阅读一篇关于Timthumb脚本被破坏使WP安装易受攻击的文章。Source here
看看timthumb。php中,有以下函数,我认为这是罪魁祸首。
function checkExternal ($src) {
$allowedSites = array(
\'flickr.com\',
\'picasa.com\',
\'blogger.com\',
\'wordpress.com\',
\'img.youtube.com\',
);
最好的方法是:从服务器中删除timthumb脚本,并更改主题,以便一开始就不需要它。
Timthumb在新版本的WordPress中并没有真正的必要。add\\u image\\u size()函数可用于在主题中创建自定义图像大小。我见过的大多数仍在使用它的旧主题都是用它来创建一个“缩略图”类型的功能,它现在内置在WordPress本身中。
TimThumb真正让WordPress感到困难的唯一一件事是自定义裁剪,您可以将图像裁剪到一边或另一边,而不是使用基于中间的裁剪方法。大多数主题都没有使用此功能。
我同意奥托的观点,使用它会更好the_post_thumbnail 和add_image_size 但是timthumb做的另一件事是动态裁剪图像,因此在一个有数千张图像的旧站点上,您必须使用
Regenerate Thumbnails 重新裁剪这将是一项相当艰巨的任务,尤其是在共享主机上。
除了删除允许的站点阵列之外,请确保您的服务器/主机配置为不需要对缓存文件夹拥有777权限,我确信该文件夹可以与SUPPP一起使用,但可以与DSO一起使用,chowed to nobody:nobody或www data:www data。
原始来源(保留链接)未提供实际的攻击向量。这意味着您上面显示的代码被某种方式修改为获取远程。php文件使用$allowedSites.
如何做到这一点仍然是个谜,因为像这样的文章并没有真正经过适当的咨询,也没有得到任何同行的反馈,而且他们似乎不知道有人是如何在timthumb中写入恶意url(如fetchbadphpfile.com)。php(或任何其他文件)。
虽然timthumb没有验证URL(或其他)的编码很糟糕,但仍然需要通过另一个安全问题或很可能是恶意的预注入脚本进行黑客攻击。
附记timthumb。php在几个版本之前确实有一个记录在案的XSS攻击向量,它通过了几个安全建议,但实际上没有引起注意。。。
WordThumb是timthumb的翻版。timthumb漏洞后的php。它与timthumb完全向后兼容,提供更好的安全性和同等或更好的性能。
当谈到摘录时,你认为TimThumb或WordPress缩略图是最好的选择吗?为什么呢?答案不会评分(但可能会受到批评)。