La vulnérabilité de Timthumb rend de nombreux sites Wordpress bloqués par Google

le Avertissements Google Malware commencé à apparaître partout sur Internet au début du mois et même maintenant, les sites sont toujours infectés par des scripts Internet autonomes. Si vous exécutez un site WordPress avec un thème premium personnalisé, vous pouvez déjà voir le message ci-dessus lorsque vous essayez de visiter votre site Web (Heureusement non….). Le problème réside dans une vulnérabilité récemment découverte dans un script de manipulation d'image populaire appelé Timthumb. Le script est très populaire parmi les thèmes WordPress premium, ce qui rend cet exploit particulièrement dangereux étant donné que le code d'exploitation est à l'état sauvage depuis plusieurs semaines déjà. La bonne nouvelle est que je vais examiner non seulement comment détecter si vous avez déjà été infecté, mais aussi comment corriger votre blog pour éviter d'être infecté en premier lieu.

Comment vérifier si vous avez un problème

En plus de voir un avertissement dans Chrome similaire à celui ci-dessus lors de la visite de votre site, il existe deux façons simples de voir si votre installation WordPress a été infectée.

Le premier est un scanner wordpress externe conçu par Sucuri: http://sitecheck.sucuri.net/scanner/

Le second est un script côté serveur que vous téléchargez sur votre site, puis chargez à partir d'un navigateur Web. Ceci est disponible sur http://sucuri.net/tools/sucuri_wp_check.txt et devra être renommé après téléchargement selon les instructions de Sucuri ci-dessous:

1. Enregistrez le script sur votre machine locale en cliquant avec le bouton droit sur le lien ci-dessus et enregistrez le lien sous
2. Connectez-vous à votre site via sFTP ou FTP (nous recommandons sFTP / SSH)
3. Téléchargez le script dans votre répertoire racine WordPress
4. Renommez sucuri_wp_check.txt en sucuri_wp_check.php
5. Exécutez le script via le navigateur de votre choix - votredomaine.com/sucuri_wp_check.php - Assurez-vous de changer le chemin de l'URL vers votre domaine et partout où vous avez téléchargé le fichier
6. Vérifiez les résultats

Si les scanners récupèrent tout élément infecté, vous souhaiterez supprimer immédiatement les fichiers infectés. Mais, même si les scanners indiquent «tout est clair», vous avez probablement toujours un problème avec votre installation de timthumb réelle.

Comment je le répare?

Tout d'abord, si vous ne l'avez pas déjà fait, sauvegardez et téléchargez une copie de votre répertoire WordPress et de votre base de données MySQL. Pour obtenir des instructions sur la sauvegarde de la base de données MySQL, consultez le Codex WordPress. Votre sauvegarde peut contenir du courrier indésirable, mais c'est mieux que de recommencer à partir de rien.

Ensuite, récupérez la dernière version de timthumb sur http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nous devons maintenant sécuriser le nouveau timbthumb .php et faire en sorte que les sites externes ne puissent pas activer les scripts d'exécution. Pour le faire, suivez ces étapes:

1. Utilisez un éditeur de texte comme Bloc-notes ++ et allez à la ligne 27 dans timbthumb.php - Il devrait lire $ allowedSites = tableau (
2. Supprimez tous les sites répertoriés tels que «imgur.com» et «tinypic.com»
3. Après avoir tout supprimé, les parenthèses doivent maintenant être vides et fermées comme ceci: $ allowedSites = tableau();
4. Sauvegarder les modifications.

D'accord, maintenant que votre nouveau script timbthumb est sécurisé, vous devrez vous connecter au serveur de votre site Web via FTP ou SSH. Dans la plupart des thèmes personnalisés WordPress qui utilisent timbthumb, il se trouve dans le wp-content \ themes \ [nom-du-thème] dossier. Supprimez l'ancien timbhumb.php et remplacez-le par le nouveau. Si vous avez plus d'une copie de timbthumb sur votre serveur, vous devrez vous assurer de les remplacer TOUS - notez que parfois ils seront simplement appelés thumb.php.

Une fois que vous avez mis à jour timbthumb sur votre serveur Web et supprimé tous les fichiers détectés par les scanners ci-dessus, vous êtes plus ou moins prêt. Si vous pensez que vous effectuez une mise à niveau un peu trop tard et que vous êtes peut-être déjà infecté, vous devez contacter immédiatement votre hébergeur et lui demander d'effectuer une analyse AV complète de votre serveur Web. J'espère que cela peut vous aider à réparer, sinon vous devrez peut-être revenir à une sauvegarde.