Vulnerabilidade do Timthumb torna muitos sites WordPress bloqueados pelo Google

Os avisos do Google Malware começaram a aparecer todospela internet no início deste mês e até agora, os sites ainda estão sendo infectados por scripts autônomos da internet. Se você estiver executando um site WordPress com um tema premium personalizado, talvez já esteja vendo a mensagem acima ao tentar visitar seu site (espero que não….) O problema está em uma vulnerabilidade descoberta recentemente em um script popular de manipulação de imagens chamado Timthumb. O script é muito popular entre os Temas premium do WordPress, o que torna essa exploração particularmente perigosa, já que o código de exploração já existe há várias semanas. A boa notícia é que analisarei não apenas como detectar se você já foi infectado, mas também como corrigir seu blog para evitar a infecção.

Como verificar se você tem algum problema

Além de ver um aviso no Chrome semelhante ao acima, ao visitar seu site, há duas maneiras fáceis de verificar se a instalação do WordPress foi infectada.

O primeiro é um scanner wordpress externo desenvolvido pela Sucuri: http://sitecheck.sucuri.net/scanner/

O segundo é um script do lado do servidor que vocêfaça o upload para o seu site e carregue a partir de um navegador da web. Está disponível em http://sucuri.net/tools/sucuri_wp_check.txt e terá que ser renomeado após o download, conforme as instruções da Sucuri abaixo:

1. Salve o script em sua máquina local clicando com o botão direito do mouse no link acima e salve o link como
2. Entre no seu site via sFTP ou FTP (Recomendamos sFTP / SSH)
3. Faça o upload do script para o diretório raiz do WordPress
4. Renomeie sucuri_wp_check.txt para sucuri_wp_check.php
5. Execute o script pelo navegador de sua escolha - seudominio.com.br/sucuri_wp_check.php - Altere o caminho da URL para o seu domínio e para onde quer que você tenha carregado o arquivo
6. Confira os resultados

Se os scanners puxarem algo infectado, vocêdeseja remover diretamente os arquivos infectados imediatamente. Mas, mesmo que os scanners mostrem "tudo limpo", você provavelmente ainda terá um problema com a instalação real do timthumb.

Como faço para corrigir isso?

Primeiro, se você ainda não o fez, faça o backup e faça o download de uma cópia do diretório do WordPress e do banco de dados MySQL. Para obter instruções sobre como fazer backup do banco de dados MySQL, consulte o Codex do WordPress. Seu backup pode conter lixo, mas é melhor do que começar do zero.

Em seguida, pegue a versão mais recente do timthumb em http://timthumb.googlecode.com/svn/trunk/timthumb.php

Agora precisamos proteger o novo timbthumb .php e torná-lo para que sites externos não possam ativar scripts de execução. Para fazer isso, siga estas etapas:

1. Use um editor de texto como o Notepad ++ e vá para a linha 27 em timbthumb.php - Ele deve ler $ allowedSites = array (
2. Remova todos os sites listados, como "imgur.com" e "tinypic.com"
3. Depois de remover tudo, o parêntese agora deve estar vazio e fechado assim: $ allowedSites = array();
4. Salve as alterações.

Ok, agora que seu novo script timbthumb está seguro, você precisará se conectar ao servidor do seu site via FTP ou SSH. Na maioria dos temas personalizados do WordPress que usam timbthumb, ele está localizado no diretório wp-contentthemes [nome do tema] pasta. Exclua o timbhumb antigo.php e substitua-o pelo novo. Se você tiver mais de uma cópia do timbthumb no servidor, precisará substituir TODOS eles - observe que, às vezes, eles serão chamados apenas thumb.php.

Depois de atualizar o timbthumb na sua webservidor e limpou qualquer um dos arquivos que foram detectados pelos scanners acima, você está mais ou menos pronto. Se você acha que pode estar atualizando um pouco tarde demais e já pode estar infectado, entre em contato com seu host imediatamente e solicite que ele faça uma verificação AV completa do servidor da web. Esperamos que possa ajudá-lo a consertar, caso contrário, talvez seja necessário reverter para um backup.