Tüm dünya’da ve ülkemizde birçok web sitede kullanılan wordpress’in çok büyük bir güvenlik açığı bulundu. Bu açık şuan yayında olan birçok siteyi tehdit altında bırakmaktadır. WordPress alt yapısına sahip olan her sitenin bu güvenlik açığını kapatması, aksi takdirde her an hacklenme olasılıklarının bulunduğu bir gerçektir.
Timthumb.php dosyası birçok wordpress tema ve eklentisinde yer alan ve resimleri boyutlandırmaya yarayan oldukça güzel bir dosyadır. Bu dosya işlevi bakımından her ne kadar önemli olsa da, içerisindeki açık giderilmediğinde bir felakete meydan verebilmektedir.
Bu güvenlik açığının bulunduğu satırlar ise aşağıdaki gibidir.
?
$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,
);
Flickr, picasa ve wordpress.com, youtube gibi güvenilir sitelerden resim çekebilmek ve thumbnail oluşturmak amacıyla konulmuş bir kod’dur. Bu kod ile URL’sinde Flickr, picasa ve wordpress.com, youtube gibi sitelerin adresi geçen herhangi bir siteden normalde yazma izni olmayan karşıdaki sunucuya dosya gönderilebiliyor.
WordPress timthumb.php dosyasındaki güvenlik açığını kapatma
Öncelikle sitenizin dosyaları arasında ne kadar timthumb.php dosyası varsa hepsini bulmalısınız. Yani themes ve plugins klasörlerini detaylı incelemelisiniz. Daha sonra da yukarıda izin verilen sitelerin tanımlandığı kodda site isimlerini kaldırmak yeterli.
Kodun son hali şöyle olmalı:
?
$allowedSites = array ();
Bu şekilde dış sitelere yazma izni engellenmiş oluyor.
Timthumb.php dosyasını kullanan eklentilerden bazıları şunlardır:
1. portfolio-slideshow-pro
2. wp-mobile-detector
3. a-wp-mobile-detector
4. shortcodes-ultimate
5. igit-related-posts-with-thumb-images-after-posts
6. dukapress
7. verve-meta-boxes
8. db-toolkit
9. logo-management
10. wp-marketplace
11. islidex
12. aio-shortcodes
13. category-grid-view-gallery
14. WPFanPro
15. igit-posts-slider-widget
16. wordpress-gallery-plugin
17. cms-pack
18. Premium_Gallery_Manager
19. dp-thumbnail
20. placid-slider
21. nivo-slider
22. photoria
23. LaunchPressTheme
24. kc-related-posts-by-category
25. journalcrunch
26. download-manager
27. wordpress-thumbnail-slider
28. sugar-slider
29. optimizepress
KAYNAK: www.omer.tk
- Üyelik 09.05.2011
- Yaş/Cinsiyet - / E
- Meslek
- Konum
- Ad Soyad ** **
- Mesajlar 92
- Beğeniler 1 / 2
- Ticaret 1, (%100)
- Üyelik 30.03.2011
- Yaş/Cinsiyet 33 / E
- Meslek Bilgisayar Mühendisi
- Konum 🖤 Hatay
- Ad Soyad S** P**
- Mesajlar 14508
- Beğeniler 3057 / 3058
- Ticaret 356, (%100)
Önemli bir güvenlik açığı..
Ayrıca yine aynı siteye göre bu açığın bulunduğu bilinen 230 wordpress temalasının listesi şöyle:
Ayrıca yine aynı siteye göre bu açığın bulunduğu bilinen 230 wordpress temalasının listesi şöyle:
[*]Minimo
[*]Polished
[*]Minimal
[*]nebula
[*]TheCorporation
[*]TheStyle
[*]TuaranBlog
[*]striking
[*]MyCuisine
[*]AskIt
[*]Webly
[*]Aggregate
[*]TheSource
[*]reviewit
[*]kelontongfree
[*]Mentor
[*]SimplePress
[*]journalcrunch
[*]ecobiz
[*]Magnificent
[*]timthumb.php
[*]Olympia
[*]kingsize
[*]Chameleon
[*]DelicateNews
[*]videozoom-v2.0-original
[*]videozoom
[*]Envisioned
[*]twicet
[*]u-design
[*]genoa
[*]OptimizePress
[*]Modest
[*]mocell
[*]ephoto
[*]Theme
[*]InReview
[*]lightpress
[*]hostme
[*]PersonalPress
[*]Cadca
[*]arras
[*]tiwinoo_v3
[*]MyProduct
[*]sc4
[*]InterPhaseTheme
[*]InStyle
[*]LightBright
[*]TheProfessional
[*]mnfst
[*]freshnews
[*]ArtSee
[*]Boutique
[*]eStore
[*]Avenue
[*]twentyten
[*]XSWordPressTheme
[*]adcents
[*]Nova
[*]MyPhoto
[*]eGallery
[*]Striking_Premium_Corporate
[*]default
[*]Lycus
[*]manifesto
[*]cold
[*]DynamiX
[*]tarnished
[*]Nyke
[*]linepress
[*]DJ
[*]adria
[*]zimex
[*]peano
[*]ElegantEstate
[*]delight
[*]kelontong-free
[*]duotive-three
[*]SobhanSoft_Theme
[*]PureType
[*]yamidoo_pro
[*]vulcan2.1
[*]eGamer
[*]Wooden
[*]peritacion
[*]AmphionPro
[*]trinity
[*]dandelion_v2.6.3
[*]Juggernautgrande
[*]juggernaut-theme
[*]BlackLabel_v1.1.2
[*]Feather
[*]reviewit1
[*]zinepress_v1.0.1
[*]tribune
[*]photoria
[*]vilisya
[*]DailyNotes
[*]Basic
[*]minerva
[*]anthology_v1.4.2
[*]ModestTheme
[*]purevision
[*]parquet
[*]framed-redux
[*]eceramica
[*]InterPhase
[*]epsilon
[*]Striking
[*]thedawn
[*]peava
[*]Newspro
[*]telegraph
[*]averin
[*]telegraph_v1.1
[*]Memoir
[*]NewsPro
[*]CircloSquero
[*]vassal
[*]maxell
[*]13Floor
[*]wpanniversary
[*]OnTheGo
[*]Glider
[*]mohannad-najjar222
[*]mohannad-najjar2
[*]arthemia
[*]tuufy7
[*]photoframe
[*]beach-holiday
[*]blacklabel
[*]cadabrapress
[*]snapwire
[*]bizpress
[*]themesbangkoofree
[*]TOA
[*]D4
[*]eNews
[*]vulcan
[*]overtime
[*]rockwell_v1.0
[*]vicon
[*]wideo
[*]CherryTruffle
[*]mio
[*]rttheme13
[*]Linepress
[*]DeepFocus
[*]advanced-newspaper202
[*]OptimusPrime
[*]Quadro
[*]Lumin
[*]minima
[*]identity
[*]U-design.v1.1.2_hkz
[*]KP
[*]Petra
[*]services
[*]13FloorTheme.php
[*]BD
[*]PolishedTheme
[*]13FloorTheme
[*]kiwinho
[*]graphix
[*]jerestate
[*]centro
[*]corage
[*]Reporter
[*]TheTravelTheme
[*]XSBasico
[*]openhouse
[*]seosurfing1
[*]bluebaboon
[*]Newspro-2.8.6
[*]nd
[*]zoralime
[*]GrupoProbeta
[*]eBusiness
[*]purplex
[*]kitten-in-pink
[*]FashionHouse
[*]WhosWho
[*]Deviant
[*]Bold
[*]BusinessCard
[*]EarthlyTouch
[*]GrungeMag
[*]LightSource
[*]Simplism
[*]TidalForce
[*]Glow
[*]Influx
[*]StudioBlue
[*]jpmegaph
[*]redina
[*]tritone
[*]dandelion_v2.5
[*]Bluesky
[*]ColdStone
[*]silveroak
[*]newspro
[*]GamesAwe
[*]caratinga.net
[*]SimplePressTheme
[*]MyResume
[*]MyApp
[*]theme
[*]bigcity
[*]dandelion_v2.6.1
[*]chronicle
[*]cuizine
[*]thesis_18
[*]advanced-newspaper_new
[*]Event
[*]wpbedouine
[*]rt_affinity_wp
[*]arry12
[*]backup-TheStyle
[*]ExploreFeed
[*]zzzzzzzzz
[*]Bluemist
[*]Hermes
[*]cleartype_v1.0
[*]polariswp
[*]Chameleon 1.6
[*]sniper
[*]adena
[*]ariela
[*]FreshAndClean
[*]wp-creativix
Deneyim demeyin, deneyin!
- Üyelik 09.05.2011
- Yaş/Cinsiyet - / E
- Meslek
- Konum
- Ad Soyad ** **
- Mesajlar 92
- Beğeniler 1 / 2
- Ticaret 1, (%100)
Kesinlikle size katılıyorum. Oldukça önemli bir açık. Herkesin kontrollerini yapması lazım.
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)