WordPress程序WP_Image_Editor_Imagick漏洞临时解决方法

最近应该有不少站长看到安全漏洞ImageMagick的相关报导，如果自己的网站服务器有安装ImageMagick组件，就要检查是否存在漏洞。今天收到阿里云的安全提示，意思是存放在阿里云服务器上的wordpress程序存在WP_Image_Editor_Imagick指令注入漏洞，并准备了补丁提供一键修复，不过要花钱升级安骑士专专业版，实际上并不需要这么做。

WP_Image_Editor_Imagick漏洞本不是wordpress程序本身的漏洞，而是如果自己服务器环境中安装了ImageMagick组件且没有补丁的情况下才会被利用。

漏洞验证方法：若系统中安装使用了ImageMagick，本地执行如下命令

1

CONVERT 'https://example.com"|ls "-la' OUT.png

未执行ls 命令，并报错，说明不受影响，若ls -la 命令成功执行，说明存在漏洞，则需要升级组件。

如果不会升级组件的wordpress用户可以使用临时解决方法，编辑wp-includes/media.php文件，找到

1

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改为

1

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );

实际上就是把2个库的优先级对调。

标签：wordpress服务器程序