La vulnerabilidad de Timthumb genera muchos sitios de Wordpress bloqueados por Google

los Advertencias de malware de Google comenzó a aparecer en Internet a principios de este mes e incluso ahora, los sitios todavía están siendo infectados por scripts de Internet autónomos. Si está ejecutando un sitio de WordPress con un tema premium personalizado, es posible que ya esté viendo el mensaje anterior cuando intente visitar su sitio web (Ojalá no….). El problema radica en una vulnerabilidad descubierta recientemente en un popular script de manipulación de imágenes llamado Timthumb. El script es muy popular entre los Temas premium de WordPress, lo que hace que esta vulnerabilidad sea particularmente peligrosa, ya que el código de vulnerabilidad ha estado en libertad durante varias semanas. La buena noticia es que voy a revisar no solo cómo detectar si ya ha sido infectado, sino también cómo parchear su blog para evitar que se infecte en primer lugar.

Cómo verificar si tienes un problema

Además de ver una advertencia en Chrome similar a la anterior al visitar su sitio, hay dos maneras fáciles de ver si su instalación de WordPress se ha infectado.

El primero es un escáner externo de WordPress diseñado por Sucuri: http://sitecheck.sucuri.net/scanner/

El segundo es un script del lado del servidor que carga en su sitio y luego carga desde un navegador web. Esto está disponible en http://sucuri.net/tools/sucuri_wp_check.txt y tendrá que renombrarse después de la descarga según las instrucciones de Sucuri a continuación:

1. Guarde el script en su máquina local haciendo clic derecho en el enlace de arriba y guarde el enlace como
2. Inicie sesión en su sitio a través de sFTP o FTP (Recomendamos sFTP / SSH)
3. Sube el script a tu directorio raíz de WordPress
4. Cambie el nombre de sucuri_wp_check.txt a sucuri_wp_check.php
5. Ejecute la secuencia de comandos a través del navegador de su elección: yourdomain.com/sucuri_wp_check.php. Asegúrese de cambiar la ruta de la URL a su dominio y donde haya subido el archivo
6. Comprueba los resultados

Si los escáneres extraen algo infectado, querrás eliminar directamente los archivos infectados de inmediato. Pero, incluso si los escáneres muestran "todo despejado", es probable que todavía tenga un problema con su instalación Timthumb real.

¿Cómo lo soluciono?

Primero, si aún no lo ha hecho, haga una copia de seguridad y descargue una copia de su directorio de WordPress y su base de datos MySQL. Para obtener instrucciones sobre cómo hacer una copia de seguridad de la base de datos MySQL, consulte la publicación WordPress Codex. Su copia de seguridad puede contener basura, pero es mejor que comenzar desde cero.

A continuación, obtenga la última versión de timthumb en http://timthumb.googlecode.com/svn/trunk/timthumb.php

Ahora necesitamos asegurar el nuevo timbthumb .php y hacer que los sitios externos no puedan activar los scripts de ejecución. Para hacer esto, siga estos pasos:

1. Use un editor de texto como Notepad ++ e ir a la línea 27 en timbthumb.php - Debería leer $ allowedSites = array (
2. Elimine todos los sitios enumerados, como "imgur.com" y "tinypic.com"
3. Después de eliminar todo, el paréntesis debería estar vacío y cerrado de esta manera: $ allowedSites = array();
4. Guardar cambios.

Bien, ahora que su nueva secuencia de comandos timbthumb es segura, deberá conectarse al servidor de su sitio web a través de FTP o SSH. En la mayoría de los temas personalizados de WordPress que usan timbthumb, se encuentra en el wp-content \ themes \ [themename] carpeta. Elimine el viejo timbhumb.php y reemplácelo por el nuevo. Si tiene más de una copia de timbthumb en su servidor, deberá asegurarse de reemplazar TODOS ellos; tenga en cuenta que a veces solo se los llamará thumb.php.

Una vez que haya actualizado timbthumb en su servidor web y borrado cualquiera de los archivos que fueron detectados por los escáneres anteriores, estará más o menos listo. Si cree que podría estar actualizándose un poco demasiado tarde y ya podría estar infectado, debe comunicarse con su proveedor de alojamiento web inmediatamente y pedirles que realicen un análisis AV completo de su servidor web. Con suerte, entonces puede ayudarlo a solucionarlo; de lo contrario, es posible que deba volver a una copia de seguridad.