阿里云最近提醒用户关于wordpress WP_Image_Editor_Imagick 指令注入漏洞:
【阿里云】尊敬的用户:您的服务器*.*.*.**存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。
WP_Image_Editor_Imagick并非主机或程序自带的一个漏洞,而是如果你的服务器环境中安装了ImageMagick组件且没有补丁的情况下才会被利用。我非常鄙视阿里云这一做法:
一是为了安全:提醒用户,这一点我承认,但是并不是所有WordPress站点的服务器都安装了ImageMagick这个软件的,所以不需要修复。
如何检测是否存在ImageMagick漏洞?
方法一:
Centos下查看rpm包
rpm -q ImageMagick
package ImageMagick is not installed
Debain下查看dpkg包:
dpkg -l | grep image
ii cloud-utils 0.26-2~bpo70+1 all cloud image management utilities
ii linux-base 3.5 all Linux image base package
ii linux-image-3.2.0-4-amd64 3.2.68-1+deb7u3 amd64 Linux 3.2 for 64-bit PCs
ii linux-image-amd64 3.2+46 amd64 Linux for 64-bit PCs (meta-package)
方法二:执行CONVERT命令
CONVERT 'https://jiloc.com"|ls "-la'? out.png
–bash: CONVERT: command not found
检测未安装
如果是服务器并没有安装,那请直接在阿里云后台忽略这个提示即可,反之只需要升级ImageMagick即可。
如果服务器安装了ImageMagick怎么办
一种是直接升级组件即可:yum install ImageMagick -y,还可以手动修改WordPress源码。