Sårbarhet i Timhops gör många Wordpress-webbplatser blockerade av Google

De Google Malware-varningar började sprida över internet tidigt denna månad och till och med nu smittas webbplatser fortfarande av autonoma internetskript. Om du kör en WordPress-webbplats med ett anpassat premiumtema kanske du redan ser ovanstående meddelande när du försöker besöka din webbplats (förhoppningsvis inte….). Problemet ligger i en sårbarhet som nyligen upptäcktes i ett populärt bildmanipuleringsskript som heter Timbour. Skriptet är mycket populärt bland premium WordPress-teman som gör detta utnyttjande särskilt farligt att utnyttja kod har varit i naturen i flera veckor redan. De goda nyheterna är att jag kommer att granska inte bara hur man upptäcker om du redan har smittats utan också hur du lappar din blogg för att förhindra att bli smittad i första hand.

Hur du kontrollerar om du har problem

Annat än att se en varning i Chrome som liknar den ovan när du besöker din webbplats, finns det två enkla sätt att se om din WordPress-installation har infekterats.

Den första är en extern wordpress-skanner designad av Sucuri: http://sitecheck.sucuri.net/scanner/

Det andra är ett skript från serversidan som du laddar upp till din webbplats och sedan laddar från en webbläsare. Detta är tillgängligt kl http://sucuri.net/tools/sucuri_wp_check.txt och kommer att behöva byta namn efter nedladdning enligt Sucuris instruktioner nedan:

1. Spara skript på din lokala maskin genom att högerklicka på länken ovan och spara länk som
2. Logga in på din webbplats via sFTP eller FTP (Vi rekommenderar sFTP / SSH)
3. Ladda upp skriptet till din root WordPress-katalog
4. Byt namn på sucuri_wp_check.txt till sucuri_wp_check.php
5. Kör skriptet via valfri webbläsare - yourdomain.com/sucuri_wp_check.php - Se till att du ändrar URL-sökvägen till din domän och vart du har laddat upp filen
6. Kontrollera resultaten

Om skannrarna tar upp något infekterat, vill du ta bort de infekterade filerna direkt. Men även om skannrarna visar "helt klart" har du troligtvis ett problem med din faktiska timúminstallation.

Hur fixar jag det?

Först om du inte redan har gjort det - säkerhetskopiera och ladda ner en kopia av din WordPress-katalog och din MySQL-databas. För instruktioner om säkerhetskopiering av MySQL-databasen, se WordPress Codex. Din säkerhetskopia kan innehålla skräp, men det är bättre än att börja om från ingenting.

Nästa, ta tag i den senaste versionen av timumn på http://timthumb.googlecode.com/svn/trunk/timthumb.php

Nu måste vi säkra det nya timbumn .php och göra det så att externa webbplatser inte kan aktivera körskript. Så här gör du:

1. Använd en textredigerare som anteckningsblock ++ och gå till rad 27 i timbumn.php - Det borde läsa $ allowSites = array (
2. Ta bort alla listade webbplatser som "imgur.com" och "tinypic.com"
3. Efter att ha tagit bort allt ska parentesen nu vara tom och stängd så här: $ allowSites = array();
4. Spara ändringar.

Okej, nu när ditt nya timbumn-skript är säkert måste du ansluta till din webbplats server via FTP eller SSH. I de flesta WordPress-anpassade teman som använder timbumn, finns det i wp-content \ teman \ [THEME] mapp. Ta bort den gamla timbhumb.php och ersätt den med den nya. Om du har mer än en kopia av timbumn på din server måste du vara säker på att ersätta ALLA - notera att de ibland bara kommer att kallas thumb.php.

När du har uppdaterat timbumnen på din webbserver och rensat bort alla filer som upptäcktes av ovanstående skannrar är du mer eller mindre bra att gå. Om du tror att du kanske uppgraderar lite till sent och att du redan är smittad bör du kontakta din webbhotell omedelbart och be dem göra en full AV-skanning av din webbserver. Förhoppningsvis kan då hjälpa till att fixa dig, annars kan du behöva återgå till en säkerhetskopia.