WP_Image_Editor_Imagick 漏洞臨時解決方法

導讀	阿里雲推送的一條簡訊通知：存放在上面的WordPress程式有WP_Image_Editor_Imagick漏洞問題，需要登入後臺補丁等等的暗示。當然，如果需要線上補丁則需要升級阿里雲的安騎士專業版，100元/5臺/月。其實對於我們來說我們沒有必要去購買這個服務，因為這個漏洞並不是由於Wordpress程式本身造成的，而是由於ImageMagick這個PHP影像處理模組爆出的“0day”漏洞所引發的。

先來說下ImageMagick這個模組，ImageMagick是一個免費的建立、編輯、合成圖片的軟體。它可以讀取、轉換、寫入多種格式的圖片。圖片切割、顏色替換、各種效果的應用，圖片的旋轉、組合，文字，直線，多邊形，橢圓，曲線，附加到圖片伸展旋轉。ImageMagick是免費軟體：全部原始碼開放，可以自由使用，複製，修改，釋出，它遵守GPL許可協議，可以執行於大多數的作業系統，ImageMagick的大多數功能的使用都來源於 行工具。由於其強大的功能以及超強的可操作性，是的這款作圖軟體深得廣大辦公人士喜愛，正因為如此，此次0day漏洞所帶來的影響超乎了人們的想象。諸多網站論壇都深受其害，其中不乏百度、阿里、騰訊、新浪等知名網站，一時間，業界各大網站及企業都人人自危，紛紛自查，以免中招。

那麼對於我們來說，如果去解決這個漏洞呢？

等ImageMagick的官方更新，並將其升級到最新版本。不過這似乎要等段時間。

透過配置檔案，禁用ImageMagick。
在“/etc/ImageMagick/policy.xml” 檔案中新增如下程式碼：

<policymap>
 
<policy domain="coder" rights="none" pattern="EPHEMERAL" />
 
<policy domain="coder" rights="none" pattern="URL" />
 
<policy domain="coder" rights="none" pattern="HTTPS" />
 
<policy domain="coder" rights="none" pattern="MVG" />
 
<policy domain="coder" rights="none" pattern="MSL" />
 
</policymap>

將wordpress的預設圖片處理庫優先順序改為GD優先，這也是阿里雲給出的臨時解決方案：（不過我就不要錢了，其實也很簡單）
在wp-includes/media.php中搜尋:

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick', 'WP_Image_Editor_GD' ) );

修改為:

$implementations = apply_filters( 'wp_image_editors', array('WP_Image_Editor_GD','WP_Image_Editor_Imagick' ) );

問題臨時解決。

原文來自： https://www.linuxprobe.com/imagemagick-loopholes-solution.html