Timthumb-Sicherheitsanfälligkeit führt dazu, dass viele Wordpress-Websites von Google blockiert werden

Das Google Malware-Warnungen Anfang dieses Monats wurde im ganzen Internet aufgetaucht, und selbst jetzt werden Websites immer noch von autonomen Internet-Skripten infiziert. Wenn Sie eine WordPress-Site mit einem benutzerdefinierten Premium-Thema betreiben, wird die obige Meldung möglicherweise bereits angezeigt, wenn Sie versuchen, Ihre Website zu besuchen (hoffentlich nicht….). Das Problem liegt in einer Sicherheitslücke, die kürzlich in einem beliebten Bildbearbeitungsskript namens Timthumb entdeckt wurde. Das Skript ist bei Premium-WordPress-Themes sehr beliebt, was diesen Exploit besonders gefährlich macht, da Exploit-Code bereits seit mehreren Wochen in freier Wildbahn ist. Die gute Nachricht ist, dass ich nicht nur überprüfen werde, wie Sie feststellen können, ob Sie bereits infiziert sind, sondern auch, wie Sie Ihr Blog patchen, um zu verhindern, dass Sie überhaupt infiziert werden.

So überprüfen Sie, ob Sie ein Problem haben

Abgesehen davon, dass beim Besuch Ihrer Website in Chrome eine ähnliche Warnung wie oben angezeigt wird, gibt es zwei einfache Möglichkeiten, um festzustellen, ob Ihre WordPress-Installation infiziert wurde.

Der erste ist ein externer WordPress-Scanner, der von Sucuri entwickelt wurde: http://sitecheck.sucuri.net/scanner/

Das zweite ist ein serverseitiges Skript, das Sie auf Ihre Site hochladen und dann über einen Webbrowser laden. Dies ist verfügbar unter http://sucuri.net/tools/sucuri_wp_check.txt und muss nach dem Download gemäß den folgenden Anweisungen von Sucuri umbenannt werden:

1. Speichern Sie das Skript auf Ihrem lokalen Computer, indem Sie mit der rechten Maustaste auf den obigen Link klicken und den Link unter speichern
2. Melden Sie sich über sFTP oder FTP bei Ihrer Site an (wir empfehlen sFTP / SSH).
3. Laden Sie das Skript in Ihr WordPress-Stammverzeichnis hoch
4. Benennen Sie sucuri_wp_check.txt in sucuri_wp_check.php um
5. Führen Sie das Skript über einen Browser Ihrer Wahl aus - yourdomain.com/sucuri_wp_check.php - Stellen Sie sicher, dass Sie den URL-Pfad zu Ihrer Domain und überall dort ändern, wo Sie die Datei hochgeladen haben
6. Überprüfen Sie die Ergebnisse

Wenn die Scanner infizierte Objekte aufrufen, möchten Sie die infizierten Dateien sofort direkt entfernen. Aber selbst wenn die Scanner "Entwarnung" anzeigen, haben Sie wahrscheinlich immer noch ein Problem mit Ihrer tatsächlichen Timthumb-Installation.

Wie behebe ich das?

Wenn Sie dies noch nicht getan haben, sichern Sie zunächst eine Kopie Ihres WordPress-Verzeichnisses und Ihrer MySQL-Datenbank und laden Sie sie herunter. Anweisungen zum Sichern der MySQL-Datenbank finden Sie in der WordPress Codex. Ihr Backup enthält möglicherweise Junk, aber es ist besser, als von vorne zu beginnen.

Als nächstes holen Sie sich die neueste Version von timthumb unter http://timthumb.googlecode.com/svn/trunk/timthumb.php

Jetzt müssen wir die neue timbthumb .php sichern und so gestalten, dass externe Sites keine Ausführungsskripte aktivieren können. Gehen Sie dazu folgendermaßen vor:

1. Verwenden Sie einen Texteditor wie Editor ++ und gehe zu Zeile 27 in timbthumb.php - Es sollte lauten $ allowSites = array (
2. Entfernen Sie alle aufgelisteten Websites wie "imgur.com" und "tinypic.com".
3. Nachdem Sie alles entfernt haben, sollte die Klammer jetzt leer und wie folgt geschlossen sein: $ allowSites = Array();
4. Änderungen speichern.

Okay, jetzt, da Ihr neues Timbthumb-Skript sicher ist, müssen Sie über FTP oder SSH eine Verbindung zum Server Ihrer Website herstellen. In den meisten benutzerdefinierten WordPress-Designs, die Timbthumb verwenden, befindet es sich in der wp-content \ theme \ [themename] Mappe. Löschen Sie die alte timbhumb.php und ersetzen Sie sie durch die neue. Wenn Sie mehr als eine Kopie von timbthumb auf Ihrem Server haben, müssen Sie ALLE ersetzen - beachten Sie, dass sie manchmal nur aufgerufen werden thumb.php.

Sobald Sie timbthumb auf Ihrem Webserver aktualisiert und alle Dateien gelöscht haben, die von den oben genannten Scannern erkannt wurden, können Sie mehr oder weniger loslegen. Wenn Sie der Meinung sind, dass Sie möglicherweise zu spät aktualisieren und bereits infiziert sind, sollten Sie sich sofort an Ihren Webhost wenden und ihn bitten, einen vollständigen AV-Scan Ihres Webservers durchzuführen. Hoffentlich können Sie dann Abhilfe schaffen, da Sie sonst möglicherweise zu einem Backup zurückkehren müssen.