Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів

Нещодавно стало відомо про небезпечну уразливість нульового дня в користується попитом бібліотеці зміни розмірів зображень під назвою TimThumb, використовуваної в величезній кількості тем і плагінів WordPress.

WordPress - безкоштовна система управління контентом для блогів і сайтів з відкритим вихідним кодом. Для неї розроблено понад 30,000 плагінів, кожен з яких надає спеціальні функції і можливості, що дозволяють веб-майстрам пристосовувати їх сайти під конкретні вимоги. WordPress з легкістю встановлюється і використовується, тому десятки мільйонів сайтів по всьому світу вибирають її.

Але якщо ви або ваша компанія використовуєте бібліотеку зміни розмірів зображень "TimThumb", щоб зменшувати великі картинки до зручних мініатюр, без проблем відображаються на сайті, то обов'язково оновіть файл бібліотеки до прийдешньої нової версії і регулярно перевіряйте сайт TimThumb на наявність виправленого поновлення.

Небезпечна вразливість, виявлена ​​Пічайя Морімото в плагіні TimThumb версії 2.8.13, полягає в його функції "Webshot". яка, будучи включеною, дозволяє зловмиснику виконувати команди на віддаленому сайті.

Уразливість дозволяє хакеру віддалено виконувати довільний код PHP на сайті. Як тільки код PHP був виконаний, зловмисник може робити з сайтом що завгодно. Поки відсутня виправлення для даної уразливості.

За допомогою наступних простих команд хакер може створювати, видаляти і змінювати будь-які файли на вашому сервері.

Хто може постраждати

На жаль, сотні наявних плагінів і тем для WordPress за замовчуванням використовують бібліотекуTimThumb. Деякі з них названі нижче:

На щастя, в Timthumb опція webshot за замовчуванням відключена, тому ризикують постраждати тільки ті установки Timthumb, в яких функція webshot була включена вручну.

Як відключити TIMTHUMB "WEBSHOT"
Відкрийте файл timthumb в каталозі теми або плагіна. Як правило, він розташований в /wp-content/themes//path/to/timthumb.php
пошукайте WEBSHOT_ENABLED
Якщо знайдете рядок define ( 'WEBSHOT_ENABLED', true), то замініть значення на "false", тобто define ( 'WEBSHOT_ENABLED', false)

Як не сумно, раніше в TimThumb було виявлено безліч подібних вразливостей, що залишають мільйони сайтів WordPress уразливими для атак.

Можливо, Вам буде цікаво ↓↓↓

  • Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
    Як перенаправити користувачів на випадковий пост в WordPress
  • Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
    Хакі WordPress для користувачів сайту
  • Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
    Як видалити зайві віджети в консолі адміністратора WordPress
  • Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
    PHP код в текстових віджети WordPress

Заробіток на сайті

Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
Абсолютно всі способи монетизації сайту

Популярні статті

Останнє з «WordPress»

Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
Віджет плеєра на WordPress - Simple Music Widget

Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
Google XML Sitemaps - робимо карту сайту на WordPress

Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
Плагін для контактних форм - Contact Form 7

Zero-day в timthumb webshot загрожує сайтам на wordpress, все про створення сайтів
Кращий плагін SEO для WordPress - All in One SEO Pack