Recent, a devenit cunoscut despre periculoase vulnerabilități zero-day din biblioteca de cele mai bune de vânzare-redimensiona imagini numite TimThumb, utilizate într-un număr mare de teme și plugin-uri WordPress.
WordPress - un sistem gratuit de gestionare a conținutului pentru bloguri și site-uri Web cu open source. Pentru ei, a dezvoltat mai mult de 30.000 de plug-in-uri, fiecare dintre acestea oferă funcții speciale și caracteristici care permit designerilor web pentru a adapta site-urile lor la cerințele specifice. WordPress este ușor de instalat și folosit, așa că zeci de milioane de site-uri web din întreaga lume o aleg.
Dar dacă tu sau compania folosind imagini redimensionarea biblioteca „TimThumb“, pentru a reduce imaginile mari la afișaj miniaturi convenabil fără probleme pe site-ul, asigurați-vă că pentru a actualiza fișierul bibliotecă la cea mai nouă versiune a viitoare și în mod regulat a verifica site-ul pentru prezența TimThumb fixează într-o singură actualizare.
Vulnerabilitate descoperit Pichayya Morimoto TimThumb versiune plug-2.8.13, este funcția sa „Webshot“. care, atunci când este activat, permite unui atacator să execute comenzi pe un site la distanță.
Vulnerabilitatea permite unui hacker să execute de la distanță cod PHP arbitrar pe site. Odată ce codul PHP a fost executat, un atacator poate face orice cu site-ul. Deși nu există o soluție pentru această vulnerabilitate.
Cu următoarele comenzi simple, un hacker poate crea, șterge și modifica orice fișiere de pe serverul dvs.
Cine poate suferi
Din păcate, sute de pluginuri și teme disponibile pentru WordPress utilizează în mod implicit biblioteca TimThumb. Unele dintre ele sunt numite mai jos:
Din fericire, în Timthumb, opțiunea webshot este dezactivată implicit, deci sunt afectate numai acele setări Timthumb în care funcția webshot a fost activată manual.
Cum să dezactivați TIMTHUMB "WEBSHOT"
Deschideți fișierul timthumb din directorul tematic sau plugin. De obicei, este localizat în /wp-content/themes//path/to/timthumb.php
Căutați WEBSHOT_ENABLED
Dacă găsiți o linie defini ( „WEBSHOT_ENABLED“, adevărat), apoi modificați valoarea la „false“, adică să definească ( „WEBSHOT_ENABLED“, fals)
Din păcate, la începutul TimThumb sa constatat mai multe vulnerabilități similare, lăsând milioane de site-uri WordPress vulnerabile la atac.
S-ar putea să fiți interesat de ↓↓↓
- Cum să redirecționați utilizatorii la un post aleator în WordPress
- Khaki WordPress pentru utilizatorii site-ului web
- Cum să eliminați widget-urile suplimentare în consola de administrare WordPress
- Codul PHP în widget-urile WordPress
Câștigurile de pe site
Articole recomandate
Ultimul din WordPress
Trimiteți-le prietenilor: