Come proteggere WordPress: TimThumb Exploit

355 visite

come proteggere wordpress da timthumb exploit

Questo articolo sarà uno dei tanti in cui spiegheremo come proteggere WordPress analizzando casi specifici come il timthumb exploit o in altri casi conosciuto come il timthumb hack.

A chi di voi, possessori di un blog su WordPress, non è successo di collegarsi, un bel giorno, al proprio sito e notare che il sito è privo di immagini thumbnail oppure il menu e le categorie sono scomparse !! Molto probabilmente siamo stati vittime di un attacco hacker sfruttando il file timthumb.php presente nel nostro tema oppure in qualche plugin.

Cos’è timthumb ?

Il file timthumb è un piccolo script open source scaricabile dal sito progetto timthumb che permette di manipolare le nostre immagini con facilità e effettuare per esempio: cropping, zooming and resizing ossia rispettivamente ritagli, zoom e ridimensionamento delle immagini.

Purtroppo alcune versioni vecchie di questo file contengono degli exploit che alcuni hacker possono sfruttare per manomettere le funzionalità del nostro blog.

timthumb exploit

Quindi come possiamo proteggerci ?

Per prima cosa dobbiamo installare un buon plugin di backup in modo da poter ripristinare il database:

  • WP Online Backup gratuito e scaricabile direttamente da wordpress
  • VaultPress è un servizio a pagamento professionale che permette anche il restore del backup
  • BackWPup permette backup anche su supporti remoti esterni come Dropship
  • Backup ha le più comuni caratteristiche di un ottimo sistema di backup come scheduler e backup remoti
  • WP DB Manager gratuito con caratteristiche di base

Messi in sicurezza a livello di backup installiamo un plugin che si chiama: timthumb vulnerability scanner

Questo programma farà uno scanner periodico della directory wp-content alla ricerca del file timthumb e della versione. In caso dovessimo avere un plugin che usa una versione vecchia di questo script, il plugin ce lo segnalerà e noi potremo correre ai ripari e aggiornarlo manualmente oppure se presente aggiorare il plugin.

E’ molto importante ricordare che i plugin anche se disattivati possono essere dannosi per il nostro blog.

Per ora è tutto rimanete aggioranti su geeknews.it !

Iscriviti alla newsletter e rimani sempre aggiornato

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *