TIMTHUMB文件导致博客安全漏洞解决办法
2011/12/14
前段时间网上爆出Timthumb.php文件导致wordpress博客安全漏洞,黑客通过虚假二级或三级域名通过timthumb攻击服务器,在使用的主题文件中如果有 timthumb.php文件提取图片的朋友,请马上更新文件或采取其他补救措施:
- 升级Timthumb到最新版本:http://code.google.com/p/timthumb/source/browse/trunk/timthumb.php
- 打开Timthumb.php文件,找到代码:
$allowedSites = array ( 'flickr.com', 'picasa.com', 'img.youtube.com', 'upload.wikimedia.org', );
删除里面的域名或直接改为以下代码:
$allowedSites = array ();
- 强烈建议删除空间里所有的文件,全新安装博客程序,之后上传新的主题文件,别忘了使用最新修改的timthumb.php
- 为了保证数据库的安全,请使用wordpress后台自带的导出网站内容,直接清理mysql数据库,在新博客后台导入自己导出的博客内容,而不要直接恢复数据库。
在使用我所设计的主题的用户,如果使用的主题中出现timthumb.php,请及时按此教程修复或停用主题,以免由于wordpress博客安全漏洞造成不必要的损失。
不过使用图片外链的就不能正常显示了,本地图片不受影响。