主机优惠
信息分享

阿里云提示存在WP_Image_Editor_Imagick漏洞的解决方案

阿里云经常发来邮件说存在一些漏洞需要修复,并且已经准备好了修复安装包,嘿嘿!其实提示服务免费的,而要修复是需要付出的。近期的确爆出ImageMagick安全漏洞,如果我们的WEB环境有安装过ImageMagick组件,那需要检查是否有漏洞的存在一起升级和解决问题。如果我们没有安装ImageMagick完全可以忽视,因为这个WP_Image_Editor_Imagick漏洞本不是WP程序的,如果安装ImageMagick且没有补丁的才会被利用,因此我们需要进行修复。

第一、检查是否有ImageMagick漏洞

convert ‘https://example.com”|ls “-la’ out.png

如果提示有执行成功且没有错误,则说明有漏洞,我们需要升级组件。如果提示错误,或者我们压根没有安装ImageMagick,那就没有问题(下面的可以不用看了)。

第二、补丁WP_Image_Editor_Imagick

如果是自己架设的服务器,且有安装ImageMagick存在漏洞最好的方法是升级最新版本。临时解决WP漏洞的方法只需要修改一行代码就可以。

1、找到wp-includes/media.php 2898行

2、修改文件

$implementations = apply_filters( ‘wp_image_editors’, array( ‘WP_Image_Editor_GD’, ‘WP_Image_Editor_Imagick’ ) );

将2个库优先级对调就可以了。这样我们在阿里云后台再验证下就可以看到被修复。

总结,这个仅仅是临时解决方法,最为直接的方法还是要升级WP到最新版本。

PS:补充信息

如果我们是虚拟主机,这个就需要主机提供商负责任了,咨询服务商是否有安装且是否有更新到最新版本的补丁。如果有安装ImageMagick且升级到最新版本一般是没有问题的。这里,根据官方提供的解决方法,如果我们是自建服务器,也可以通过这个方法解决。

1、修改配置文件

/etc/ImageMagick/policy.xml

2、添加脚本

<policymap>
<policy domain=”coder” rights=”none” pattern=”EPHEMERAL” />
<policy domain=”coder” rights=”none” pattern=”URL” />
<policy domain=”coder” rights=”none” pattern=”HTTPS” />
<policy domain=”coder” rights=”none” pattern=”MVG” />
<policy domain=”coder” rights=”none” pattern=”MSL” />
</policymap>

这个官方给予的方法,禁止ImageMagick。

赞(2)
欢迎转载:VPS推荐网 » 阿里云提示存在WP_Image_Editor_Imagick漏洞的解决方案