关于wordpress 爆出的 WP_Image_Editor_Imagick 漏洞临时解决方法

今天收到了阿里云推送的一条短信通知,内容大概是:“【阿里云】尊敬的用户:您的服务器XXX.XX.XXX.XXX存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。”大意就是存放在上面的WordPress程序有WP_Image_Editor_Imagick漏洞问题,需要登入后台补丁等等的暗示。当然,如果需要在线补丁则需要升级阿里云的安骑士专业版,100元/5台/月,很是很贵的。其实对于我们来说我们没有必要去购买这个服务,因为这个漏洞并不是由于Wordpress程序本身造成的,而是由于ImageMagick这个PHP图像处理模块爆出的“0day”漏洞所引发的。

那先来说下ImageMagick这个模块,ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如此,此次0day漏洞所带来的影响超乎了人们的想象。诸多网站论坛都深受其害,其中不乏百度、阿里、腾讯、新浪等知名网站,一时间,业界各大网站及企业都人人自危,纷纷自查,以免中招。

那么对于我们来说,如果去解决这个漏洞呢?

1.最完善的解决方案是“等”:等ImageMagick的官方更新,并将其升级到最新版本。不过这似乎要等段时间。

2.ImageMagick官方给出了一个临时解决方案:通过配置文件,禁用ImageMagick。可在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>

3.关于wordpress的临时解决方法:将wordpress的默认图片处理库优先顺序改为GD优先,这也是阿里云给出的临时解决方案:(不过我就不要钱了,其实也很简单。)

在wp-includes/media.php中搜索

1
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改为:

1
$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

问题临时解决。

本文来自投稿,不代表科技代码立场,如若转载,请注明出处https://www.cwhello.com/680.html

如有侵犯您的合法权益请发邮件951076433@qq.com联系删除

(0)
上一篇 2016年5月13日 17:12
下一篇 2016年5月14日 16:07

相关推荐

  • WordPress图片设置技巧。

    WordPress本身是很强大的程序,它有很多功能但是并没有一次性将其展现给我们,需要我们自己去研究发现,今天就和大家分享一些WordPress图片设置的技巧 修改WordPress默认图片尺寸 许多人都会忽略WordPress的图片...

    2022年10月24日
    023
  • 使用WordPress自带工具裁切图片方法。

    在WordPress中上传图片时,经常会遇到这样的情况,图片大小不合适,或者截图截到了没用的地方,这个时候很多人都会选择重新上传一张。 其实如果不是截图小了的话,这样是完全没有必要的,因为WordPress自己有一个...

    2022年10月24日 wordpress开发
    036
  • 我来教你什么是wordpress seo。

    WordPress应该是被使用最多的CMS系统,记得以前看到过报道,全世界20%以上的网站用的是WP。虽然最初是作为博客写作CMS发布的,但现在不仅博客使用,新闻、杂志、门户类网站也用,简单的电子商务网站也能用WP,最...

    2023年1月16日
    01
  • 定制自己的WordPress文章编辑界面。

    在Wordpress后台文章编辑界面,为了适应不同类型的网站人群,默认会有许多选项,比如文章形式、特色图、标签等,尤其是安装了一些功能性的插件,会变得更加多。但是有时候这些功能我们平时是用不到的,使用起来会...

    2022年10月25日 wordpress开发
    036
  • WordPress WP-Super-Cache 缓存插件 Nginx 优化规则

    WP-Super-Cache 作为 WordPress 的老牌静态缓存插件,它在 WordPress.Org 的一个角落一直有一份 Nginx 伪静态规则(https://wordpress.org/support/article/nginx/#wp-super-cache-rules)。配置后可绕过 PHP 直...

    2023年10月19日
    05
  • WordPress怎样升级PHP版本(宝塔面板)。

    许多人在配置WordPress环境时,因为不了解或者其他原因,可能会安装老旧版本的PHP,等到网站运行一段时间后,才了解到使用新版本的PHP对网站更好,在本文中WP主题站来分享如何升级WordPress的PHP版本 本教程采用...

    2022年10月24日 wordpress开发
    028
  • WordPress菜单设置教程。

    对于刚刚接触WordPress的新手来说,最困惑的地方莫过于它的菜单设置,许多人不知道该如何自定义WordPress的菜单,而菜单又是每个访客最先看到的地方,所以导航菜单是我们必须要设置的 WordPress的菜单功能很强大...

    2022年10月25日 wordpress开发
    042
  • WordPress配置邮件发送教程(WP Mail SMTP插件企业邮)。

    使用Wordpress建站,邮件是经常要用到的东西,比如留言通知、密码重置、更新通知等,当网站有什么变化,邮件能让我们第一时间收到消息。但是因为主机服务商对25端口的严格限制,大多数的主机上Wordpress不能发送...

    2022年10月24日 wordpress开发
    0218

联系我们

QQ:951076433

在线咨询:点击这里给我发消息邮件:951076433@qq.com工作时间:周一至周五,9:30-18:30,节假日休息