wordpress WP_Image_Editor_Imagick 漏洞修复处理

最近有一些用户在使用漏斗查询软件，或者服务器自动查询推送警告，警告为WordPress包含一个WP_Image_Editor_Imagick漏洞，这几天我们的售后也收到了不少这样的报告。

值得注意的是：该漏洞真正的原因与 WordPress 无关，是 ImageMagick 的漏洞，如果系统安装有 ImageMagick 请首先解决其自身漏洞，如果服务器或者云主机本身并没有安装ImageMagick组件（检查/etc下是否存在/ImageMagick文件夹可知）那 么问题并不大，因为wordpress 、 discuz!等程序一般都是采用GD库来处理的。

因此，ImageMagick在各大新闻媒体上的报道威海非常之大，但具体的危害主要针对于大型网站或者广大虚拟主机商而言,反而针对自己没有安装ImageMagick组件服务器环境不会有影响。

下面介绍下WP_Image_Editor_Imagick的功能，以及临时解决的办法。

WP_Image_Editor_Imagick漏洞面以及介绍

ImageMagick是一个免费的创建、编辑、合成图片的软件。它可以读取、转换、写入多种格式的图片。图片切割、颜色替换、各种效果的应用，图片的旋转、组合，文本，直线，多边形，椭圆，曲线，附加到图片伸展旋转。

临时解决WP漏洞的方法只需要修改一行代码就好。

1、找到wp-includes/media.php，第2898行；

2、修改下列第一条代码为第二条：

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_Imagick' ,  'WP_Image_Editor_GD' ) );

$implementations = apply_filters( 'wp_image_editors', array( 'WP_Image_Editor_GD', 'WP_Image_Editor_Imagick' ) );

即把2个库优先级对调即可。

或者，修改/wp-includes/media.php 注释掉一下语句：

require_once ABSPATH . WPINC . ‘/class-wp-image-editor-imagick.php’;

即便机器里装了ImageMagic wordpress也不会调用了。

所以可以暂时不用担心ImageMagic的漏洞了。

这个修复仅是临时解决方案，更可靠、最直接的方法还是请将wordpress程序升级到最新版本，如果服务器安装有ImageMagick组建同样需要升级至新版本。