WordPress网站都受ImageMagick漏洞威胁吗?
ImageMagick图像处理开源软件在很多网站都有广泛应用,而ImageMagick漏洞允许攻击者通过简单的图片上传来执行任意代码,故ImageTragic高危漏洞一经爆出,互联网行业立即地洞山摇。更有不少大牌安全网站直接在标题上指出WordPress受到了影响,以至于WordPress网站管理员人人自危。那么是所有的WordPress网站都受到了ImageMagick漏洞威胁吗?
其实并非所有的WordPress网站都有受到ImageMagick漏洞的威胁,按小卓估计甚至都不能说大部分WordPress网站受到高危漏洞威胁,因为这是有一些附加条件的,笼统地说“WordPress受到了漏洞的影响”是不严谨的。
首先,因为这个漏洞问题是出在服务器上的一个ImageMagick库中,故只有当网站服务器有安装使用ImageMagick库时,网站管理员才可能需要修补它或更新服务器。对WordPress而言,它确实可以使用并且会优先使用ImageMagick库来处理图片,但ImageMagick库并不是必须要安装的。事实上,绝大部分的WordPress网站服务器配置并不高,也不会安装ImageMagick库。那你会问啦,那这些WordPress网站是用什么库来支持图片处理功能的?答案是GD库。相较于ImageMagick库,GD库在功能上要弱很多,但它却是标配。当网站服务器不支持ImageMagick库时,WordPress会自动降级使用GD库。
其次,WordPress确实有图片处理功能,但并非所有的账号都有上传图片的权限。普通账号不具备上传图片的权限,也就不具备利用漏洞发动攻击的条件。
当然,不管你的WordPress网站当下是否正受到ImageMagick的威胁,任何时候做好网站的安全措施都是必要的。如果你的网站服务器有安装ImageMagick库,即使WordPress网站对图片上传权限有严格的把控,也请你按照官方要求更新ImageMagick库,以防万一。
最后,小卓写这篇文章本意并非让WordPress网站管理员对漏洞视而不见,而是对大牌安全网站对标题的不严谨感到惊讶。一方面,不是所有的WordPress网站都有收到ImageMagick的影响;另一方面,按分层架构来讲,ImageMagick库属于底层,WordPress处在应用层,底层的问题自然要在底层解决,却在文章标题中把应用层的WordPress单独拎出来讲,让人觉得挺奇怪的。原则上,只要是有机会用到底层ImageMagick库的应用都会受到影响,又岂是只有WordPress受影响?也许是WordPress的名气太大了,一不小心又被炒了一把。