Sikkerhetsproblem i Timebrit gjengir mange WordPress-nettsteder blokkerte av Google

Advarslene om Google Malware begynte å sprette altover internett tidlig denne måneden og til og med nå, blir nettsteder fortsatt smittet av autonome internettskript. Hvis du kjører et WordPress-nettsted med et tilpasset premium-tema, ser du kanskje allerede meldingen ovenfor når du prøver å besøke nettstedet ditt (forhåpentligvis ikke….). Problemet ligger i en sårbarhet som nylig ble oppdaget i et populært bildemanipulasjonsskript kalt Timbour. Skriptet er veldig populært blant premium WordPress-temaer, noe som gjør denne utnyttelsen spesielt farlig å ha som utnytter kode har vært i naturen i flere uker allerede. Den gode nyheten er at jeg ikke bare vil se hvordan du kan oppdage om du allerede har blitt smittet, men også hvordan du lapper bloggen din for å forhindre at du blir smittet i utgangspunktet.

Slik kan du sjekke om du har et problem

Annet enn å se en advarsel i Chrome som ligner på den ovenfor mens du besøker nettstedet ditt, er det to enkle måter å se om WordPress-installasjonen din har blitt infisert.

Den første er en ekstern wordpress-skanner designet av Sucuri: http://sitecheck.sucuri.net/scanner/

Det andre er et serversideskript som dulast opp til nettstedet ditt og last det deretter inn fra en nettleser. Dette er tilgjengelig på http://sucuri.net/tools/sucuri_wp_check.txt og må omdøpes etter nedlasting i henhold til Sucuris instruksjoner nedenfor:

1. Lagre skript på din lokale maskin ved å høyreklikke på lenken over og lagre lenke som
2. Logg inn på nettstedet ditt via sFTP eller FTP (Vi anbefaler sFTP / SSH)
3. Last opp skriptet til din root WordPress-katalog
4. Gi nytt navn sucuri_wp_check.txt til sucuri_wp_check.php
5. Kjør skriptet via den valgte nettleseren - yourdomain.com/sucuri_wp_check.php - Forsikre deg om at du endrer URL-banen til domenet ditt og uansett hvor du lastet opp filen
6. Sjekk resultatene

Hvis skannerne henter noe infisert, vil du gjøre detvil fjerne de infiserte filene direkte. Men selv om skannerne viser "alle klare", har du sannsynligvis fortsatt et problem med den faktiske timúminstallasjonen.

Hvordan fikser jeg det?

For det første, hvis du ikke allerede har gjort det - sikkerhetskopier og last ned en kopi av WordPress-katalogen og MySQL-databasen. For instruksjoner om sikkerhetskopiering av MySQL-databasen, se WordPress Codex. Sikkerhetskopien din kan inneholde søppel, men det er bedre enn å starte på nytt fra ingenting.

Neste, ta tak i den nyeste versjonen av timoem på http://timebrit.googlecode.com/svn/trunk/timebrit.php

Nå må vi sikre den nye timboem .php og gjøre den slik at eksterne nettsteder ikke kan aktivere kjøreskript. Følg denne fremgangsmåten for å gjøre dette:

1. Bruk en tekstredigerer som Notepad ++ og gå til linje 27 i timbebrit.php - Den skal lese $ allowSites = matrise (
2. Fjern alle nettstedene som er oppført, for eksempel “imgur.com” og “tinypic.com”.
3. Etter å ha fjernet alt, skal parentesen nå være tom og lukket slik: $ allowSites = matrise();
4. Lagre endringer.

OK, nå som det nye timbumn-skriptet ditt er sikkert, må du koble deg til nettstedets server via FTP eller SSH. I de fleste WordPress tilpassede temaer som bruker timbúm, er det lokalisert i wp-contentthemes [THEME] mappe. Slett den gamle tømmerhulen.php og erstatt den med den nye. Hvis du har mer enn én kopi av timbúm på serveren din, må du passe på å erstatte ALLE av dem - merk at noen ganger bare blir de kalt thumb.php.

Når du har oppdatert timboem på nettetserver og slettet noen av filene som ble oppdaget av skannerne ovenfor, er du mer eller mindre god å gå. Hvis du tror at du kanskje oppgraderer litt til sent og at du allerede er smittet, bør du kontakte webhotellet umiddelbart og be dem om å gjøre en full AV-skanning av webserveren. Forhåpentligvis da kan hjelpe deg med å fikse deg ellers kan det hende du må gå tilbake til en sikkerhetskopi.