Timthumb-Sicherheit
Timthumb ist ein PHP-Script mit dem kleine Vorschaubilder erstellt werden können. Das Script passt also große Bilder an, indem diese zurechtgeschnitten oder/und verkleinert werden. Allerdings existierte in alten Versionen eine Sicherheitslücke, die es ermöglicht hat schadhaften Code einzuschleusen. Ich habe die timthumb-Datei bei einigen meiner selbst gecodeten Seiten im Einsatz und habe da natürlich gleich aktualisiert. Problematischer ist es bei WordPress-Blogs. Warum und wie man dennoch die Sicherheitslücke schließt in dem Beitrag.
1. Das Problem mit Timthumb in WordPress
Viele nutzen WordPress-Themes in denen die Timthumb-Datei vorkommt. Dabei sind kostenpflichtige und kostenlose Themes von der Sicherheitslücke betroffen. Nun könnte man denken, dass das eigene Theme nach der timthumb.php durchsucht wird. Wenn sie vorhanden ist, wird sie gegen die neueste Version ausgetauscht. Das Problem ist aber, dass viele Theme-Ersteller die Datei umbenennen.
2. WordPress Plugin TimThumb Vulnerability Scanner
Ich habe ein Plugin gefunden, welches die eigenen Themes nach Timthumb scannt. Wird die Datei gefunden, zeigt das Plugin die Version an und ob die Datei sicher ist. Das beste am Plugin ist allerdings, dass die Datei auch gleich aktualisiert werden kann.
Daher mein Tipp: Nutzt das Plugin um alle eure Blogs zu scannen. Immerhin wurden bereits tausende Blogs zur Verbreitung von Schadcode genutzt.
So funktioniert’s:
1. Plugin herunterladen oder direkt über das Wordrepss-Backend installieren.
2. TimThumb Vulnerability Scanner aktivierren
3. Dem Plugin-Ordner „timthumb-vulnerability-scanner“ Schreibrechte vergeben (757)
4. Im WordPress-Backend unter Werkzeuge->Timthumb Scanner einen Scan durchführen.
Nun ist es möglich, dass das Plugin euch eine veraltete Datei findet. Erkennen könnt ihr dies am „Vulnerable“ in rot. Das sieht dann so aus:
alte Timthumb gefunden
5. Schreibrechte setzen für die gefundene Datei(en) – auf 646.
6. Datei(en) markieren und auf „Upgrade Selected Files“ klicken
7. Wenn alles geklappt hat die Rechte wieder zurücksetzen
So sieht es aus, wenn ihr die aktuellste Version habt:
Neue TimThumb-Version ist installiert
Das war’s auch schon. Bei vielen WordPress-Blogs ist das ein wenig zeitraubend, aber extrem wichtig, wenn ihr nicht wollte, dass euer Webspace mit Schadcode zugemüllt wird.
Dir hat der Tipp gefallen? Dann Link den Beitrag doch in deinem Blog an oder Teile mit deinen Freunden auf Facebook und Twitter. Danke!
Neue Kommentare