Se você utiliza o script de redimensionamento de imagens TimThumb seu blog está correndo riscos, pois uma falha grave de segurança foi descoberta, do tipo Zero Day. Se você utiliza esse script em seu tema WordPress siga uma das soluções propostas abaixo no Ayuda WordPress.
Se você não sabe se o seu tema utiliza esse script é muito fácil descobrir, basta abrir a pasta de seu tema e procurar pelo arquivo TimThumb.php, se ele existir é necessário seguir os procedimentos abaixo, do contrário fique tranquilo.
Como resolver o problema de segurança no script Timthumb.php
Dica 1 – Atualize seu tema
Se o seu tema recebe atualizações pelo painel de controle do WordPress, verifique se existe uma atualização disponível, se houver, faça-a. Se você adquiriu um tema do Elegant Themes, será necessário entrar em seu painel de controle e baixar o tema novamente. Eu tenho um blog com um template do Elegant Themes, mas preferi não fazer esse passo e sim o passo que vem a seguir.
Dica 2 – Reenviar o script Timthumb.php por FTP
Você deve excluir, via FTP, o ficheiro atual e fazer o upload do novo arquivo. Antes de fazer o upload, faça o download abaixo, abra o arquivo e altere a linha abaixo.
$allowed_sites = array();
Coloque exatamente como está acima, ela poderá conter sites liberados, como picasa e outros. O recomendado é deixar o array em branco como o de cima. Salve e envie para a pasta de seu tema.
Dica 3 – Atualize pelo editor do WordPress
Você também pode atualizar pelo editor de tema do próprio WordPress. Basta abrir o arquivo Timthumb.php e excluir todo o conteúdo, depois copie o novo arquivo e cole, faça a alteração na variável da dica 2 e salve.
Qualquer dúvida, deixe nos comentários.
Esta semana um dos meus blogs foi hackeado precisamente devido a essa falha de segurança. Felizmente já consegui resolver tudo.
Mas é muito importante divulgar este tipo de falhas para prevenir todos os webmasters, para que não fiquem com seu trabalho comprometido.
Carlos,
por isso mesmo escrevi o artigo, para alertar a todos para o perigo de ter o blog invadido.
obrigado pelo comentário e sucesso.
Para prevenir o procedimento basta, porém é importante saber se já está “infectado”, se estiver os procedimentos são outros pois altera muita coisa.
Relatei parte de minha experiência aqui:
http://www.bdibbs.com.br/2011/falha-de-seguranca-no-timthumb
Então Gustavo para facilitar eu posso editar uma vez o arquivo e enviar para meus blogs que tenha o arquivo?
Abraço!
Rafael,
claro que sim.