مشکل امنیتی در اسکریپت محبوب TimThumb

به تازگی مشکل امنیتی جدی تو اسکریپت پی اچ پی TimThumb که برای تغییر اندازه‌ی تصاویر ازش استفاده میشه کشف شده که به هکرها امکان میده از این حفره برای حمله به سایتها استفاده کننده کنن. تعداد زیادی از پوسته‌های وردپرس از جمله قالبهای سایتهای Elegant Themes و WooThemes از این اسکریپت استفاده می‌کنن. راه حل چیه؟

اگر امکان پاک کردن فایل رو دارین که مشکلی نیست. توجه کنین که این اسکریپت معمولا به اسم timthumb.php یا thumb.php تو پوسته‌ها قرار داده میشه.

اگر سایتتون به TimThumb وابسته هست و نمیتونین فعلا پاکش کنین این کد رو توش پیدا کنین:

$allowedSites = array (
    'flickr.com',
    'picasa.com',
    'img.youtube.com',
    'upload.wikimedia.org',
    );

و به این صورت تغییرش بدین:

$allowedSites = array ();

در ضمن از وجود این کد تو فایل اسکریپت هم مطمئن بشین (احتمالا خط ۲۱):

define ('ALLOW_EXTERNAL', FALSE);

آپدیت: Mark Maunder نسخه‌ی امن و بهینه‌ شده‌ی اسکریپت رو با نام WordThumb منتشر کرد.

سایت ElegantThemes حدود ۲ هفته قبل با آپدیت پوسته‌ها، این اسکریپت رو بخاطر فشار روی سرور و جلوگیری از کش شدن صحیح تصاویر تولید شده، از قالبهاش حذف کرد و بزودی پوسته‌های WooThemes هم بروزرسانی میشن.

اگر پوسته‌ی شما هم از این اسکریپت برای ریسایز عکسها استفاده می‌کنه بهتره بجاش از قابلیت add_image_size خود وردپرس استفاده کنین. سایت روی خط وردپرس پست خوبی در این مورد داره که پیشنهاد می‌کنم مطالعه کنین.

منبع: Theme Lab

هاستینگ وردپرس ماندگاروب
۲۷ دیدگاه
  1. subtitle

    حق با آقا محسن هستش ، ما که پاک کردیم . مرسی

    پاسخ دادن
  2. باشگاه عکس

    آقا محسن همونطور که خودتون گفتید به این فایل گیر میده timthumb

    جالب اینکه من این فایلو کلا از هاست حذف کردم کوچکترین تغییری پیدا نکرد ! انگار بود و نبودش فرق نمی کنه

    پاسخ دادن
  3. باشگاه عکس

    ببخشید آقا محسن با شیلتر شکن تونستم به اون سایت وارد بشم (ای پی ایران قبول نمی کرد)
    کدهارو از گوگل گرفتم،کامل TimThumb قبلی رو پاک اینارو وارد کردم ولی بازم درست نشد!
    هنوز تصاویر بند انگشتی نمایش داده نمیشه!
    چکار کنم

    پاسخ دادن
    • محسن غیاثی

      سلام دوست عزیز. احتمالا از افزونه های امنیتی استفاده می کنین و مشکل ساز شدن چون ارور سطح دسترسی میده عکسا. مثلا این مورد رو ببینین.

      پاسخ دادن
      • باشگاه عکس

        ممنون که جواب دادی.
        کل افزونه ها + افزونه های امنیتی رو غیر فعال کردم ولی بازم درست نشد!

        پاسخ دادن
        • محسن غیاثی

          تو پوشه‌ی wp-contents فایلی به نام htaccess. ندارین که کد جلوگیری از اجرای فایلهای PHP داخلش باشه؟

          پاسخ دادن
          • باشگاه عکس

            چرا چنین فایلی هست.
            ولی از php سر درنمیارم …
            دیشب کل پوسته رو حذف کردم و نصب مجدد کردم ولی باز جواب ندا.
            یه چیز دیگه با یه پوسته دیگه امتحان کردم بند انگشتی رو جواب داد.
            ولی خوب این پوسته رو خریدم نمی تونم عوضش کنم ، تا چند روز پیش هم خوب بود.
            میشه فایل htaccess براتون بفرستم یه نگاهی بهش بندازید؟

            پاسخ دادن
            • محسن غیاثی

              اگر امکانش هست مشخصات ورود به هاست و وردپرس رو برام ایمیل کنین چک کنم براتون.

              پاسخ دادن
              • باشگاه عکس

                آقا محسن الان آنلاین هستید بفرستم براتون؟

          • باشگاه عکس

            دو تا فایل htaccess هست ، یکی داخل فلدری که خودتون گفتید، کلا این دو خط داخلش بود.

            deny from all

            یه htaccess دیگه که توی public_html بود که پر از کده !

            پاسخ دادن
  4. باشگاه عکس

    آقا محسن با با شیلترینگ رفتم کدهارو گذاشتم توی TimThumb ولی بازم درست نشد!
    چکار کنم دیگه

    پاسخ دادن
  5. باشگاه عکس

    سلام آقا محسن.
    من یه چند روزی میشه خودکار تصاویر بند انگشتی از کار افتاد.
    من از یکی از تم های الگانت استفاده می کنم.
    از اون افزونه که توی اون سایت خارجی بود هم استفاده کردم ولی با نسخه جدید وردپرس ۳.۵ یا همون (۳.۶) فک کنم سازگاری نداشت.
    اون سایتهایی که معرفی کردید هم نمی دونستم دقیقا کجا باید کلیک کنم و کد مورد نظر بگیرم.
    ممنون میشم راهنمای دقیق بکنید

    پاسخ دادن
  6. محمدرضا

    ببخشید اینکه گفتید از wordthumb استفاده کنیم یعنی چه جوری؟ کدهای wordthumb را جایگزین timthumb کنم کافیه؟؟؟

    پاسخ دادن
    • محسن غیاثی

      سلام دوست عزیز. wordthumb هم تبدیل شد به timthumb 2 که میتونین کدهاشو تو این صفحه ببینین و جایگزین کدهای فعلی کنین.

      پاسخ دادن
      • Moresa

        آقا ما همه این کارها را میکنم … هاست هم gd library فعاله…. پرمیشن فولدرهای مربوطه هم ۷۷۷ هست. نمیدونم چرا باز عکسهای بند انگشتی نمایش داده نمیشه… میتونید بگید مشکل از کجا میتونه باشه؟؟؟؟ سایتم همینه که روی اسمم هست. ولی نمیدونم چرا هیج جوره این اسکریپت راه نمیاد!!!!

        پاسخ دادن
      • بهروز

        آقا این timthumb آپدیت امنیتی نداده؟
        کدوم ورژنش مشکل داره؟

        پاسخ دادن
  7. arvin

    سلام آقا محسن یک سوال
    تو قالب من از اسکریپت پی اچ پی TimThumb استفاده نمی شه و خود قالب من تصاویر بند انکشتی رو تو صفحه اول می زاره من برای تنطیمات سایز تصویر بند انگشتی افزونه Simple Image Size رو نصب کردم ….
    می خواستم بدونم خطر چیزی نداره 😀 ؟

    پاسخ دادن
  8. Omid Sh

    سلام
    همونطور که می‌دونید، پوسته من هم این اسکریپت رو داره.
    من معمولاً خودم عکس رو ریسایز می‌کنم و می‌ذارم. فکر کنم پاکش کنم بهتر باشه.
    تشکر آقا محسن

    پاسخ دادن
  9. encaria

    ممنون محسن
    ای بابا خوب شد دیدم اینو میخواستم اسفاده کنم ها
    البته تو ورژن جدید وردپرس امکان برش تصویر تو هر سایزی هست این اسکریپت دیگه نیاز نیست به اون صورت
    دیگه تم‌هایی که برای نسخه جدیدن خیلی کمتر ازین اسکریپت استفاده میکنن

    پاسخ دادن

Please Post Your Comments & Reviews

نشانی ایمیل شما منتشر نخواهد شد Required fields are marked *

*

Share This