Sårbarhet i Timhops gör många WordPress-webbplatser blockerade av Google

Varningarna från Google Malware började sprida alltöver internet tidigt denna månad och till och med nu infekteras webbplatser fortfarande av autonoma internetskript. Om du kör en WordPress-webbplats med ett anpassat premiumtema kanske du redan ser ovanstående meddelande när du försöker besöka din webbplats (förhoppningsvis inte….). Problemet ligger i en sårbarhet som nyligen har upptäckts i ett populärt bildmanipuleringsskript som heter Timúm. Skriptet är mycket populärt bland premium WordPress-teman vilket gör detta utnyttjande särskilt farligt att utnyttja kod har varit i naturen redan i flera veckor. De goda nyheterna är att jag kommer att granska inte bara hur man kan upptäcka om du redan har blivit smittad utan också hur du lappar din blogg för att förhindra att bli smittad i första hand.

Hur du kontrollerar om du har problem

Annat än att se en varning i Chrome som liknar den ovan när du besöker din webbplats finns det två enkla sätt att se om din WordPress-installation har infekterats.

Den första är en extern wordpress-skanner designad av Sucuri: http://sitecheck.sucuri.net/scanner/

Den andra är ett skript på serversidan som duladda upp till din webbplats och ladda sedan från en webbläsare. Detta är tillgängligt på http://sucuri.net/tools/sucuri_wp_check.txt och måste bytas om efter nedladdning enligt Sucuris instruktioner nedan:

1. Spara skript på din lokala maskin genom att högerklicka på länken ovan och spara länk som
2. Logga in på din webbplats via sFTP eller FTP (Vi rekommenderar sFTP / SSH)
3. Ladda upp skriptet till din root WordPress-katalog
4. Byt namn på sucuri_wp_check.txt till sucuri_wp_check.php
5. Kör skriptet via en valfri webbläsare - yourdomain.com/sucuri_wp_check.php - Se till att du ändrar URL-sökvägen till din domän och vart du har laddat upp filen
6. Kontrollera resultaten

Om skannrarna drar upp något infekterat kommer du att göra detvill direkt ta bort de infekterade filerna omedelbart. Men även om skannrarna visar "helt klart" har du troligtvis ett problem med din faktiska timúminstallation.

Hur fixar jag det?

Först om du inte redan har gjort det - säkerhetskopiera och ladda ner en kopia av din WordPress-katalog och din MySQL-databas. För instruktioner om säkerhetskopiering av MySQL-databasen, se WordPress Codex. Din säkerhetskopia kan innehålla skräp, men det är bättre än att börja om från ingenting.

Hämta sedan den senaste versionen av timumn på http://timebrit.googlecode.com/svn/trunk/timebrit.php

Nu måste vi säkra det nya timbumn .php och göra det så att externa webbplatser inte kan aktivera körskript. Så här gör du:

1. Använd en textredigerare som Notepad ++ och gå till rad 27 i timbebrit.php - Den bör läsa $ allowSites = array (
2. Ta bort alla listade webbplatser som "imgur.com" och "tinypic.com"
3. Efter att ha tagit bort allt ska parentesen nu vara tom och stängd så här: $ allowSites = array();
4. Spara ändringar.

Okej, nu när ditt nya timbumn-skript är säkert måste du ansluta till din webbplats server via FTP eller SSH. I de flesta WordPress-anpassade teman som använder timbbour, finns det i wp-contentthemes [THEME] mapp. Radera den gamla timbummen.php och ersätt den med den nya. Om du har mer än en kopia av timbumn på din server måste du vara säker på att ersätta alla av dem - notera att de ibland bara kommer att kallas thumb.php.

När du har uppdaterat timbumn på din webbserver och rensade bort alla filer som upptäcktes av ovanstående skannrar, du är mer eller mindre bra att gå. Om du tror att du kanske uppgraderar till sent och att du redan är smittad bör du kontakta din webbhotell omedelbart och be dem göra en full AV-skanning av din webbserver. Förhoppningsvis kan då hjälpa till att fixa dig, annars kan du behöva återgå till en säkerhetskopia.