Pentru linistea celor care se dau in vant dupa utilizarea pluginului TimThumb, venim cu o recomandare: cititi acest post si puneti in balanta daca se merita continuarea folosirii acestui plugin in detrimentul securitatii site-urilor gazduite.
Despre ce este vorba? Acum ceva vreme s-a descoperit o vulnerabilitate in plugin TimThumb care permite uploadarea de fisere .php ce pot fi rulate ulterior pentru a castiga access la site-urile care folosesc acest plugin. Cum se poate intampla ? Fisierul timthumb.php necesita drepturi de scriere asupra unui folder ce poate fi accesat de vizitatorii site-ului dvs. Cu alte cuvinte, oricine acceseaza directorul respectiv, poate „scrie” acolo. Cam neplacut, nu ?
Ce variante sunt?
1. Renunta la acest plugin desi esti multumit de ceea ce face.
2. Daca punctul 1 nu iti convine, poti incerca sa faci update la ultima versiune existenta pe Google Code. Dupa ce ai downloadat versiunea existenta, suprascrie (overwrite) fisierul timthumb.php existent in directorul temei folosite. Cum il suprascrii? Foloseste-te de clientul FTP cu care lucrezi de obicei sau, daca iti este mai usor, foloseste functia de upload file din cPanel (panoul de control al contului de gazduire).
3. Editeaza fisierul timthumb.php (sau thumb.php pentru WooThemes) si cauta sectiunea de cod (undeva pe la linia 27) ce contine:
// external domains that are allowed to be displayed on your website
$allowedSites = array ( ‘flickr.com’, ‘picasa.com’, ‘blogger.com’, ‘wordpress.com’, ‘img.youtube.com’, ‘upload.wikimedia.org’, );
si modifica sa ramana doar
$allowedSites = array();
Cam atat.
Un comentariu