png,bmp
■Hidden File String :
*
■Hidden File extension :
*
■Hidden Directory List :
*
おそらく、これですべてのファイルが見れると思います。php,php4,php3,phtml,phps,conf,sh,shar,csh,ksh,tcl,cgi,pl,js,txt,ini,html,htm,css,xml,xsl,ini,inf,cfg,log,nfo,bat,htaccess
■Viewable Extension list :
jpeg,jpe,jpg,gif,png,bmp
■Hidden File String :
*
■Hidden File extension :
*
■Hidden Directory List :
*
スポンサーリンク
コメントを残す