插件名称	干得好
漏洞类型	本地文件包含
CVE 编号	CVE-2026-28118
紧迫性	高
CVE 发布日期	2026-02-28
来源网址	CVE-2026-28118

紧急：Welldone主题中的本地文件包含漏洞（<= 2.4）— WordPress网站所有者现在必须采取的措施

一个高严重性的本地文件包含（LFI）漏洞已被披露，影响Welldone WordPress主题（版本<= 2.4）。该漏洞被追踪为CVE-2026-28118，并被分配了8.1的CVSS基础分数，这一弱点允许未经身份验证的攻击者在易受攻击的网站上包含本地文件并暴露其内容给攻击者。由于存储在本地文件中的信息（数据库凭据、API密钥、配置细节）可能导致完全妥协，因此对于任何运行受影响主题的网站，立即采取缓解措施是必要的。.

我作为WP‑Firewall安全团队的一部分，提供实用的、动手的指导：为什么这很危险，它在技术层面上是如何工作的，如何检测尝试利用，以及您可以采取的保护您的WordPress网站的优先级清单，包括立即和中期的行动。如果您管理多个网站或托管客户，请与您的团队分享此帖子——以下步骤已根据紧急性和实施的简便性进行了分类。.

披露摘要

• 受影响的软件：Welldone WordPress主题
• 易受攻击的版本：<= 2.4
• 漏洞类型：本地文件包含 (LFI)
• CVE：CVE-2026-28118
• CVSS：8.1（高）
• 所需权限：无 (未经身份验证)
• 影响：任意本地文件读取；可能泄露凭据和敏感文件；可能导致完全接管，具体取决于服务器配置
• 报告者：Tran Nguyen Bao Khanh（报告于2025年8月19日；公开披露于2026年2月26日）

为什么 LFI 对 WordPress 网站如此危险

本地文件包含发生在应用程序使用用户提供的输入构建本地文件路径时，没有适当的验证或清理，然后包含或读取该路径。在PHP中，像 include(), require(), include_once()， 和 require_once() 这样的函数是此类漏洞常见的地方——特别是在根据URL参数加载模板部分或外部文件的主题和插件中。.

对于WordPress网站，后果尤其严重：

• wp-config.php 通常包括数据库凭据和盐；读取它可以使攻击者获得完全的数据库访问权限。.
• 其他文件可能包含API密钥、SMTP凭据或专有数据。.
• 如果PHP包装器（例如，, php://filter）或上传位置可访问，攻击者可以从读取文件升级到执行代码（例如，通过定位和提取一个可写的上传，稍后将用于存储后门）。.
• 由于该缺陷在未经身份验证的情况下可访问，因此大规模自动扫描和利用尝试是可能的——我们预计机会主义攻击者会迅速针对暴露的安装。.

攻击者通常如何利用LFI（高级别）

攻击者发现一个用于文件包含调用的参数（例如，类似于 include( $template_path . $_GET['page'] . '.php' ); ). 如果该参数未经过验证，攻击者可以通过目录遍历发送引用其他本地文件的请求 (../../../../wp-config.php) 或通过 PHP 流包装器 (php://filter, data://). 即使直接包含被阻止，许多 LFI 链也可以通过首先暴露文件、日志或包含其他可访问资源转变为远程代码执行 (RCE)。.

我们不会在这里分享有效的利用载荷，但对防御者来说，识别下面检测部分中描述的模式和指标是重要的。.

攻击和妥协的指标——需要注意什么

监控您的日志（Web 服务器访问日志、PHP 错误日志、WordPress 日志）以查找这些迹象：

1. 查询字符串中包含目录遍历模式的请求：
   • 未编码或已编码 "../" 序列（例如，, ..%2F, %2e%2e%2f)
   • 重复的遍历尝试，如 ../../../../
2. 引用敏感文件名的请求：
   • wp-config.php, wp-config.php.bak, .env, /etc/passwd, .htpasswd， ETC。
3. 使用常见 LFI 参数名称的请求：
   • 名为查询参数 文件, 页面, 模板, inc, 小路, 模块, ，或其他
   • 突然涌入的请求到主题端点，带有不同的遍历载荷
4. 使用 PHP 流包装器模式：
   • php://filter, expect://, data:// 出现在查询参数中
5. 异常的日志条目或新的 PHP/JS 文件在 wp-content/上传, wp-content/themes/ /, ，或其他可写目录中：
   • 可疑命名的文件
   • 最近修改的模板或插件文件，您没有更改过
6. 突然出现的不寻常数据库查询、意外的管理员用户创建或核心主题/插件文件的更改。.

如果您发现上述任何情况，请将其视为高优先级，并按照以下事件步骤进行处理。.

立即（小时内）缓解 — 分类和实际行动

如果您使用的是受影响的版本或不确定，请应用一种或多种这些立即缓解措施。它们按速度和影响排序：

1. 暂时禁用易受攻击的主题：
   • 切换到默认主题（例如，干净、维护的标准主题）。如果您可以承受短暂的视觉变化，这是消除攻击面最快的方法。.
   • 如果这不可能，请在应用其他缓解措施时将网站置于维护模式。.
2. 从文件系统中删除或隔离易受攻击的主题：
   • 如果您可以访问服务器（SFTP/SSH），请重命名或删除易受攻击的主题目录 wp-content/themes/. 。这可以防止主题代码执行。.
   • 重要： 如果您正在调查，请保留一份副本（离线）以供分析。.
3. 在 Web 服务器或 Web 应用防火墙中阻止可疑请求：
   • 阻止带有目录遍历序列和尝试访问核心文件的请求：
   • 示例（nginx，简化版）：拒绝带有编码 .. 序列的请求或 php://:

   if ($request_uri ~* "(%2e|%2f|\.\./|\.\.\\)") {
       return 403;
   }
   if ($request_uri ~* "php://|data://|expect://|file://") {
       return 403;
   }
   

   • 注意： 在应用服务器范围的规则之前，请谨慎测试，以避免破坏合法的 URL；在可能的情况下，在暂存网站上进行测试。.
   • 示例（Apache .htaccess）— 拒绝直接访问 wp-config 并阻止具有可疑模式的查询字符串：

   <Files "wp-config.php">
     Order allow,deny
     Deny from all
   </Files>
   
   # Block attempts to access common sensitive files
   <IfModule mod_rewrite.c>
     RewriteEngine On
     # Block requests containing ../ or php:// or data:// (basic)
     RewriteCond %{QUERY_STRING} (\.\.|php://|data://) [NC,OR]
     RewriteCond %{REQUEST_URI} (\.\.|php://|data://) [NC]
     RewriteRule ^.* - [F,L]
   </IfModule>
   

4. 加固文件权限和所有权（快速检查）：
   • 确保 wp-config.php 不是全局可读的。推荐的权限：
     • wp-config.php → 400 或 440，具体取决于服务器设置
     • 目录 → 755
     • 文件 → 644（敏感配置文件应更严格）
   • 确保文件由正确的用户拥有（如果您的主机支持更安全的隔离，网络服务器的用户不应拥有文件）。.
5. 在可能的情况下禁用危险的 PHP 包装器和函数：
   • 在 php.ini, ，确保 allow_url_fopen = 关闭 和 allow_url_include = 关闭. 。这减少了远程文件包含或流包装器滥用的风险。.
   • 考虑禁用风险函数（仅在您的应用程序不需要它们时）： 执行, shell_exec, 系统, 直通, proc_open, popen. 的请求。示例：

   disable_functions = exec,shell_exec,system,passthru,proc_open,popen
   

6. 阻止用户提供的用于文件加载的参数：
   • 如果您识别出接受 文件 或者 模板 参数的特定主题端点，请为包含这些参数名称的请求添加快速服务器端阻止规则，直到主题被修补。.
7. 激活 WAF/虚拟补丁
   • 如果您运行托管的网络应用防火墙（WAF）或可以部署虚拟补丁的安全插件，请启用或添加以下规则：
     • 检测目录遍历序列
     • 检测 php:// 和 data:// 包装器
     • 阻止尝试访问 wp-config.php 或其他敏感文件
   • 虚拟补丁可以防止利用，即使底层代码仍然存在漏洞，为您争取时间，直到官方补丁可用。.

中期（天）修复和验证

1. 替换或更新主题
   • 检查是否有官方补丁或新主题版本来解决CVE-2026-28118。如果有官方修补版本可用，请在暂存环境中彻底测试，然后更新生产环境。.
   • 如果没有官方补丁，请考虑用维护的替代主题或维护的基础主题的自定义子主题替换主题。.
2. 审计您的文件系统以查找Webshell和可疑文件
   • 扫描 wp-content/上传, ，主题目录和插件目录中的：
     • 不应该存在的可执行PHP文件
     • 您不认识的最近更改时间戳的文件
     • 来自入侵检测系统的已知指标
3. 轮换凭证和密钥
   • 更改所有WordPress管理员密码、数据库密码、API密钥以及可能存储在服务器上或暴露的任何其他凭据。.
   • 如果您从备份中恢复，请在之后更换凭据。.
4. 审查服务器和应用程序日志
   • 回顾披露日期前后期间的日志，以查找指示成功利用的可疑活动（例如，包含敏感文件输出的响应代码或重复的利用尝试）。.
   • 将相关日志导出到安全位置，以便进行任何必要的取证工作。.
5. 完整网站恶意软件扫描和完整性检查
   • 运行完整的恶意软件扫描；许多扫描器将检测Webshell、后门和修改过的核心文件。.
   • 使用文件完整性工具将您的代码库与已知良好的源进行比较。.
6. 如果确认被攻陷，请从干净的备份中恢复。
   • 如果您发现无法完全清除的妥协证据，请从在最早的妥协迹象之前进行的备份中恢复。确保在恢复后执行其他修复步骤（严格权限、凭证轮换）。.

长期预防和加固（数周/持续进行）

1. 最小特权原则
   • 确保文件和数据库用户仅拥有他们所需的权限。.
   • 避免以可以修改文件的相同用户运行Web服务器进程。.
2. 隔离环境
   • 保持暂存和生产环境隔离。.
   • 为不同的环境使用不同的凭证。.
3. 持续监控与警报
   • 集中日志（访问、错误、PHP）并添加警报以监控：
     • 目录遍历尝试
     • 引用的请求 wp-config.php 以及其他敏感文件
     • 4xx/5xx响应的异常激增
4. 定期漏洞扫描
   • 执行自动扫描和定期手动审查主题和插件代码。.
   • 订阅漏洞情报源，并配置您的补丁管理程序以响应。.
5. 定期备份和测试恢复
   • 维护离线的版本化备份，并定期测试恢复程序。.
6. 加固WordPress本身
   • 保持WordPress核心、插件和主题的更新。.
   • 删除未使用的插件和主题。.
   • 禁用或保护主题和插件编辑器。.
   • 实施安全头和HTTPS everywhere。.

建议的WAF检测和防御规则（概念性）

以下是您可以适应到您的WAF或服务器规则集的防御模式。这些是概念性的正则表达式签名，应该在部署前进行测试以避免误报。.

• 阻止目录遍历尝试的请求（基本）：
  • 正则表达式： (\.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c)
• 阻止 php://、data://、expect:// 包装器：
  • 正则表达式： (php://|data://|expect://|zip://|phar://)
• 阻止在查询字符串中引用敏感文件的尝试：
  • 正则表达式： (wp-config\.php|/etc/passwd|/proc/self/environ|\.env|\.htpasswd)
• 阻止指示混淆的长编码字符序列：
  • 正则表达式： (%[0-9A-Fa-f]{2}){6,}

示例伪规则（与 WAF 无关）：

• 如果请求查询字符串匹配以下任意项：
  • (\.\./|\.\.\\|%2e%2e%2f|%2e%2e%5c) 或
  • (php://|data://|expect://) 或
  • (wp-config\.php|/etc/passwd|\.env)

  → 则阻止请求（HTTP 403）并记录详细信息以供审查。.

关于误报的说明： 许多 CMS 和合法库可能包含类似风险模式的令牌。仔细测试任何模式，将规则范围限制在可能的端点（主题文件、包含端点），并逐步收紧覆盖范围。.

如果您的网站已被攻破 — 事件响应检查清单

如果您确认发生了安全漏洞，请立即遵循以下步骤：

1. 将网站下线（维护模式）或隔离主机。.
2. 对网站和日志进行完整快照以进行取证分析。.
3. 更改所有密码（管理员用户、数据库、FTP/SFTP、控制面板）。.
4. 轮换所有可能已存储在服务器上的密钥和令牌。.
5. 扫描并移除恶意文件和webshell。如果您对手动清理没有信心，请从干净的备份中恢复。.
6. 验证数据库完整性，移除未经授权的管理员用户或内容注入。.
7. 进行全面审计，以识别攻击者如何获得访问权限以及他们可能执行的横向移动。.
8. 如有必要，从已知良好的来源重建环境；如果后门复杂，请不要仅依赖“清理”。.

WP‑Firewall 如何提供帮助（托管 WAF 为您做了什么）

从托管 WordPress 安全服务的角度来看，我们通过结合多个层次来加固和保护网站：

• 虚拟补丁（WAF 规则）：当出现像这样的 LFI 漏洞时，我们可以部署针对性的规则，检测并阻止您网站上的利用模式，直到供应商补丁可用。.
• 托管防火墙和请求检查：实时解析请求参数，以阻止遍历序列、PHP 包装器使用和其他利用特征。.
• 恶意软件扫描和自动清理：持续扫描以查找恶意文件，并自动移除许多已知的 webshell 和后门。.
• OWASP 前 10 名缓解：旨在减少来自最常见威胁类别（注入、身份验证破坏、LFI/RFI 等）的风险的系统性保护。.
• 监控、警报和报告：我们监控流量异常，并在检测到利用尝试或妥协证据时及时发出警报。.

我们建议采用分层策略：将虚拟补丁和 WAF 保护与安全配置、快速更新和监控相结合。虚拟补丁在您进行官方更新或主题替换所需的仔细测试时提供即时保护。.

针对开发人员和系统管理员的简短技术说明

这种类型的漏洞几乎总是源于不安全的用户输入与文件系统路径的连接。您的安全文件检查清单包括：

• 在未列出允许值的情况下，切勿直接使用用户输入构建文件名。.
• 使用安全映射（例如，将短的已知键映射到允许的文件名），而不是接受完整路径输入。.
• 在传递给 include/require 之前，规范化并验证任何路径。.
• 如果用户内容决定模板选择，请将选择限制为您代码库中存在的受信任集合。.

更安全的方法示例（伪代码）：

<?php;

该模式将用户输入映射到受控列表，并防止任意文件包含。.

网站所有者的新资源：立即开始免费保护

现在通过我们的基础免费计划保护您的网站——管理防火墙、WAF、恶意软件扫描以及对OWASP前10大风险的覆盖。它旨在在您计划任何必要的升级或主题替换时立即保护网站。.

立即保护您的网站——从WP‑Firewall基础版（免费）开始

• 您立即获得的内容：
  • 具有虚拟补丁能力的管理防火墙和WAF
  • 安全流量的无限带宽
  • 恶意软件扫描以查找可疑文件和更改
  • 针对OWASP前10大威胁的保护（包括LFI模式）
• 为什么这有帮助：
  • 您可以立即阻止已知的利用模式，以应对新披露的漏洞
  • 虚拟补丁在您测试官方更新或迁移时减少攻击窗口
• 开始： https://my.wp-firewall.com/buy/wp-firewall-free-plan/

（如果您需要自动恶意软件删除、IP阻止控制、每月报告或管理安全服务，我们还提供付费层级。）

实用示例——您可以粘贴和测试的快速规则（摘要）

• 保护wp-config.php（放置在 .htaccess):

<files wp-config.php>
  order allow,deny
  deny from all
</files>

• Nginx规则以阻止使用php包装器的尝试：

if ($query_string ~* "php://|data://|%2e%2e|(\.\./)") {
  return 403;
}

• PHP ini加固：

allow_url_fopen = Off

重要： 在暂存环境中测试这些规则，以确保它们不会阻止您特定主题或插件行为的合法流量。.

最终建议——在接下来的24-72小时内该做什么

1. 库存：识别任何运行 Welldone 主题 ≤ 2.4 的站点。.
2. 应用至少一种立即缓解措施：
   • 禁用/重命名主题文件夹，或
   • 在服务器/WAF 级别阻止利用模式，并
   • 锁定 wp-config.php 访问。.
3. 启用持续扫描和监控。.
4. 如果可以，注册一个托管保护计划（提供免费层）以便在您计划永久修复时立即应用虚拟补丁。.
5. 如果您托管客户站点，请与利益相关者沟通——透明和快速缓解很重要。.

如果您需要技术支持

如果您运行多个 WordPress 安装或管理客户站点并希望获得帮助进行分类或应用缓解措施，我们的安全运营团队可以帮助分析日志、在您的系统中部署虚拟补丁，并协助事件响应和清理。我们还提供安全更新和替换易受攻击主题的逐步指导。.

结论

这个 Welldone LFI (CVE-2026-28118) 是一个严重的未认证漏洞，可能会暴露本地文件并导致凭证泄露和完全妥协。最快的安全路径是移除或隔离易受攻击的主题，并在您计划控制更新或替换时在边界部署虚拟补丁规则。加固服务器（禁用风险包装、修复权限、限制文件访问）并监控日志中的上述指标将显著减少暴露。.

如果您希望在不进行复杂服务器更改的情况下获得立即保护，请尝试我们的基础保护免费计划，该计划提供托管防火墙规则、WAF 保护和恶意软件扫描，以阻止像 LFI 攻击中使用的利用模式。立即开始保护您的站点： https://my.wp-firewall.com/buy/wp-firewall-free-plan/

— WP防火墙安全团队

参考和说明

• 漏洞跟踪为 CVE-2026-28118（Welldone 主题中的本地文件包含，报告于 2025 年 8 月 19 日；发布于 2026 年 2 月 26 日）。.
• 本建议旨在帮助防御者。我们在这里不发布利用代码。如果您是怀疑发生泄露的管理员并需要直接帮助，请升级到您的安全响应人员或联系可信的 WordPress 安全提供商。.