关于wordpress 爆出的 WP_Image_Editor_Imagick 漏洞临时解决方法

今天收到了阿里云推送的一条短信通知,内容大概是:“【阿里云】尊敬的用户:您的服务器XXX.XX.XXX.XXX存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。”大意就是存放在上面的WordPress程序有WP_Image_Editor_Imagick漏洞问题,需要登入后台补丁等等的暗示。当然,如果需要在线补丁则需要升级阿里云的安骑士专业版,100元/5台/月,很是很贵的。其实对于我们来说我们没有必要去购买这个服务,因为这个漏洞并不是由于Wordpress程序本身造成的,而是由于ImageMagick这个PHP图像处理模块爆出的“0day”漏洞所引发的。

那先来说下ImageMagick这个模块,ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用,图片的旋转、组合,文本,直线,多边形,椭圆,曲线,附加到图片伸展旋转。ImageMagick是免费软件:全部源码开放,可以自由使用,复制,修改,发布,它遵守GPL许可协议,可以运行于大多数的操作系统,ImageMagick的大多数功能的使用都来源于命令行工具。由于其强大的功能以及超强的可操作性,是的这款作图软件深得广大办公人士喜爱,正因为如此,此次0day漏洞所带来的影响超乎了人们的想象。诸多网站论坛都深受其害,其中不乏百度、阿里、腾讯、新浪等知名网站,一时间,业界各大网站及企业都人人自危,纷纷自查,以免中招。

那么对于我们来说,如果去解决这个漏洞呢?

1.最完善的解决方案是“等”:等ImageMagick的官方更新,并将其升级到最新版本。不过这似乎要等段时间。

2.ImageMagick官方给出了一个临时解决方案:通过配置文件,禁用ImageMagick。可在“/etc/ImageMagick/policy.xml” 文件中添加如下代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>

3.关于wordpress的临时解决方法:将wordpress的默认图片处理库优先顺序改为GD优先,这也是阿里云给出的临时解决方案:(不过我就不要钱了,其实也很简单。)

在wp-includes/media.php中搜索

1
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改为:

1
$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

问题临时解决。

本文来自投稿,不代表重蔚自留地立场,如若转载,请注明出处https://www.cwhello.com/680.html

如有侵犯您的合法权益请发邮件951076433@qq.com联系删除

(0)
重蔚的头像重蔚管理团队
上一篇 2016年5月13日 17:12
下一篇 2016年5月14日 16:07

相关推荐

  • WordPress站内搜索排除指定文章。

    WordPress的站内搜索是一个非常好的工具,可以让访客快速找到自己需要的内容,减少网站的跳出率 不过有时候因为一些原因,我们并不想把某些特定的文章或者页面让访客在网站内搜索到,这个时候就需要将这些文章和页…

    2022年10月24日
    017
  • WordPress修改functions.php教程。

    在修改WordPress时,除了可以通过后台选项和添加样式定制外,还有一个很常用的方法就是通过PHP代码实现某些功能,这个时候最简单的方法就是修改functions.php,在本文中我们将教大家如何修改wordpress中的functions…

    2022年10月25日
    025
  • WordPress重新生成缩略图 Regenerate Thumbnails使用教程。

    在WordPress中有时候我们会需要重新生成站点中的缩略图,比如更换主题后缩略图不适配、修改媒体图片尺寸后想要应用到之前的图片等,这些场景都需要重新生成缩略图,在本文中,我们就教大家如何使用Regenerate Thumb…

    2022年10月25日 wordpress开发
    031
  • WordPress图片懒加载设置。

    WordPress网站中图片一直是优化的重点,除了要做好图像基本的优化外(比如图片裁切、图片压缩),还有一个关键点就是在网页中的优化,图片懒加载就是一个非常流行的方法,能够有效的提升网站速度,今天我们就教大家如…

    2022年10月24日
    016
  • 关于给wordpress文章图片加上ALT利于SEO的方法

    alt是用来对网页上的图片进行描述,光标在图片上时显示的提示语即采用该标签实现。从SEO优化和用户体验来看,ALT-代替属性都是必要的,其重要性主要有: 网页内容相关性是关键词优化的前提,搜索引擎认为,网页上的…

    2018年8月29日 SEO操作
    0266
  • WordPress自定义文件/图片上传路径和生成文件的URL地址

    在WordPress中,您可以通过添加一些代码来自定义文件/图片的上传路径和生成文件的URL地址。这需要您编辑主题的functions.php文件或使用自定义插件。下面是一个示例,演示如何完成这个任务。 自定义文件/图片上传路…

    2025年4月26日
    04
  • WordPress如何禁用古腾堡编辑器全屏模式。

    在WordPress 5.4版本更新后,为古腾堡编辑器默认采用了全屏的编辑模式,很多朋友可能并不习惯使用全屏模式来写作,那么如何关闭全屏模式呢? 首先随便打开一篇文章,开启古腾堡编辑器 点击右上角的更多按钮 取消勾选…

    2022年10月24日 wordpress开发
    070
  • WordPress优化:提升网站速度和用户体验。

    提升WordPress网站的速度和用户体验对于提高搜索引擎排名、降低跳出率以及增强用户满意度至关重要,以下是一些技术性建议,帮助您优化WordPress网站。 一、选择合适的主机提供商 选择一个性能优秀的主机对网站速度…

    2024年7月18日
    00

联系我们

QQ:951076433

在线咨询:点击这里给我发消息邮件:951076433@qq.com工作时间:周一至周五,9:30-18:30,节假日休息