关于wordpress 爆出的 WP_Image_Editor_Imagick 漏洞临时解决方法

今天收到了阿里云推送的一条短信通知,内容大概是:“【阿里云】尊敬的用户:您的服务器XXX.XX.XXX.XXX存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。”大意就是存放在上面的WordPress程序有WP_Image_Editor_Imagick漏洞问题,需要登入后台补丁等等的暗示。当然,如果需要在线补丁则需要升级阿里云的安骑士专业版,100元/5台/月,很是很贵的。其实对于我们来说我们没有必要去购买这个服务,因为这个漏洞并不是由于Wordpress程序本身造成的,而是由于ImageMagick这个PHP图像处理模块爆出的“0day”漏洞所引发的。

那先来说下ImageMagick这个模块,ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如此,此次0day漏洞所带来的影响超乎了人们的想象。诸多网站论坛都深受其害,其中不乏百度、阿里、腾讯、新浪等知名网站,一时间,业界各大网站及企业都人人自危,纷纷自查,以免中招。

那么对于我们来说,如果去解决这个漏洞呢?

1.最完善的解决方案是“等”:等ImageMagick的官方更新,并将其升级到最新版本。不过这似乎要等段时间。

2.ImageMagick官方给出了一个临时解决方案:通过配置文件,禁用ImageMagick。可在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>

3.关于wordpress的临时解决方法:将wordpress的默认图片处理库优先顺序改为GD优先,这也是阿里云给出的临时解决方案:(不过我就不要钱了,其实也很简单。)

在wp-includes/media.php中搜索

1
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改为:

1
$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

问题临时解决。

本文来自投稿,不代表科技代码立场,如若转载,请注明出处https://www.cwhello.com/680.html

如有侵犯您的合法权益请发邮件951076433@qq.com联系删除

(0)
上一篇 2016年5月13日 17:12
下一篇 2016年5月14日 16:07

相关推荐

  • 什么是SEO友好的网页设计

    SEO网页设计是创建搜索引擎可以抓取,索引和理解的网站的过程。 搜索引擎抓取工具无法与人类等网站“读取”和“互动”。相反,他们访问网站的HTML代码并查找信号,以帮助他们了解网站的结构和内容的含义。 为什么SEO...

    2019年5月24日 SEO操作
    0514
  • WordPress 置顶文章的3种方法。

    在使用WordPress搭建博客时,默认情况下会按时间对文章进行排序,每次发布新的文章都会自动展示在博客的第一个位置,这样网站有新文章了就可以让访客第一时间看到 但是有些时候我们并不想在网站的顶部展示最新的...

    2022年10月24日 wordpress开发
    020
  • WordPress插入国内第三方视频的方法(优酷、腾讯视频等)。

    在创作内容时,许多WordPress站点为都会用到视频,让网站更加丰富 虽然说WordPress自带了视频功能,但是不论在网站性能,还是用户体验上,使用自带的视频功能都有许多弊端,所以大部分的网站都会选择使用第三方视...

    2022年10月24日
    029
  • WordPress 置顶文章的3种方法。

    在使用WordPress搭建博客时,默认情况下会按时间对文章进行排序,每次发布新的文章都会自动展示在博客的第一个位置,这样网站有新文章了就可以让访客第一时间看到 但是有些时候我们并不想在网站的顶部展示最新的...

    2022年10月25日 wordpress开发
    070
  • WordPress修改默认分类目录方法。

    发表WordPress文章时,如果我们没有设置分类目录,会自动归纳到WordPress自带的未分类目录下,那么能不能自动分配到其他分类目录呢?今天我们教大家修改wordpress发表文章时的默认分类目录 修改之前,确保你已经...

    2022年10月25日
    027
  • 正确设置基本的WordPress SEO

    WordPress开箱即用,是一个非常优化的内容管理系统。基本设置可以提供坚实的基础-即使没有大量的自定义,主题优化和插件。就是说,您应该采取一些措施来增加排名的机会,优化工作流程并确保网站得到完美的优化。 ...

    2020年4月9日
    0535
  • WordPress多媒体缩略图设置

    在Wordpress还没有缩略图功能的时候,模板开发的同学,基本都是用代码,直接调用文章第一张图片作为栏目列表缩略图。如果现在旧的模板,还没有更新,应还会保留着这个功能。但这个功能有个缺点就是调用原图作为缩...

    2019年10月30日
    0361
  • wordpress插件自动更新设置方法。

    在安全方面来说,更新WordPress插件是一件非常必要的事情,因为低版本的插件可能会被他人利用来破坏网站,我们必须尽量保证自己的插件是最新版本防止漏洞,不过这的确是一件非常麻烦的事情 对于网站使用频率较低...

    2022年10月25日
    023

联系我们

QQ:951076433

在线咨询:点击这里给我发消息邮件:951076433@qq.com工作时间:周一至周五,9:30-18:30,节假日休息