插件名稱	WordPress Miller 主題
漏洞類型	本地文件包含
CVE 編號	CVE-2026-28053
緊急程度	高
CVE 發布日期	2026-03-01
來源網址	CVE-2026-28053

緊急：Miller WordPress 主題中的本地文件包含 (LFI) (≤ 1.3.3) — 網站擁有者現在必須做的事情

概括： 對於 Miller WordPress 主題版本（包括 1.3.3）披露了一個關鍵的本地文件包含 (LFI) 漏洞 (CVE-2026-28053)。該問題允許未經身份驗證的攻擊者從易受攻擊的網站包含本地文件並呈現其內容，這可能導致憑證洩露、完整數據庫妥協或根據環境的遠程代碼執行。CVSS 3.1 基本分數：8.1（高）。如果您運行 Miller 主題（或管理運行該主題的網站），請將此視為立即優先事項。.

本建議是從 WP-Firewall 的 WordPress 安全專家的角度撰寫的。下面我將解釋這個漏洞是什麼，為什麼它是危險的，如何檢測和減輕它，以及您現在必須採取的實際步驟來保護您的網站。這是用簡單的技術語言撰寫的，以便您能夠快速行動 — 沒有市場推廣的空話，只有具體的指導。.

什麼是本地文件包含 (LFI)？
我們對 Miller 主題中的 CVE-2026-28053 的了解
為什麼這個漏洞對 WordPress 網站很重要
您應該尋找的妥協指標 (IoCs)
立即緩解步驟（快速、安全）
建議的加固和配置更改
檢測和響應妥協
您可以部署的示例 WAF / 伺服器規則（阻止模式和建議）
WP-Firewall 如何提供幫助（免費計劃和快速減輕）
長期建議和事件後檢查清單
附錄：有用的命令、示例日誌和檢查清單

什麼是本地文件包含 (LFI)？

本地文件包含 (LFI) 是一類漏洞，其中網絡應用程序根據用戶控制的輸入從本地伺服器文件系統中包含文件。在典型的 LFI 情況下，攻擊者操縱 URL 或表單中的參數，使應用程序讀取並返回文件的內容，例如：

wp-config.php（包含數據庫憑證）
.htaccess
任何 PHP 文件（可能暴露源代碼）
像 /etc/passwd 這樣的系統文件

雖然 LFI 本身不一定允許遠程代碼執行 (RCE)，但它通常是一個跳板。例如，攻擊者可能會：

讀取 wp-config.php => 獲取數據庫憑證 => 轉向數據庫接管或轉向更多操作。.
讀取包含注入 PHP 代碼的日誌文件或上傳日誌以實現 RCE。.
使用其他錯誤配置（如可寫的上傳目錄）來放置惡意文件，然後將其包含進來。.

LFI 漏洞是 OWASP 列出的廣泛「注入」風險的一部分，在 WordPress 中，如果不迅速緩解，通常會導致整個網站的妥協。.

我們對 CVE-2026-28053（Miller 主題 ≤ 1.3.3）的了解

漏洞類型： 本地文件包含 (LFI)
受影響的版本： Miller 主題版本 ≤ 1.3.3
CVE： CVE-2026-28053
認證： 不需要（未經身份驗證）
CVSS 基本分數： 8.1（高）
OWASP 分類： 注入（A3）
已報道： 由安全研究人員發現（公開披露的細節各不相同）
官方補丁： 在撰寫本文時，主題作者尚未提供官方主題修補程式（請確認主題供應商頁面以獲取更新）。在官方修補程式發布之前，網站仍然面臨風險，必須依賴緩解措施。.

該漏洞可以通過提供操縱主題使用的文件包含路徑的精心設計請求來遠程利用。由於它是未經身份驗證的並且影響主題代碼（在公共請求空間中運行），因此攻擊面很廣。攻擊者可以嘗試直接包含網絡伺服器上的本地文件並顯示其內容，或以其他方式濫用包含調用。.

為什麼這對WordPress網站擁有者來說是危險的

在 WordPress 主題中，LFI 主要有三個後果：

憑證暴露 — wp-config.php 通常包含明文的數據庫憑證、鹽和密鑰。這些的洩露可以使完全訪問數據庫和管理權限成為可能。.
遠程代碼執行或網站控制 — 將 LFI 與可寫目錄結合，或毒化後來被包含的日誌，可能導致 RCE。RCE 允許攻擊者安裝後門、破壞網站或託管惡意軟件。.
權限提升和樞紐 — 擁有數據庫憑證或執行 shell，攻擊者可以創建管理用戶、竊取用戶數據、利用網站託管攻擊其他網絡或將訪問權限變現。.

由於 Miller 是一個可能存在並在許多網站上活躍的主題，且該漏洞不需要登錄，因此它是一個有吸引力的目標。自動掃描器和商品利用代碼可能會迅速出現。建議的應對措施是立即進行緩解。.

受損指標（現在要注意什麼）

掃描日誌和文件系統以查找攻擊者嘗試或成功的跡象：

包含目錄遍歷序列的 HTTP 訪問日誌（../ 或者 ..\\）或嘗試訪問主題文件的請求，參數如 ?file=, ?template=, ?inc=， ETC。
可疑的 GET 請求參考 /wp-content/themes/miller/ 或類似的編碼遍歷： %2e%2e%2f 或者 %252e%252e%252f.
包含類似字串的請求 /etc/passwd, wp-config.php，或者 php://filter/ 在參數中。.
wp-content/uploads、wp-content/themes 或其他可寫目錄中意外的文件創建或修改。.
在奇怪的時間創建的新管理員用戶。.
伺服器或運行未知 PHP 腳本的 cron 作業的意外外部連接。.
來自您的安全掃描器的警報，顯示主題文件中的文件更改、修改的時間戳或更改的校驗和。.

如果您看到任何此類日誌或文物，請進行事件響應（見下文）。.

立即緩解步驟 — 在接下來的 60–120 分鐘內該怎麼做

如果網站使用 Miller 主題（啟用或存在），如果可行，立即禁用它
- 暫時切換到已知良好的默認主題（Twenty Twenty-Three 或等效主題）。.
- 如果您無法在生產流量繁重的網站上安全切換，請應用基於 WAF 的緩解措施（見下一項）。.
在網絡層阻止利用向量
- 應用 WAF 規則以阻止包含文件遍歷序列和嘗試包含本地文件的請求。.
- 如果您有主機級的網絡應用防火牆或基於插件的防火牆，請添加與 LFI 模式相關的緩解簽名（見本文中的示例規則）。.
- 如果不需要公開，拒絕對特定主題包含端點的請求。.
限制對敏感文件的直接訪問
- 確保 wp-config.php 不可被公開讀取，並且文件權限要限制（例如，對於不需要寫入訪問的文件使用 400/440）。.
- 添加 .htaccess/nginx 規則以拒絕直接訪問 *.php 在不應公開執行的主題子文件夾中。.
強化 PHP 設定
- 確保 allow_url_include 被禁用（默認應該是關閉的）。.
- 實施 open_basedir 限制，以限制 PHP 文件訪問指定目錄。.
- 禁用危險函數（如果可行）：exec、shell_exec、system、passthru、proc_open、popen。.
輪換憑證
- 如果您的日誌顯示成功讀取 wp-config.php 或其他敏感文件，請立即更換存儲在文件中的數據庫憑證和 API 密鑰。.
- 重置 WordPress 的鹽值和用戶密碼——強制所有管理員重置密碼。.
如果確認受到攻擊，請隔離受影響的主機。
- 暫時將網站下線或按 IP 限制訪問，直到恢復乾淨狀態。.
部署臨時虛擬補丁。
- 如果您運行 WAF 或可以在反向代理/負載均衡器上部署規則，請添加一條規則以阻止嘗試本地文件包含的請求（以下是示例）。.
- 虛擬補丁在等待官方供應商補丁的同時降低了即時風險。.

建議的加固和配置更改（長期）。

保持主題、插件和 WordPress 核心的最新狀態。但請記住：更新有時會延遲，可能不會立即可用；基於 WAF 的虛擬補丁是一個有用的權宜之計。.
刪除未使用的主題和插件。即使是非活動的主題代碼有時也可能被發現並濫用。.
限制文件權限：
- 目錄：755（或在適當的情況下為 750）
- 文件：大多數文件使用 644；如果服務器用戶允許，則 wp-config.php 使用 440 或 400。.
使用 open_basedir 限制 PHP 只訪問必要的目錄。.
實施文件完整性監控：監控主題/插件文件的校驗和，並對任何變更發出警報。.

禁用上傳目錄中的 PHP 執行：

# 防止上傳中的 PHP 執行

location ~* ^/wp-content/uploads/.*\.(php|phtml|php3)$ {

確保您的主機環境對數據庫用戶使用最小權限 — 數據庫帳戶應僅擁有所需的權限（例如，避免授予權限）。.
維護安全的備份並進行版本控制，存儲在伺服器外部。在發生安全事件時，您必須能夠恢復到已知的乾淨快照。.

偵測利用嘗試 — 實用查詢和檢查

在 HTTP 日誌中搜索模式：

grep -i -E "(\.\./|\%2e\%2e|\%2e\%2e\%2f|php://filter|wp-config.php|/etc/passwd)" /var/log/apache2/access.log

檢查錯誤日誌中的包含文件錯誤或警告：
```
grep -i "無法打開流" /var/log/apache2/error.log
```
查找最近在插件/主題目錄中修改的文件：
```
find /var/www/html/wp-content -type f -mtime -7
```

在數據庫中搜索可疑的管理用戶創建：

查詢 wp_users 表以查找具有意外創建日期的帳戶。.

將主題文件的當前校驗和與已知的良好副本進行比較。如果您沒有基準，請下載主題的新副本並進行比較。.

如果您發現惡意上傳或後門的證據，請不要僅僅刪除文件並假設一切正常 — 執行全面的事件響應（請參見後面的部分）。.

事件響應程序（如果您懷疑被攻擊）

包含
- 在防火牆/WAF 處阻止所有攻擊。.
- 在調查期間將網站置於維護模式或按 IP 限制訪問。.
保存證據
- 在進行破壞性更改之前，製作日誌和文件系統的取證副本。.
- 在可能的情況下對伺服器進行快照。.
根除
- 刪除後門和惡意文件。.
- 從已知良好的來源重新安裝 WordPress 核心、主題和插件。.
- 更換受損的憑證（資料庫、WP 管理員、FTP、SSH）。.
- 旋轉在配置文件中找到的任何 API 金鑰。.
恢復和驗證
- 從已知乾淨的備份中恢復。.
- 驗證文件完整性並掃描惡意軟體。.
- 確保所有補丁和加固措施已應用。.
交流
- 根據政策或法律要求通知利益相關者、客戶或用戶，特別是如果個人數據可能已被暴露。.
事件後分析
- 記錄根本原因（例如，利用易受攻擊的主題包含）。.
- 審查監控和修補過程以防止重演。.

如果您不舒服自己執行此操作，請聘請一位有經驗的安全專業人士處理 WordPress 事件。.

阻止常見 LFI 嘗試的示例 WAF / 伺服器規則

以下是您可以在 Web 應用防火牆（WAF）中使用的模式，或作為 Apache mod_security 或 Nginx 的伺服器規則。這些並不全面；根據您的環境進行調整以避免誤報。如果您運行許多自定義路由，請先在非阻止/記錄模式下測試。.

重要的指導原則： 不要僅依賴阻止字符串 — 將 WAF 與最小權限、配置加固和監控結合使用。.

檢測遍歷和包含嘗試的通用模式

阻止包含以下內容的請求：
- ../ 或者 ..\\ （未編碼或編碼）
- %2e%2e%2f 或者 %252e%252e%252f
- php://filter
- wp-config.php
- /etc/passwd
- 輸入: 檔案=, 包含=, 包含=, 模板=, 頁面=, 路徑= 當用於主題包含上下文時

示例 mod_security 規則（概念性）：

SecRule REQUEST_URI|ARGS|ARGS_NAMES "@rx (\.\./|\%2e\%2e|\%252e\%252e|php://filter|wp-config\.php|/etc/passwd)" \
 "id:100001,phase:2,deny,status:403,log,msg:'Potential LFI attempt blocked'"

示例 Nginx 配置片段：

# block suspicious traversal sequences
if ($request_uri ~* "\.\./|\%2e\%2e|\%252e\%252e") {
    return 403;
}

# block php://filter usages in query string
if ($arg_file ~* "php://filter|wp-config\.php|/etc/passwd") {
    return 403;
}

目標規則：阻止訪問特定主題文件包含

如果您識別出一個特定的主題文件暴露了包含參數（例如 inc.php?file=），限制對該端點的訪問：

默認拒絕，根據引用者/IP 允許，或在不必要的情況下阻止所有外部訪問。.

Apache .htaccess 範例：

<Files "inc.php">
  Require ip 192.0.2.0/24       # Only allow your IP range or internal systems
  Require all denied
</Files>

將這些伺服器端保護與 WAF 一起使用，以獲得更好的覆蓋範圍。.

示例安全 PHP 更改主題開發者應實施（高層次）

如果您是維護主題或修補它的開發者，請不要天真地在包含語句中使用用戶輸入。實施以下措施：

維護允許的包含目標的白名單（映射鍵如 標題1, 頁腳2 到實際文件路徑）。.
驗證和標準化文件名 — 永遠不要接受 ../.
避免來自用戶輸入的動態包含。如果必須，僅將短令牌映射到預定義路徑。.
使用 PHP 函數來標準化路徑（realpath）並驗證文件是否位於預期目錄內。.

假代碼安全模式：

<?php

永遠不要接受完整的檔案系統路徑或允許目錄遍歷序列。.

如何在您的網站群中優先考慮緩解措施

建立網站清單並識別哪些運行Miller主題（啟用或已安裝）。.
優先考慮面向公眾或流量高的活躍網站以便立即採取行動。.
在整個網絡中應用WAF規則以阻止已知的利用模式，同時修補或移除主題。.
對於非關鍵網站，考慮移除主題或在其目錄中禁用PHP執行，直到修補完成。.
修補或移除後，仍然保持監控啟用至少30天，以捕捉延遲的後利用活動。.

WP-Firewall 如何立即幫助您

WP-Firewall專注於快速虛擬修補和持續運行時保護WordPress網站。如果您管理一組網站或單個重要資產，WP-Firewall提供：

可以立即部署的管理WAF規則，以阻止LFI模式和已知的利用簽名。.
惡意軟體掃描和檔案完整性監控，以檢測攻擊者是否已經訪問敏感檔案。.
開箱即用的OWASP前10大風險的緩解（包括注入和檔案包含嘗試）。.
一種簡單的方法來虛擬修補易受攻擊的主題，直到主題作者提供官方更新。.

現在保護您的網站 — 快速、免費的保護可用

我們建議每位WordPress網站擁有者註冊WP-Firewall的基本（免費）計劃，以快速獲得必要的保護：管理防火牆、無限帶寬、WAF、惡意軟體掃描和OWASP前10大風險的緩解。這個免費層為您提供對常見LFI和注入模式的即時阻止，讓您在進行全面修復的同時降低風險。請在此處註冊免費計劃： https://my.wp-firewall.com/buy/wp-firewall-free-plan/

（如果您更喜歡更多自動化：標準和專業計劃包括自動惡意軟體移除、IP黑名單/白名單、自動虛擬修補、每月安全報告和專用安全附加功能，使修復和持續管理變得更簡單。）

長期安全姿態改進

Miller中的LFI提醒我們WordPress安全需要多層防護：

修補管理：保持核心、主題和插件更新。.
應用防護：使用WAF並加固PHP。.
最小特權：限制數據庫和檔案權限。.
監控 + 日誌：文件完整性監控、日誌保留和警報。.
備份 + 恢復：定期的版本備份和測試恢復。.
安全開發：主題和插件開發者應採用安全編碼最佳實踐（包含的白名單、輸入驗證、輸出編碼）。.

所有這些層次一起顯著降低了即使發現漏洞時完全被攻陷的機會。.

實用檢查清單 — 逐步指導網站擁有者（複製此列表）

確認網站是否安裝了Miller主題（啟用或未啟用）。.
如果Miller已啟用：
- 如果可能，切換到安全主題或
- 如果無法切換，立即部署WAF規則以阻止LFI模式。.
添加伺服器規則以阻止路徑遍歷和 php:// 樣式請求。.
設置文件權限：wp-config.php 400/440，文件644，目錄755。.
禁用上傳和其他非代碼目錄中的PHP執行。.
確保allow_url_include = Off；實施open_basedir限制。.
掃描文件以檢查變更並進行深入的惡意軟件掃描。.
檢查日誌以查找LFI嘗試和可疑的管理活動。.
如果懷疑被攻陷：保留日誌，將網站下線，輪換憑證，從乾淨的備份中恢復，並進行事件後回顧。.
註冊管理的WAF/虛擬修補，以降低等待官方修補期間的風險。.

附錄：有用的命令和示例搜索

查找主題內最近修改的文件：

find /var/www/html/wp-content/themes/miller -type f -mtime -7 -ls

搜尋網頁日誌中的遍歷序列：

grep -iE "(\.\./|\%2e\%2e|php://filter|wp-config\.php|/etc/passwd)" /var/log/nginx/access.log

列出過去7天內新增的WordPress用戶（MySQL）：

SELECT ID, user_login, user_email, user_registered FROM wp_users WHERE user_registered >= NOW() - INTERVAL 7 DAY;

檢查PHP配置中的危險設置：

php -i | grep -E "allow_url_include|open_basedir|disable_functions"

WP 安全專家的最終備註

米勒主題中的這個LFI是如何在主題代碼中單一脆弱的包含或文件訪問模式可以暴露整個網站的現實世界範例。關鍵要點：

將任何未經身份驗證的文件包含漏洞視為高優先級。.
不要僅依賴“等待修補程序”。立即使用虛擬修補（WAF）和伺服器控制來減少攻擊面。.
如果懷疑wp-config.php或其他秘密被曝光，請更換憑證並進行仔細調查。.
使用分層防禦：WAF、主機加固、安全編碼、監控和備份。.

如果您管理多個WordPress網站，緊急的集中緩解（整個系統的WAF規則+識別受影響網站的清單）是降低風險的最快方法，同時應用針對性的修復。.

保持冷靜，迅速行動，並使用深度防禦。如果您需要幫助實施規則或進行後妥協調查，我們的WP-Firewall團隊可以提供量身定制的響應和持續保護。.

Miller 主題本地文件包含漏洞//發布於 2026-03-01//CVE-2026-28053

緊急：Miller WordPress 主題中的本地文件包含 (LFI) (≤ 1.3.3) — 網站擁有者現在必須做的事情

目錄

什麼是本地文件包含 (LFI)？

我們對 CVE-2026-28053（Miller 主題 ≤ 1.3.3）的了解

為什麼這對WordPress網站擁有者來說是危險的

受損指標（現在要注意什麼）

立即緩解步驟 — 在接下來的 60–120 分鐘內該怎麼做

建議的加固和配置更改（長期）。

偵測利用嘗試 — 實用查詢和檢查

事件響應程序（如果您懷疑被攻擊）

阻止常見 LFI 嘗試的示例 WAF / 伺服器規則

檢測遍歷和包含嘗試的通用模式

目標規則：阻止訪問特定主題文件包含

示例安全 PHP 更改主題開發者應實施（高層次）

如何在您的網站群中優先考慮緩解措施

WP-Firewall 如何立即幫助您

現在保護您的網站 — 快速、免費的保護可用

長期安全姿態改進

實用檢查清單 — 逐步指導網站擁有者（複製此列表）

附錄：有用的命令和示例搜索

WP 安全專家的最終備註

免費接收 WP 安全周刊 👋
立即註冊!!

聯絡我們安排免費的 WordPress 安全性諮詢

Miller 主題本地文件包含漏洞//發布於 2026-03-01//CVE-2026-28053

緊急：Miller WordPress 主題中的本地文件包含 (LFI) (≤ 1.3.3) — 網站擁有者現在必須做的事情

目錄

什麼是本地文件包含 (LFI)？

我們對 CVE-2026-28053（Miller 主題 ≤ 1.3.3）的了解

為什麼這對WordPress網站擁有者來說是危險的

受損指標（現在要注意什麼）

立即緩解步驟 — 在接下來的 60–120 分鐘內該怎麼做

建議的加固和配置更改（長期）。

偵測利用嘗試 — 實用查詢和檢查

事件響應程序（如果您懷疑被攻擊）

阻止常見 LFI 嘗試的示例 WAF / 伺服器規則

檢測遍歷和包含嘗試的通用模式

目標規則：阻止訪問特定主題文件包含

示例安全 PHP 更改主題開發者應實施（高層次）

如何在您的網站群中優先考慮緩解措施

WP-Firewall 如何立即幫助您

現在保護您的網站 — 快速、免費的保護可用

長期安全姿態改進

實用檢查清單 — 逐步指導網站擁有者（複製此列表）

附錄：有用的命令和示例搜索

WP 安全專家的最終備註

免費接收 WP 安全周刊 👋立即註冊!!

聯絡我們安排免費的 WordPress 安全性諮詢

免費接收 WP 安全周刊 👋
立即註冊!!