Sikkerhetsproblem i Timebrit gjengir mange Wordpress-nettsteder blokkert av Google

De Advarsler om Google Malware begynte å sprute over hele internett tidlig denne måneden, og til og med nå blir nettsteder fortsatt smittet av autonome internettskript. Hvis du kjører et WordPress-nettsted med et tilpasset premium-tema, ser du kanskje allerede meldingen ovenfor når du prøver å besøke nettstedet ditt (forhåpentligvis ikke….). Problemet ligger i en sårbarhet som nylig ble oppdaget i et populært bildemanipulasjonsskript kalt Timbour. Skriptet er veldig populært blant premium WordPress-temaer, noe som gjør denne utnyttelsen spesielt farlig fordi utnyttingskoden har vært i naturen i flere uker allerede. Den gode nyheten er at jeg ikke bare vil se hvordan du oppdager om du allerede har blitt smittet, men også hvordan du lapper bloggen din for å forhindre at du smittes i utgangspunktet.

Hvordan sjekke om du har et problem

Annet enn å se en advarsel i Chrome som ligner på den ovenfor mens du besøker nettstedet ditt, er det to enkle måter å se om WordPress-installasjonen din har blitt infisert.

Den første er en ekstern wordpress-skanner designet av Sucuri: http://sitecheck.sucuri.net/scanner/

Det andre er et serversideskript som du laster opp til nettstedet ditt og deretter laster fra en nettleser. Dette er tilgjengelig kl http://sucuri.net/tools/sucuri_wp_check.txt og må bli gitt nytt navn etter nedlasting i henhold til Sucuris instruksjoner nedenfor:

1. Lagre skript på din lokale maskin ved å høyreklikke på lenken over og lagre lenke som
2. Logg inn på nettstedet ditt via sFTP eller FTP (Vi anbefaler sFTP / SSH)
3. Last opp skriptet til din root WordPress-katalog
4. Gi nytt navn sucuri_wp_check.txt til sucuri_wp_check.php
5. Kjør skriptet via den valgte nettleseren - yourdomain.com/sucuri_wp_check.php - Forsikre deg om at du endrer URL-banen til domenet ditt og uansett hvor du lastet opp filen
6. Sjekk resultatene

Hvis skannerne henter noe infisert, vil du fjerne de infiserte filene umiddelbart. Men selv om skannerne viser "helt klart", har du sannsynligvis fortsatt et problem med den faktiske timúminstallasjonen.

Hvordan fikser jeg det?

For det første, hvis du ikke allerede har gjort det - sikkerhetskopier og last ned en kopi av WordPress-katalogen og MySQL-databasen. For instruksjoner om sikkerhetskopiering av MySQL-databasen, se WordPress Codex. Sikkerhetskopien din kan inneholde søppel, men det er bedre enn å starte på nytt fra ingenting.

Neste, ta tak i den nyeste versjonen av timoem på http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nå må vi sikre den nye timboem .php og gjøre den slik at eksterne nettsteder ikke kan aktivere kjøreskript. Følg disse trinnene for å gjøre dette:

1. Bruk en tekstredigerer som Notepad ++ og gå til linje 27 i timbebrit.php - Det skal lese $ allowSites = matrise (
2. Fjern alle nettstedene som er oppført, for eksempel “imgur.com” og “tinypic.com”.
3. Etter å ha fjernet alt, skal parentesen nå være tom og lukket slik: $ allowSites = matrise();
4. Lagre endringer.

OK, nå som det nye timbumn-skriptet ditt er sikkert, må du koble deg til nettstedets server via FTP eller SSH. I de fleste WordPress tilpassede temaer som bruker timbúm, er det lokalisert i wp-content \ temaer \ [THEME] mappe. Slett den gamle timbhumb.php og erstatt den med den nye. Hvis du har mer enn en kopi av timbúm på serveren din, må du passe på å erstatte ALLE av dem - merk at noen ganger bare blir de kalt thumb.php.

Når du har oppdatert timbúm på webserveren din og tømt noen av filene som ble oppdaget av skannerne ovenfor, er du mer eller mindre god å gå. Hvis du tror at du kanskje oppgraderer litt til sent, og at du allerede er smittet, bør du kontakte webhotellet umiddelbart og be dem om å gjøre en full AV-skanning av webserveren. Forhåpentligvis da kan hjelpe deg med å fikse deg ellers kan det hende du må gå tilbake til en sikkerhetskopi.