WordPress WP_Image_Editor_Imagick 指令注入漏洞修复图文教程


阿里云最近提醒用户关于 WP_Image_Editor_Imagick 指令注入漏洞

【阿里云】尊敬的用户:您的服务器*.*.*.**存在wordpress WP_Image_Editor_Imagick 指令注入漏洞,已为您准备补丁可一键修复漏洞,为避免被黑客入侵,建议您登录云盾控制台-服务器安全(安骑士)页面进行查看和处理,同时建议您在控制台使用安全巡检功能对服务器进行全面检查。

wordpress WP_Image_Editor_Imagick
我已经忽略了wordpress WP_Image_Editor_Imagick

WP_Image_Editor_Imagick并非主机或程序自带的一个漏洞,而是如果你的服务器环境中安装了ImageMagick组件且没有补丁的情况下才会被利用。我非常鄙视阿里云这一做法:

一是为了安全:提醒用户,这一点我承认,但是并不是所有WordPress站点的服务器都安装了ImageMagick这个软件的,所以不需要修复。

如何检测是否存在ImageMagick漏洞?

方法一:

Centos下查看rpm包

 

package ImageMagick is not installed

服务器未安装ImageMagick
服务器未安装ImageMagick

Debain下查看dpkg包:

ii cloud-utils 0.26-2~bpo70+1 all cloud image management utilities
ii -base 3.5 all image base package
ii linux-image-3.2.0-4-amd64 3.2.68-1+deb7u3 amd64 Linux 3.2 for 64-bit PCs
ii linux-image-amd64 3.2+46 amd64 Linux for 64-bit PCs (meta-package)
QQ截图20160804160125

方法二:执行CONVERT命令

bash: CONVERT: command not found

检测未安装

如果是服务器并没有安装,那请直接在阿里云后台忽略这个提示即可,反之只需要升级ImageMagick即可。

如果服务器安装了ImageMagick怎么办

一种是直接升级组件即可:yum install ImageMagick -y,还可以手动修改WordPress源码

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Scroll Up