Merhaba değerli arkadaşlar, kendi sitemde paylaştığım makalemi sizlerle de paylaşıyorum. BU bilgileri mutlaka öğrenmek lazım.

Makale:

Merhaba değerli arkadaşlar, sitemi yeni kurmuş ve temayı da alıntı olarak kullanan birisi olarak incelerken bazı güvenli olmayan kodlar gördüm. Bu kodları sitemden bir sıkıntı yaşamadım temizledim çok şükür. Ayrıca kodları bulduğum php dosyası hakkında Google’da araştırma yaparken bu dosyada güncel bir tema ve eklenti kaynaklı açık olduğunu öğrendim. Bu yolla bir çok WordPress Tabanlı web sitesi saldırıya uğrayıp hacklenmiş ve deface edilmiş durumda. Bu açıktan dolayı sitesi hacklenen Mark Maunder bunun nasıl olduğunu araştırmış ve açığın bazı sitelerden resim çekme izinlerinden kaynaklı olduğunu tespit etmiş. Bu açık ise TimThumb.php isimli dosya içindeki bazı kodlada mevcut durumda ve halâ güncel.



Açığı Nasıl Kapatırız?

Aslında açığı kapatmak o kadar basit ki. TimThumb.php içinde bulunan

$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,
);
kodları bu açığa sebep oluyor. Bu kod’un $allowedSites değişken kısmı bazı tema veya eklentilerde $ALLOWED_SITES şeklinde olabiliyor. Evet bu kısımdaki kodlardan


‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,


kısmını siliyoruz ve kod $allowedSites = array (); yahud $ALLOWED_SITES = array (); şekline geliyor. Bu şekilde açımızı kapatıyoruz.

Önemli bir not olarak ise sitemizde bulunan tüm tema ve eklentilerin timthumb.php doslarını bulup içindeki bu kodları temizlememiz gerekiyor. Aksi halde saldırıya uğramak olasıdır.



TimThumb.php Ne İşe Yarar?

WordPress Temalarında ve Eklentilerinde yaygın olarak kullanılan bir eklentidir ve resimleri boyutlandırmaya yarar. Ayrıca da bu nedenle açık büyük risk taşımaktadır.



TimThumb.php Dosyası Barındıran 230 Adet Tema İsmi

Minimal
nebula
Minimo
Polished
Webly
TheStyle
TuaranBlog
striking
MyCuisine
TheCorporation
AskIt
Aggregate
TheSource
reviewit
kelontongfree
Mentor
SimplePress
journalcrunch
ecobiz
Magnificent
timthumb.php
Olympia
kingsize
Chameleon
DelicateNews
videozoom-v2.0-original
videozoom
Envisioned
twicet
u-design
genoa
OptimizePress
Modest
mocell
ephoto
Theme
InReview
lightpress
hostme
PersonalPress
Cadca
arras
tiwinoo_v3
MyProduct
sc4
InterPhaseTheme
InStyle
LightBright
TheProfessional
mnfst
freshnews
ArtSee
Boutique
eStore
Avenue
twentyten
XSWordPressTheme
adcents
Nova
MyPhoto
eGallery
Striking_Premium_Corporate
default
Lycus
manifesto
cold
DynamiX
tarnished
Nyke
linepress
DJ
adria
zimex
peano
ElegantEstate
delight
kelontong-free
duotive-three
SobhanSoft_Theme
PureType
yamidoo_pro
vulcan2.1
eGamer
Wooden
peritacion
AmphionPro
trinity
dandelion_v2.6.3
Juggernautgrande
juggernaut-theme
BlackLabel_v1.1.2
Feather
reviewit1
zinepress_v1.0.1
tribune
photoria
vilisya
DailyNotes
Basic
minerva
anthology_v1.4.2
ModestTheme
purevision
parquet
framed-redux
eceramica
InterPhase
epsilon
Striking
thedawn
peava
Newspro
telegraph
averin
telegraph_v1.1
Memoir
NewsPro
CircloSquero
vassal
maxell
13Floor
wpanniversary
OnTheGo
Glider
mohannad-najjar222
mohannad-najjar2
arthemia
tuufy7
photoframe
beach-holiday
blacklabel
cadabrapress
snapwire
bizpress
themesbangkoofree
TOA
D4
eNews
vulcan
overtime
rockwell_v1.0
vicon
wideo
CherryTruffle
mio
rttheme13
Linepress
DeepFocus
advanced-newspaper202
OptimusPrime
Quadro
Lumin
minima
identity
U-design.v1.1.2_hkz
KP
Petra
services
13FloorTheme.php
BD
PolishedTheme
13FloorTheme
kiwinho
graphix
jerestate
centro
corage
Reporter
TheTravelTheme
XSBasico
openhouse
seosurfing1
bluebaboon
Newspro-2.8.6
nd
zoralime
GrupoProbeta
eBusiness
purplex
kitten-in-pink
FashionHouse
WhosWho
Deviant
Bold
BusinessCard
EarthlyTouch
GrungeMag
LightSource
Simplism
TidalForce
Glow
Influx
StudioBlue
jpmegaph
redina
tritone
dandelion_v2.5
Bluesky
ColdStone
silveroak
newspro
GamesAwe
caratinga.net
SimplePressTheme
MyResume
MyApp
theme
bigcity
dandelion_v2.6.1
chronicle
cuizine
thesis_18
advanced-newspaper_new
Event
wpbedouine
rt_affinity_wp
arry12
backup-TheStyle
ExploreFeed
zzzzzzzzz
Bluemist
Hermes
cleartype_v1.0
polariswp
Chameleon 1.6
sniper
adena
ariela
FreshAndClean
wp-creativix


TimThumb.php Dosyası Barındıran Bazı Eklentiler (29 Adet)

1. portfolio-slideshow-pro
2. wp-mobile-detector
3. a-wp-mobile-detector
4. shortcodes-ultimate
5. igit-related-posts-with-thumb-images-after-posts
6. dukapress
7. verve-meta-boxes
8. db-toolkit
9. logo-management
10. wp-marketplace
11. islidex
12. aio-shortcodes
13. category-grid-view-gallery
14. WPFanPro
15. igit-posts-slider-widget
16. wordpress-gallery-plugin
17. cms-pack
18. Premium_Gallery_Manager
19. dp-thumbnail
20. placid-slider
21. nivo-slider
22. photoria
23. LaunchPressTheme
24. kc-related-posts-by-category
25. journalcrunch
26. download-manager
27. wordpress-thumbnail-slider
28. sugar-slider
29. optimizepress

Kaynak