使用阿里云主机的朋友最近应该都收到了一条短信:
【阿里云】尊敬的用户:您的服务器*.*.*.**存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。
安装的是官方下载的WordPress程序,怎么就出现漏洞了呢?我查看官方的Code,看WordPress如何解释WP_Image_Editor_Imagick,通过官方的解释我们不难看出,WP_Image_Editor_Imagick并非主机或程序自带的一个漏洞,而是如果你的服务器环境中安装了ImageMagick组件且没有补丁的情况下才会被利用。
如何验证网站是否存在WP_Image_Editor_Imagick漏洞?
CONVERT ‘http://vpsum.com”|ls “-la’ OUT.png
未执行ls 命令,并报错,说明不受影响,若ls -la 命令成功执行,说明存在漏洞,则需要升级组件。
如何修复WP_Image_Editor_Imagick漏洞?
我们目前只找到了临时修复WP_Image_Editor_Imagick漏洞的方法,提供给大家仅供参考使用。
在你的网站根目录下,编辑wp-includes/media.php文件,找到:
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );
将其改为
$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );
WP_Image_Editor_Imagick漏洞修复原理是什么?
通过代码我们不难看出,其实临时修复方式是将WP_Image_Editor_GD和WP_Image_Editor_Imagick的优先级方式进行对调,以确保使用DG库保证使用安全。