Questo articolo sarà uno dei tanti in cui spiegheremo come proteggere WordPress analizzando casi specifici come il timthumb exploit o in altri casi conosciuto come il timthumb hack.

A chi di voi, possessori di un blog su WordPress, non è successo di collegarsi, un bel giorno, al proprio sito e notare che il sito è privo di immagini thumbnail oppure il menu e le categorie sono scomparse !! Molto probabilmente siamo stati vittime di un attacco hacker sfruttando il file timthumb.php presente nel nostro tema oppure in qualche plugin.

Cos’è timthumb ?

Il file timthumb è un piccolo script open source scaricabile dal sito progetto timthumb che permette di manipolare le nostre immagini con facilità e effettuare per esempio: cropping, zooming and resizing ossia rispettivamente ritagli, zoom e ridimensionamento delle immagini.

Purtroppo alcune versioni vecchie di questo file contengono degli exploit che alcuni hacker possono sfruttare per manomettere le funzionalità del nostro blog.

Quindi come possiamo proteggerci ?

Per prima cosa dobbiamo installare un buon plugin di backup in modo da poter ripristinare il database:

• WP Online Backup gratuito e scaricabile direttamente da wordpress
• VaultPress è un servizio a pagamento professionale che permette anche il restore del backup
• BackWPup permette backup anche su supporti remoti esterni come Dropship
• Backup ha le più comuni caratteristiche di un ottimo sistema di backup come scheduler e backup remoti
• WP DB Manager gratuito con caratteristiche di base

Messi in sicurezza a livello di backup installiamo un plugin che si chiama: timthumb vulnerability scanner

Questo programma farà uno scanner periodico della directory wp-content alla ricerca del file timthumb e della versione. In caso dovessimo avere un plugin che usa una versione vecchia di questo script, il plugin ce lo segnalerà e noi potremo correre ai ripari e aggiornarlo manualmente oppure se presente aggiorare il plugin.

E’ molto importante ricordare che i plugin anche se disattivati possono essere dannosi per il nostro blog.

Per ora è tutto rimanete aggioranti su geeknews.it !

WPML: il miglior plugin multilingua per wordpress Chiamate Ajax WordPress Come proteggere indirizzo email dallo SPAM Proteggere directory con htaccess