Timthumb-kwetsbaarheid maakt veel WordPress-sites geblokkeerd door Google

De Google Malware-waarschuwingen begon begin deze maand overal op internet te verschijnen en zelfs nu worden sites nog steeds geïnfecteerd door autonome internetscripts. Als u een WordPress-site met een aangepast premium-thema gebruikt, ziet u mogelijk het bovenstaande bericht al wanneer u probeert uw website te bezoeken (Hopelijk niet….). Het probleem ligt bij een kwetsbaarheid die onlangs is ontdekt in een populair script voor beeldmanipulatie genaamd Timthumb. Het script is erg populair onder premium WordPress-thema's, waardoor deze exploit bijzonder gevaarlijk is omdat de exploitcode al enkele weken in het wild is. Het goede nieuws is dat ik niet alleen ga bekijken hoe ik kan detecteren of je al geïnfecteerd bent, maar ook hoe je je blog moet patchen om te voorkomen dat je in de eerste plaats geïnfecteerd raakt.

Controleren of je een probleem hebt

Afgezien van het zien van een waarschuwing in Chrome die lijkt op de waarschuwing hierboven tijdens uw bezoek aan uw site, zijn er twee eenvoudige manieren om te zien of uw WordPress-installatie is geïnfecteerd.

De eerste is een externe WordPress-scanner, ontworpen door Sucuri: http://sitecheck.sucuri.net/scanner/

De tweede is een server-side script dat u naar uw site uploadt en vervolgens vanuit een webbrowser laadt. Dit is beschikbaar op http://sucuri.net/tools/sucuri_wp_check.txt en moet na het downloaden worden hernoemd volgens de instructies van Sucuri hieronder:

1. Sla het script op uw lokale computer op door met de rechtermuisknop op de bovenstaande link te klikken en de link op te slaan als
2. Log in op uw site via sFTP of FTP (we raden sFTP / SSH aan)
3. Upload het script naar uw root-WordPress-directory
4. Wijzig de naam sucuri_wp_check.txt in sucuri_wp_check.php
5. Voer het script uit via de browser van uw keuze - uwdomein.com/sucuri_wp_check.php - Zorg ervoor dat u het URL-pad naar uw domein wijzigt en waar u het bestand ook uploadt
6. Bekijk de resultaten

Als de scanners iets geïnfecteerds ophalen, wilt u de geïnfecteerde bestanden direct verwijderen. Maar zelfs als de scanners "alles duidelijk" weergeven, hebt u waarschijnlijk nog steeds een probleem met uw daadwerkelijke timthumb-installatie.

Hoe los ik dit op?

Ten eerste, als u dit nog niet heeft gedaan, maak dan een back-up en download een kopie van uw WordPress-directory en uw MySQL-database. Voor instructies over het maken van een back-up van de MySQL-database, zie de WordPress Codex. Uw back-up bevat mogelijk rommel, maar het is beter dan helemaal opnieuw te beginnen.

Pak vervolgens de nieuwste versie van timthumb op http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nu moeten we de nieuwe timbthumb .php beveiligen en ervoor zorgen dat externe sites geen scripts kunnen activeren. Ga hiervoor als volgt te werk:

1. Gebruik een teksteditor zoals Notepad ++ en ga naar regel 27 in timbthumb.php - Het zou moeten lezen $ allowedSites = array (
2. Verwijder alle sites zoals "imgur.com" en "tinypic.com"
3. Na het verwijderen van alles zou het haakje nu als volgt leeg en gesloten moeten zijn: $ allowedSites = array();
4. Wijzigingen opslaan.

Oké, nu je nieuwe timbthumb-script veilig is, moet je verbinding maken met de server van je website via FTP of SSH. In de meeste aangepaste WordPress-thema's die timbthumb gebruiken, bevindt deze zich in de wp-content \ themes \ [de naam] map. Verwijder de oude timbhumb.php en vervang deze door de nieuwe. Als u meer dan één exemplaar van timbthumb op uw server heeft, moet u ze ALLE vervangen - merk op dat ze soms gewoon worden aangeroepen thumb.php.

Zodra je timbthumb op je webserver hebt bijgewerkt en alle bestanden hebt verwijderd die door de bovenstaande scanners zijn gedetecteerd, ben je min of meer klaar om te gaan. Als u denkt dat u een beetje te laat upgradet en u bent mogelijk al geïnfecteerd, neem dan onmiddellijk contact op met uw webhost en vraag hen om een ​​volledige AV-scan van uw webserver te maken. Hopelijk kan het dan helpen om je op te lossen, anders moet je misschien teruggaan naar een back-up.