TimThumb Sicherheitslücke und kein Ende in Sicht

Letztes Jahr kamen schon die ersten Hilferufe von Bloggern, deren Blogs reihenweise gehackt wurde und keiner konnte sich den Umstand erklären, wie es dazu kommen konnte.
Die Ursache war dann allerdings recht schnell gefunden, da alle Blogbetreiber eine Sache gemeinsam hatten.

TimThumb

Das Script macht im Grunde nichts anderes, als Automatisch verschiedene Größen einer Grafik anzugfertigen wenn man in seinem Blog zum Beispiel Bilder in Artikeln nicht in Originalgröße darstellt, sondern mittels Einstellungen verkleinert.
Besonders bei diversen WordPress Themes kommt TimThumb zum Einsatz, was letzendlich dazu geführt hatte, das die meisten gehackten Blogs im August 2011 der WordPress Szene zuzuschreiben waren.

Doch das Thema ist immer noch nicht vom Tisch.
Gerade in den letzten Wochen vermehrten sich wieder die Hilfeschreie, dass Blogs „bösen“ Code enthielten und reihenweise von diversen Seiten, wie Google, abgeklatscht wurden und als Sicherheitsrisiko für Besucher eingestuft wurden.

Ich habe mich mal im Internetnet umgesehen und mußte mit Schrecken feststellen, dass immer noch Veraltete Themes zum Download angeboten werden und so die Sicherheitslücke immer noch sehr present in der WordPress Theme Welt sind.

Auch die Umsonst Methalität greift scheinbar immer mehr um sich.
Anstelle Premiumthemes von Ethablierten Händlern wie zum Beispiel Themeforest zu beziehen, läd man sich lieber ein Theme von einer Russisch Sprachigen Internetseite herunter, weil es dort ja kostenlos ist.
Auch diverse Anbieter von Kostenlosthemes, die anstelle auf die Originalquelle verweisen, den Download lieber selber anbieten, hinken mit den Versionen der Themes teilweise mächtig hinterher.
Bestes Beispiel war ein Theme, welches in Version 2.5 angeboten wurde und der Themeauthor aber bereits Version 5.01!! auf seiner Webseite zum ebenfalls Kostenlosen Download anbot.

Hier gilt auch aufpassen.
Es wird nicht immer umsonst gewarnt, dass man seine Sachen auf dem aktuellsten Stand halten soll.

Wer prüfen will, ob seine WordPress Version von der TimThumb Sicherheitslücke betroffen ist, sollte sich dieses Plugin installieren und die Installation prüfen lassen.
Man kann natürlich auch manuell nach der Datei suchen.
Sie nennt sich timthumb.php, oder auch thumb.php.

Erstellt am: 15. April 2012