Säkerhetsproblem med Timthumb

Tyvärr har det visat sig att Timthumb har en sårbarhet i säkerheten. Många tredje-parter använder timthumb till sina plugin och dessa blir cashade i Timthumbs register. Med det öppnar det sig ett säkerhetshål för att exekvera illasinnade php-koder. Har dessa php-koder en gång blivit uppladdade och exekverade (utförda) så kan din sajt bli hackad beroende på hur hackarna vill att din sajt ska bli hackad. Observera att det inte spelar någon roll om temat är aktivt eller inte – har du det liggande i wp-themes är du ändå sårbar ifall koden redan har exekverats.

Lösning:

Börja med att ladda ned Timthumb version 2.8 som är den senaste versionen (kopiera och spara med filändelsen .php) från http://code.google.com/p/timthumb/. Filen är omarbetad för täppa till säkerhetshålen. När du har laddat ned den – öppna filen i en textredigerare och leta dig ned till TimThumb CONFIGURATION. Du börjar att göra dina inställningar för maximalt skydd vid detta stycke:

//Image fetching and caching

if(! defined('ALLOW_EXTERNAL') ) define ('ALLOW_EXTERNAL', TRUE);			// Allow image fetching from external websites. Will check against ALLOWED_SITES if ALLOW_ALL_EXTERNAL_SITES is false
if(! defined('ALLOW_ALL_EXTERNAL_SITES') ) define ('ALLOW_ALL_EXTERNAL_SITES', false);		// Less secure.

Raden if(! defined('ALLOW_EXTERNAL') ) define ('ALLOW_EXTERNAL', TRUE); är en förfrågan om det finns vissa externa länkar med bilder som är tillåtna. Ändrar du TRUE till FALSE så blockeras alla externa länkar (säkraste metoden). Vill du däremot ha möjlighet att endast från vissa utvalda externa länkar kunna visa bilder så låter du definitionen vara TRUE. Då träder nästa exekvering i kraft på följande vis: OM du tillåter vissa externa länkar så är det de som du har valt på förhand. För att definiera vilka de kan vara så behöver du skrolla ned i dokumentet till du kommer till följande stycke:

// If ALLOW_EXTERNAL is true and ALLOW_ALL_EXTERNAL_SITES is false, then external images will only be fetched from these domains and their subdomains.

Direkt under så listas de siter som du tillåter. Koden för detta ser ut så här:

if(! isset($ALLOWED_SITES)){
	$ALLOWED_SITES = array (
			'flickr.com',
			'picasa.com',
			'img.youtube.com',
			'upload.wikimedia.org',
			'photobucket.com',
			'imgur.com',
			'imageshack.us',
			'tinypic.com'
	);
}

Störst säkerhet får du om du först anger if(! defined('ALLOW_EXTERNAL') ) define ('ALLOW_EXTERNAL', FALSE); och sedan raderar dina tillåtna externa länkar så koden ser ut så här:

if(! isset($ALLOWED_SITES)){
	$ALLOWED_SITES = array ();
}

Det finns en risk att vissa av dina bilder förvinner med denna metod om du har länkat in dem i WordPress – men vilket alternativ du än väljer så gör nu detta och spara filen. Följ sedan denna steg-för-steg-guide för att kunna slutföra säkerhetskonfigureringen.

  1. Deaktivera alla plugin som du inte använder, eller mer, radera dem helt.
  2. Radera även alla teman du inte använder, de kan använda en gammal version av Timthumb, i annat fall måste du igenom alla dina teman för att undgå säkerhetshålet. Ta en back up ifall du vill spara dem.
  3. Har du modifierat något plugin som du inte använder? Ta back up och radera det sedan.
  4. Gå igenom ditt aktiva tema och de plugin som på något vis är relaterade till bilder. Sök efter en fil som antingen heter thumb.php eller timthumb.php. Var aktsam om att dessa filer likväl kan lokaliseras i mappar som js, scripts, lib och liknande, i synnerhet om ditt tema använder någon form av framework. Då är det en god idé att även leta i mappar med namn som includes, styles, panel, widgets, images, page_templates, post_admin och så vidare.
  5. För varje fil du lokaliserar så uppdaterar du denna till den senaste versionen av timthumb.

Lycka till!

Inlägget är uppdaterat

Följande plugin och teman inkluderar/använder den sårbara versionen av timthumb (21/8-11).
Plugin:

  1. portfolio-slideshow-pro
  2. wp-mobile-detector
  3. a-wp-mobile-detector
  4. igit-related-posts-with-thumb-images-after-posts
  5. dukapress
  6. verve-meta-boxes
  7. db-toolkit
  8. logo-management
  9. wp-marketplace
  10. islidex
  11. aio-shortcodes
  12. category-grid-view-gallery
  13. WPFanPro
  14. igit-posts-slider-widget
  15. wordpress-gallery-plugin
  16. cms-pack
  17. Premium_Gallery_Manager
  18. dp-thumbnail
  19. placid-slider
  20. nivo-slider
  21. photoria
  22. LaunchPressTheme
  23. kc-related-posts-by-category
  24. journalcrunch
  25. download-manager
  26. wordpress-thumbnail-slider
  27. sugar-slider
  28. optimizepress

Teman:

  1. Minimo
  2. Polished
  3. Minimal
  4. nebula
  5. TheCorporation
  6. TheStyle
  7. TuaranBlog
  8. striking
  9. MyCuisine
  10. AskIt
  11. Webly
  12. Aggregate
  13. TheSource
  14. reviewit
  15. kelontongfree
  16. Mentor
  17. SimplePress
  18. journalcrunch
  19. ecobiz
  20. Magnificent
  21. timthumb.php
  22. Olympia
  23. kingsize
  24. Chameleon
  25. DelicateNews
  26. videozoom-v2.0-original
  27. videozoom
  28. Envisioned
  29. twicet
  30. u-design
  31. genoa
  32. OptimizePress
  33. Modest
  34. mocell
  35. ephoto
  36. Theme
  37. InReview
  38. lightpress
  39. hostme
  40. PersonalPress
  41. Cadca
  42. arras
  43. tiwinoo_v3
  44. MyProduct
  45. sc4
  46. InterPhaseTheme
  47. InStyle
  48. LightBright
  49. TheProfessional
  50. mnfst
  51. freshnews
  52. ArtSee
  53. Boutique
  54. eStore
  55. Avenue
  56. twentyten
  57. XSWordPressTheme
  58. adcents
  59. Nova
  60. MyPhoto
  61. eGallery
  62. Striking_Premium_Corporate
  63. default
  64. Lycus
  65. manifesto
  66. cold
  67. DynamiX
  68. tarnished
  69. Nyke
  70. linepress
  71. DJ
  72. adria
  73. zimex
  74. peano
  75. ElegantEstate
  76. delight
  77. kelontong-free
  78. duotive-three
  79. SobhanSoft_Theme
  80. PureType
  81. yamidoo_pro
  82. vulcan2.1
  83. eGamer
  84. Wooden
  85. peritacion
  86. AmphionPro
  87. trinity
  88. dandelion_v2.6.3
  89. Juggernautgrande
  90. juggernaut-theme
  91. BlackLabel_v1.1.2
  92. Feather
  93. reviewit1
  94. zinepress_v1.0.1
  95. tribune
  96. photoria
  97. vilisya
  98. DailyNotes
  99. Basic
  100. minerva
  101. anthology_v1.4.2
  102. ModestTheme
  103. purevision
  104. parquet
  105. framed-redux
  106. eceramica
  107. InterPhase
  108. epsilon
  109. Striking
  110. thedawn
  111. peava
  112. Newspro
  113. telegraph
  114. averin
  115. telegraph_v1.1
  116. Memoir
  117. NewsPro
  118. CircloSquero
  119. vassal
  120. maxell
  121. 13Floor
  122. wpanniversary
  123. OnTheGo
  124. Glider
  125. mohannad-najjar222
  126. mohannad-najjar2
  127. arthemia
  128. tuufy7
  129. photoframe
  130. beach-holiday
  131. blacklabel
  132. cadabrapress
  133. snapwire
  134. bizpress
  135. themesbangkoofree
  136. TOA
  137. D4
  138. eNews
  139. vulcan
  140. overtime
  141. rockwell_v1.0
  142. vicon
  143. wideo
  144. CherryTruffle
  145. mio
  146. rttheme13
  147. Linepress
  148. DeepFocus
  149. advanced-newspaper202
  150. OptimusPrime
  151. Quadro
  152. Lumin
  153. minima
  154. identity
  155. U-design.v1.1.2_hkz
  156. KP
  157. Petra
  158. services
  159. 13FloorTheme.php
  160. BD
  161. PolishedTheme
  162. 13FloorTheme
  163. kiwinho
  164. graphix
  165. jerestate
  166. centro
  167. corage
  168. Reporter
  169. TheTravelTheme
  170. XSBasico
  171. openhouse
  172. seosurfing1
  173. bluebaboon
  174. Newspro-2.8.6
  175. nd
  176. zoralime
  177. GrupoProbeta
  178. eBusiness
  179. purplex
  180. kitten-in-pink
  181. FashionHouse
  182. WhosWho
  183. Deviant
  184. Bold
  185. BusinessCard
  186. EarthlyTouch
  187. GrungeMag
  188. LightSource
  189. Simplism
  190. TidalForce
  191. Glow
  192. Influx
  193. StudioBlue
  194. jpmegaph
  195. redina
  196. tritone
  197. dandelion_v2.5
  198. Bluesky
  199. ColdStone
  200. silveroak
  201. newspro
  202. GamesAwe
  203. caratinga.net
  204. SimplePressTheme
  205. MyResume
  206. MyApp
  207. theme
  208. bigcity
  209. dandelion_v2.6.1
  210. chronicle
  211. cuizine
  212. thesis_18
  213. advanced-newspaper_new
  214. Event
  215. wpbedouine
  216. rt_affinity_wp
  217. arry12
  218. backup-TheStyle
  219. ExploreFeed
  220. zzzzzzzzz
  221. Bluemist
  222. Hermes
  223. cleartype_v1.0
  224. polariswp
  225. Chameleon 1.6
  226. sniper
  227. adena
  228. ariela
  229. FreshAndClean
  230. wp-creativix

Hämtat hos websitedefender.com

Liknande poster:

2 Comments Add yours

  1. Grymt bra tips, genomgående men ändå koncist. Listan efter uppdateringen gör ju det hela så mycket lättare också ^^

    1. Lena says:

      Tack för det 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *