WordPress: luka w TimThumb

Konrad Karpieszuk umieścił dziś na stronie WP Zlecenia ważną informację dla osób tworzących strony na bazie WordPressa.

TimThumb to bardzo popularny skrypt do przeskalowywania obrazków. Przez swoją popularność i łatwość użycia oraz fakt, że można go wykorzystywać za darmo, wielu twórców skórek i pluginów dołączyło go do swoich paczek instalacyjnych.

Niestety mniej więcej 2 miesiące temu w skrypcie została wykryta dziura, pozwalająca na zdalne wykonanie dowolnego polecenia na naszym serwerze. Jeśli więc gdzieś w twoim WordPressie jest TimThumb, każdy będzie mógł wykorzystać twoją stronę do rozsyłania spamu, umieszczenia na niej linków prowadzących do podejrzanych witryn lub zrobić cokolwiek innego. W tym i skasować całą witrynę.

We wpisie Sprawdź, czy luka w TimThumb nie zagraża twojemu WordPressowi znajduje się metoda aktualizacji skryptu, lista podejrzanych wtyczek i inne użyteczne informacje.

Idę ogarnąć swoje wordpressy…