Scan je WordPress site op de TimThumb kwetsbaarheid

Sinds augustus 2011 is er een kwetsbaarheid gevonden in een populaire afbeeldingsverkleiner, Timthumb.php, die in veel WordPress thema’s en plugins wordt gebruikt. Dit PHP bestand zorgt voor het binnenhalen van afbeeldingen van externe sites, zoals Flickr/Picasa/Youtube/etc. De kwetsbaarheid in dit bestand, zorgt ervoor dat buitenstaanders PHP codes kunnen uploaden en uitvoeren in de zogeheten ‘cache-directory’ van Timthumb. Wanneer de PHP code eenmaal geüpload en uitgevoerd is, kan de buitenstaander alles op je site doen wat hij wil.

Om deze kwetsbaarheid tegen te gaan, zijn er een aantal opties beschikbaar (zie het dikgedrukte stuk voor een Plugin):

Je kan alle timthumb.php of thumb.php bestanden verwijderen, mits je site blijft werken zonder deze bestanden. Wanneer je dus ergens nog een oud thema hebt staan, waar gebruikt wordt gemaakt van één van deze bestanden, is het verstandig om deze bestanden, of zelfs het gehele thema, te verwijderen.

Wanneer je site WEL gebruikt maakt van timthumb en deze nodig heeft om goed te functioneren, zorg er dan voor dat alles geüpdatet wordt naar de laatste versie (thema’s/plugins/etc). Wat je dan verder nog kan doen, is een kleine aanpassing maken in de timthumb bestanden, zodat  er geen externe sites meer toegang hebben tot het uploaden van bestanden. Dit doe je door alle exemplaren van timthumb/thumb.php op te zoeken, en steeds deze codes aan te passen:

Zorg er voor dat de volgende waarde naar ‘false’ wordt gezet:

define( 'ALLOW_EXTERNAL', false );

En verwijder alle domeinnamen die in het bestand voorkomen. Deze domeinnamen staan als volgt:

$allowedSites = array 
               'flickr.com',
               'picasa.com',
               'img.youtube.com',
               'upload.wikimedia.org',
);

Wanneer je ze verwijderd hebt, zou je de volgende code over moeten houden:

$allowedSites = array();

Mochten deze stappen niet naar wens verlopen, of is het allemaal een beetje te onduidelijk, dan is er altijd nog een Plugin beschikbaar die je site kan controleren op de Timthumb kwetsbaarheid; de Timthumb vulnerability Scanner.

Na het installeren en activeren van deze plugin, kunnen we hem vinden onder ‘Extra > Timthumb Scanner’. We zien dan het volgende scherm:

Het enige wat je nu hoeft te doen, en kan doen, is op de knop ‘Scan’ te drukken en de plugin doorzoekt je site op de timthumb kwetsbaarheden. De plugin zoekt trouwens op de code die in de timthumb.php bestanden staat, dus wanneer er een andere naam aan is gegeven, wordt het bestand alsnog gevonden.

Wanneer het scannen klaar is, zal er onder ‘Scan Results’ een lijst met gevonden timthumb bestanden aangegeven worden. Deze timthumb bestanden zullen worden aangegeven met ‘Up to Date’ of ‘Vulnerable’. Indien er een bestand als ‘Vulnerable’ staat bestempeld, vink deze dan aan en klik op ‘Upgrade Selected Files’. De timthumb scanner zal dan automatisch de betreffende bestanden aanpassen en updaten zodat je WordPress site niet langer kwetsbaar is.

Let er wel op dat de timthumb vulnerability scanner alleen de kwetsbare bestanden opzoekt en hersteld. Hij verwijdert dus geen malware! Mochten er kwetsbare bestanden gevonden zijn, dan raden we je aan om je site te scannen op malware. Hoe je dat doet, kan je hier lezen.

Michel Kraaijeveld is oprichter van WPsitemaken. Hij is ervan overtuigd dat het voor iedereen mogelijk moet zijn om een eigen website te maken, zonder lastige handleidingen door te hoeven nemen. Zelf is hij al 6 jaar actief met WordPress en probeert zijn kennis op een simpele manier over te brengen aan anderen.

Laat een reactie achter