Главная - Без рубрики - Плагин WordPress автоматического обновления скрипта Timthumb

Плагин WordPress автоматического обновления скрипта Timthumb

Вероятно, что наличие скрипта timthumb старой версии на вашем сайте — одна из главных «дыр», через которую ваш сайт могут заразить вирусом любого «калибра». Испытал на собственном, немного горьком, но в то же самое время, — полезном опыте.

Какую функцию выполняет скрипт Thimthumb? Его главная задача — кешировать файлы изображений и хранить их в специальной папке /cache. Этот скрипт и папка могут быть в вашем шаблоне или в одном из плагинов, которые лежат в папке /plugins. «Дыры» в скрипте есть в ранних версиях, отмеченных как 1.09 — 1.18 (где-то читал в доткоме).

Об этом скрипте написано уже немало. Его первые версии были написаны автором не корректно, чем воспользовались злоумышленники, найдя в нем «брешь», с помощью которой используя функционал скрипта, на сайт, работающий на WordPress, можно было загрузить исполняемые PHPShell функции, которые, в свою очередь, могли внедрить на сайт разные сценарии: фишинг, распространение и передачу вирусов на сайты посетителей и т.д.

Эти «дыры» в коде были найдены давно и автор уже неоднократно обновлял и обновляет свой скрипт. На сегодняшний день самая последняя версия скрипта — 2.8.10.

В моих каталогах бесплатных шаблонов WordPress есть темы WordPress, написанные авторами еще в 2009 году и я знаю, что примерно в двух десятках шаблонов WordPress, которые лежат в моем каталоге, есть этот скрипт, и он — ранних версий.

Поэтому, если вы не хотите, чтобы ваш сайт стал «жертвой взлома» — советую скачать в официальном Репозитории плагинов WordPress плагин, который называется —

Timthumb Vulnerability Scanner

Этот плагин поможет вам быстро просканировать ваш сайт и найдет все версии скрипта timthumb — в шаблонах и плагинах, и даже неактивных.

Вам надо активировать плагин, в разделе — Инструменты вы увидите новую страницу — Timthumb Scaner. Откройте ее. Увидите большую кнопку с надписью — Scan. Нажмите и просканируйте свой сайт.

Если плагин найдет скрипт timthumb — он выведет ниже на этой странице таблицу с данными — где лежит скрипт и какой он версии. Если версия старая (ниже 2.8.10) — отметьте чек-бокс и нажмите кнопку — Upgrade. Через несколько секунд у вас будет стоять последняя версия скрипта. Напомню, сейчас — это версия 2.8.10.

В скрипте есть закодированный код. Автор сделал это специально с целью повышения безопасности работы скрипта. Код закрытый и на него может «ругаться» плагин Antivirus. Я вам гарантирую, закрытый код абослютно безвредный, как и сам скрипт сейчас — он тоже абсолютно защищенный от взлома.

О admin

1 комментарий

  1. Спасибо за инфу, админ.

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*