阿里云服务器修复wordpress WP_Image_Editor_Imagick指令注入漏洞
今天老wu一大早收到阿里云发来的短信,说是吴川斌的博客所部署的云服务器上发现了严重的漏洞–WP_Image_Editor_Imagick指令注入漏洞,需要紧急修复。
赶紧登陆阿里云管理后台,进入”云盾-》安骑士“页面查看漏洞详情,发现阿里云提供了漏洞修复补丁,满心欢喜准备修复的时候,却别告知安骑士要升级成专业版才行,靠,一年要将近一千块,作为一位有技术有逼格的IT专业人士,实在没法挨下这一刀。
好吧,还好我会翻墙,寻找谷歌的帮助,了解到这个WP_Image_Editor_Imagick指令注入漏洞是由于ImageMagick这个PHP图像处理模块爆出的“0day”漏洞所引发的,最完善的解决方案是等ImageMagick的官方更新,并将其升级到最新版本。不过这要等上好一段时间,搞不好服务器就被黑客给攻陷了,在正式补丁出来之前,目前ImageMagick官方给出了一个临时解决方案:通过配置文件,禁用掉ImageMagick。
我们可以进入wordpress的安装目录下,修改/wp-includes/media.php这个文件。找到
[php]
$implementations = apply_filters( ‘wp_image_editors’, array( ‘WP_Image_Editor_Imagick’, ‘WP_Image_Editor_GD’ ) );
[/php]
替换成
[php]
$implementations = apply_filters( ‘wp_image_editors’, array( ‘WP_Image_Editor_GD’ ,’WP_Image_Editor_Imagick’ ) );
[/php]
然后用阿里云的安骑士再次检查漏洞,发现说漏洞文件已经修改,应该是OK了吧。
老wu再次为阿里云云服务器的安全系统点赞,及时能发现漏洞并能第一时间通过短信提醒。虽然一键自动修复功能需要付费,但也无可厚非,好在阿里云的社区版块也提供了手动修复漏洞的方法。
4 Comments
按照这个上传之后不能上传图片了
是的 无法上传 我给取消掉了
[/强]
谢谢关注 O(∩_∩)O~