WordPress手动修复WP_Image_Editor_Imagick漏洞 图文教程

使用阿里云主机的朋友最近应该都收到了一条短信:

【阿里云】尊敬的用户:您的服务器*.*.*.**存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。

安装的是官方下载的WordPress程序,怎么就出现漏洞了呢?我查看官方的Code,看WordPress如何解释WP_Image_Editor_Imagick,通过官方的解释我们不难看出,WP_Image_Editor_Imagick并非主机或程序自带的一个漏洞,而是如果你的服务器环境中安装了ImageMagick组件且没有补丁的情况下才会被利用。

如何验证网站是否存在WP_Image_Editor_Imagick漏洞?

CONVERT ‘https://jiloc.com”|ls “-la’ OUT.png

未执行ls 命令,并报错,说明不受影响,若ls -la 命令成功执行,说明存在漏洞,则需要升级组件。

如何修复WP_Image_Editor_Imagick漏洞?

我们目前只找到了临时修复WP_Image_Editor_Imagick漏洞的方法,提供给大家仅供参考使用。

在你的网站根目录下,编辑wp-includes/media.php文件,找到:

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

将其改为

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );

WP_Image_Editor_Imagick漏洞修复原理是什么?

通过代码我们不难看出,其实临时修复方式是将WP_Image_Editor_GD和WP_Image_Editor_Imagick的优先级方式进行对调,以确保使用DG库保证使用安全。

链接到文章: https://ixvps.com/42241.html

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注