Solución fácil para proteger tu WordPress del hack de Timthumb

  • Autor Autor Malenko
  • Fecha de inicio Fecha de inicio
M

Malenko

Sé que muchos usais este plugin de forma directa o indirecta en vuestros wordpress, así que hasta que desde Timthumb solucionen de forma oficial el tema aquí:

Issue 212 - timthumb - Zero day vulnerability that gives remote attacker shell access - image crop zoom resize management - Google Project Hosting

Mientras aqui teneis una solución muy sencilla para evitar hackeos por el hack de timthumb.

Primero os teneis que bajar la última versión del script, disponible en esta dirección:

Enlace eliminado

El truco para evitar el hackeo es deshabilitar el uso de sitios externos, para ello hay que hacer dos modificaciones.

Incluir esta linea:

PHP: 
define( 'ALLOW_EXTERNAL', false );


Y variar el array de $allowedSites. Si teneis la última versión os encontrareis algo como esto:

PHP: 
$allowedSites = array(
    'flickr.com',
    'picasa.com',
    'img.youtube.com',
);
Solo lo teneis que cambiar a esto:

PHP: 
$allowedSites = array();

Ya solo os queda subir esta nueva versión a vuestros servidores y estar más tranquilos. Como es normal en estos casos, no me hago responsables de posibles problemas con incompatibilidades entre vuestra versión de timthumb y la que os hayais bajado nueva, en caso de que veais que sean diferentes, modificad la versión que usen vuestros themes.

Por si a alguno se le hace complicado modificar el código, os subo el fichero ya con el parche.

Espero que os sirva!
 
O usar las facilidades internas de wordpress, añadiendo todos los tamaños de miniaturas que se necesiten.
 
Por lo que veo en el repositorio de google, la versión que actualmente hay colgada ya tiene marcado como "Fixed" el hack.

Quien no quiera comerse la cabeza y quiera la solución fácil, solo ha de bajarse la última versión y sobreescribir. Así de sencillo 🙂
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba