Sikkerhetsproblemer med Timthumb gjør mange WordPress-nettsteder blokkert av Google

Google Malware-advarslene begynte å poppe over hele Internett tidlig denne måneden, og selv nå blir nettsteder fortsatt infisert av autonome internettskript. Hvis du kjører et WordPress-nettsted med et tilpasset premium-tema, ser du kanskje allerede ovennevnte melding når du prøver å besøke nettstedet ditt ( forhåpentligvis ikke .... ). Problemet ligger i et sårbarhet som nylig ble oppdaget i et populært skript for håndtering av bilder, kalt Timthumb. Skriptet er veldig populært blant premium WordPress-temaer, noe som gjør at dette utnytter spesielt farlig vesen som utnytter koden allerede i flere uker allerede. Den gode nyheten er at jeg skal gjennomgå, ikke bare hvordan du kan oppdage om du allerede har blitt smittet, men også hvordan du oppdaterer bloggen din for å unngå å bli smittet i utgangspunktet.

Hvordan sjekke om du har et problem

Annet enn å se en advarsel i Chrome lik den som er nevnt under besøket på nettstedet ditt, er det to enkle måter å se om WordPress-installasjonen din er blitt infisert.

Den første er en ekstern wordpress-skanner designet av Sucuri: http://sitecheck.sucuri.net/scanner/

Den andre er et server side script som du laster opp til nettstedet ditt, og lastes deretter fra en nettleser. Dette er tilgjengelig på http://sucuri.net/tools/sucuri_wp_check.txt og må omdøpes etter nedlasting som beskrevet i Sucuris instruksjoner nedenfor:

    1. Lagre skriptet til din lokale maskin ved å høyreklikke lenken over og lagre link som
    2. Logg inn på nettstedet ditt via sFTP eller FTP (Vi anbefaler sFTP / SSH)
    3. Last opp skriptet til root-WordPress-katalogen din
    4. Gi nytt navn til sucuri_wp_check.txt til sucuri_wp_check.php
    5. Kjør skriptet via valgfri nettleser - yourdomain.com/sucuri_wp_check.php - Pass på at du endrer URL-banen til domenet ditt og hvor du lastet opp filen
    6. Sjekk resultatene

Hvis skannerne trekker opp noe infisert, vil du umiddelbart fjerne de infiserte filene umiddelbart. Men selv om skannerne viser "alt klart", har du sannsynligvis fortsatt et problem med din faktiske timthumb-installasjon.

Hvordan løser jeg det?

Først, hvis du ikke allerede har gjort det så-backup og last ned en kopi av WordPress-katalogen din og MySQL-databasen. For instruksjoner om sikkerhetskopiering av MySQL-databasen, se WordPress Codex. Sikkerhetskopien din kan inneholde søppel, men det er bedre enn å starte over fra ingenting.

Deretter tar du den siste versjonen av timthumb på http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nå må vi sikre den nye timbthumb .php og gjøre det slik at eksterne sider ikke kan aktivere kjøreskript. For å gjøre dette, følg disse trinnene:

  1. Bruk en tekstredigerer som Notepad ++ og gå til linje 27 i timbthumb.php - Den skal lese $ allowedSites = array (
  2. Fjern alle nettstedene som er oppført som "imgur.com" og "tinypic.com"
  3. Etter å ha fjernet alt, bør parentesen nå være tom og lukket slik: $ allowedSites = array ();
  4. Lagre endringer.

Ok, nå som det nye timbthumb-skriptet ditt er sikkert, må du koble til nettserverens server via FTP eller SSH. I de fleste WordPress-tilpassede temaer som bruker timbthumb, ligger den i mappen wp-content \ themes \ [themename] . Slett den gamle timbhumb.php og erstatt den med den nye. Hvis du har mer enn en kopi av timbthumb på serveren din, må du være sikker på å erstatte dem alle - merk at de noen ganger bare vil bli kalt thumb.php.

Når du har oppdatert timbthumb på webserveren og fjernet noen av filene som ble oppdaget av de ovennevnte skannerne, er du mer eller mindre bra å gå. Hvis du tror du kan oppgradere litt for sent, og du kanskje allerede er smittet, bør du umiddelbart kontakte webverten og be dem om å gjøre en full AV-skanning av webserveren din. Forhåpentligvis kan det hjelpe deg med å fikse deg, ellers måtte du kanskje gå tilbake til en sikkerhetskopi.