تعرض ثغرة Timthumb للعديد من مواقع Wordpress المحظورة بواسطة Google

ال تحذيرات برنامج Google Malware بدأت في الظهور في جميع أنحاء الإنترنت في وقت مبكر من هذا الشهر وحتى الآن ، لا تزال المواقع مصابة بنصوص الإنترنت المستقلة. إذا كنت تقوم بتشغيل موقع WordPress بموضوع متميز مخصص ، فربما تظهر بالفعل الرسالة أعلاه عند محاولة زيارة موقع الويب الخاص بك (نأمل أن لا ...). تكمن المشكلة في الثغرة المكتشفة مؤخرًا في برنامج نصي شائع لمعالجة الصور يسمى Timthumb. يحظى البرنامج النصي بشعبية كبيرة بين مواضيع WordPress المتميزة مما يجعل هذا الاستغلال خطيرًا بشكل خاص لأن رمز استغلال كان في البرية لعدة أسابيع بالفعل. الخبر السار هو أنني سأراجع ليس فقط كيفية اكتشاف ما إذا كنت مصابًا بالفعل ولكن أيضًا كيفية تصحيح مدونتك لمنع الإصابة في المقام الأول.

كيفية التحقق مما إذا كان لديك مشكلة

بخلاف رؤية تحذير في Chrome مشابه للتحذير أعلاه أثناء زيارة موقعك ، هناك طريقتان سهلتان لمعرفة ما إذا كان تثبيت WordPress مصابًا.

الأول هو ماسح وورد خارجي صممه Sucuri: http://sitecheck.sucuri.net/scanner/

والثاني هو برنامج نصي من جانب الخادم يتم تحميله على موقعك ثم تحميله من متصفح الويب. هذا متاح في

http://sucuri.net/tools/sucuri_wp_check.txt ويجب إعادة تسميته بعد التنزيل وفقًا لتعليمات Sucuri أدناه:

1. حفظ البرنامج النصي إلى جهازك المحلي عن طريق النقر بزر الماوس الأيمن على الرابط أعلاه وحفظ الرابط باسم
2. تسجيل الدخول إلى موقعك عبر sFTP أو FTP (نوصي sFTP / SSH)
3. قم بتحميل البرنامج النصي إلى دليل WordPress الجذر الخاص بك
4. إعادة تسمية sucuri_wp_check.txt إلى sucuri_wp_check.php
5. قم بتشغيل البرنامج النصي عبر المتصفح الذي تختاره - yourdomain.com/sucuri_wp_check.php - تأكد من تغيير مسار URL إلى المجال الخاص بك وأينما قمت بتحميل الملف
6. تحقق من النتائج

إذا سحبت الماسحات الضوئية أي شيء مصاب ، فستحتاج إلى إزالة الملفات المصابة مباشرة على الفور. ولكن ، حتى إذا أظهرت الماسحات الضوئية "كل شيء واضحًا" ، فمن المحتمل أن تكون لا تزال تواجه مشكلة في تثبيت timthumb الفعلي.

كيف أصلحه؟

أولاً ، إذا لم تكن قد قمت بذلك بالفعل ، فقم بإجراء نسخ احتياطي وتنزيل نسخة من دليل WordPress الخاص بك وقاعدة بيانات MySQL. للحصول على تعليمات حول النسخ الاحتياطي لقاعدة بيانات MySQL انظر وورد مخطوطة. قد تحتوي النسخة الاحتياطية على خردة ، لكنها أفضل من البدء من لا شيء.

بعد ذلك ، احصل على أحدث إصدار من timthumb في http://timthumb.googlecode.com/svn/trunk/timthumb.php

نحتاج الآن إلى تأمين timphthumb .php الجديد وجعله حتى لا تتمكن المواقع الخارجية من تنشيط البرامج النصية للتشغيل. لكي تفعل هذا، اتبع هذه الخطوات:

1. استخدم محرر نصوص مثل المفكرة ++ وانتقل إلى السطر 27 في timbthumb.php - يجب قراءته $ allowSites = المصفوفة (
2. إزالة جميع المواقع المدرجة مثل "imgur.com" و "tinypic.com"
3. بعد إزالة كل شيء ، يجب أن تكون الأقواس فارغة ومغلقة على النحو التالي: $ allowSites = المصفوفة();
4. احفظ التغييرات.

حسنًا ، الآن بعد أن أصبح نص timbthumb الجديد آمنًا ، ستحتاج إلى الاتصال بخادم موقعك عبر FTP أو SSH. في معظم المظاهر المخصصة في WordPress التي تستخدم timbthumb ، توجد في wp-content \ theme \ [themename] مجلد. احذف timbhumb.php القديم واستبدله بآخر جديد. إذا كان لديك أكثر من نسخة واحدة من timbthumb على الخادم الخاص بك ، فستحتاج إلى التأكد من استبدالهم جميعًا - لاحظ أنه سيتم استدعاءهم في بعض الأحيان thumb.php.

بمجرد تحديث timbthumb على خادم الويب الخاص بك ومسح أي من الملفات التي تم الكشف عنها بواسطة الماسحات الضوئية أعلاه ، فأنت على ما يرام. إذا كنت تعتقد أنك قد تقوم بالترقية قليلاً إلى وقت متأخر وقد تكون مصابًا بالفعل ، يجب عليك الاتصال بمضيف الويب الخاص بك على الفور ومطالبتهم بإجراء فحص AV كامل لخادم الويب الخاص بك. نأمل بعد ذلك أن يساعدك في إصلاح المشكلة ، وإلا فقد تحتاج إلى الرجوع إلى النسخة الاحتياطية.