Problema grave de seguridad en Timthumb

Si tu tema utiliza este script de redimensionado de imágenes, algo bastante habitual en temas estilo revista, más te vale saber se ha detectado una vulnerabilidad del tipo Zero day en TimThumb. Para asegurar sue tu sitio está seguro deberías hacer algo de lo que te indico a continuación:

Nota: esta entrada contiene enlaces de afiliado por los que el autor puede cobrar comisiones por cada venta.

Método 1: Actualiza el tema

Descarga la última versión del tema, usando el enlace de descarga de donde lo adquiriste. Todas las versiones nuevas de los temas suelen ya tener la versión segura del script. Un buen ejemplo es Elegant Themes, que ha actualizado todos los temas, aprovechando para incluir mejoras.

Método 2: Reemplaza el script timthumb por FTP

Borra el fichero timthumb.php y reemplázalo con la última versión segura de timthumb en la carpeta de tu tema a través de FTP. Si lo haces así es recomendable hacer también este cambio:

Edita la variable $allowedsites y quita todos los sitios referenciados – debería verse así tras editarlo:

// dominios externos external domains that are allowed to be displayed on your website
$allowedSites = array();

Método 3: Actualiza timthumb desde el editor de WordPress

Sigue estos pasos para actualizar tu fichero timthumb actual:

  1. Accede a tu sitio WordPress. Ve a Apariencia => Editor.
  2. Abre el archivo timthumb.php y borra todo su contenido.
  3. Copia-pega el contenido de la última versión segura de timthumb.. Tambien haz la modificación adicional indicada en el método 2.
  4. Haz clic en Actualizar archivo (guarda).

Con cualquiera de estos 3 métodos tendrás tu instalación segura.

Gracias a Gabfire por la guía

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(0 votos, promedio: 0)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

31 comentarios en “Problema grave de seguridad en Timthumb”

  1. En realidad no entiendo cual es el problema grave ?

    Este plugin se usa para llamar imagenes de otras webs sin problemas , que es lo que esta oscasionando nos puedes explicar porfavor.

    Saludos.

    1. jmanuel perez

      El enlace bajo "Zero day" te envía a la página donde se descubrió la vulnerabilidad y donde explican la gravedad de la situación. La conversación es de lo más interesante (para mí al menos) y por suerte ya están dando con una solución más o menos satisfactoria.

      La cuestión es que mucha gente tomará tiempo en actualizar sus temas y otros tantos ni siquiera se enterarán del problema.

      1. Pues será un buen momento para decidir por que proveedor de temas decidirse. Yo de momento con Elegant Themes estoy encantado, ha actualizado todos hace tiempo, nada más descubrirse el problema.

      2. jmanuel perez

        @fernandot:disqus Pues he echado una mirada a WooThemes y ellos simplemente recomiendan actualizar a la nueva versión de TimThumb  de manera similar al procedimiento 3 que tú mencionas.

  2. Pingback: WordPress con Timthumb hackeado hacen black hat SEO en Google Images | Ayuda WordPress

  3. Um adendo. Um site infectado com o problema do Timthumb passa a enviar vírus aos usuários. O Avast Anti Virus bloqueia imediatamente.

  4. Pingback: Problema con Timthumb en wordpress « « José Cabezas José Cabezas

  5. Excelente artículo Fernando. Solo añadiría algo que leí del desarrollador de Timthumb y es que el riesgo de seguridad existe aunque por el mero hecho de que el archivo timthumb.php esté en nuestro servidor, aunque forma parte de un theme que tengamos inactivo y no estemos utilizando "online". En un lenguaje muy simple para los que no entendemos mucho, el problema consiste en que a través del timthumb y desde determinados sitios que traía configurados para subir imágenes, se puedo subir al servidor algo más que fotos.

  6. Saludos Fernando y muchas gracias por el tutorial. Lamentablemente no lo lei a tiempo y mi página ya está marcada como con contenido malicioso. Ya hice la actualización del archivo TimThumb (metodo 3) pero me gustaría saber si tan sólo con eso elimino el código malicioso o si debo hacerlo por separado. A través de las Herramientas para Webmaster de Google, me indica que el código está en "/pt/wp-includes/js/l10n.js?ver=20101110" y después de buscar en internet veo que es bastante típico, pero aún no se como borrarlo, ya que el código que aparece ahí (herramientas de google) no es identico al que está en el archivo "l10n.js" cuando lo abro vía ftp. Entonces, como puedo volver todo a la normalidad?
    Muchas gracias desde ya.

  7. Pingback: Cómo arreglar un wordpress hackeado por el TimThumb.php | Gadgetopost

  8. hoy me aparecio en el avira que tenia el malware en todas las páginas web que tengo en mi servidor con wordpress con o sin el archivo timthumb, la solución fue reemplazar en todos las carpetas "/pagina/wp-includes/js" el archivo "l10n.js" y en la carpeta "/pagina/wp-includes/js/jquery" el archivo "jquery.js"  y obvimente actualizar el archivo timthumb de la carpeta del tema, es lo malo de tener  Elegant Themes y no actualizar los archivos. Si me vuelve a aparecer voy a tener que tirar un backup de una semana atras y reemplazar los timthumb.

    1. A mí me ha sucedido lo mismo, infectados más de 15 sitios web hechos con WP, y la mayor parte de ellos no tenían Timthumb, solo dos de ellos, en los que ya he sustituido el timthumb por la versión "segura".  Incluso se han infectado archivos jquery.js que estaban en plugins como DMSGuestbook o prettyphoto.  Aún no he logrado solucionarlo porque limpio cada site sustituyendo los .js por sus originales limpios y a la media hora vuelven a estar todos infectados y Google ya me ha puesto en la lista negra a dos sites. Llevo dos días con esto y ya no se qué hacer.  ¿Es posible que hayan creado un backdoor en mi servidor?

      1. Saludos Dapasi y Oscar. Trabaje en el problema durante el fin de semana y logré solucionarlo, les cuento como fue. Lo primero fue actualizar el TimThumb y lo hice con el método 3 que propuso Fernando. Luego de ello y a través de la herramientas para webmaster de google, identifiqué el archivo y el código que google estaba interpretando como malicioso, pero ojo, el código que me señalaban ahí no era identico al verdadero, al parecer sólo era un estracto, entonces, como no tenía la seguridad para borrar el archivo seguí buscando por internet hasta que encontré la siguiente herramienta: http://sucuri.net/, allí hacen un scaneo gratuito a tu sitio y te identifican dónde y cual es el código malicioso. En mi caso detectó 2 (el l10n.js y el jquery.js) y sólo borré el código que se repetía con google, o sea el l10n.js y luego de eso, fui nuevamente a herramientas para Webmaster y le indiqué que ya estaba borrado e código y que hicieran una nueva verificación. Después de 1 día mi página ya estaba sin problemas (www.americaelementall.com/pt) aunque sigo trabajando en lo de las actualizaciones, aunque aun no puedo actualizar al WP 3.2.1, necesito hacerlo en forma manual.

        1. Gracias Eduardo.  Ya logré solucionar el problema y tu recomendación de la web de sucuri.net ha sido muy útil, ya que su escaner es capaz de localizar el malware, cosa que no hacía ni mi antivirus ni otras versiones online.  Como consejos que añadir a todo lo que indicas, diré que después de dos días rastreando el origen de la infección, lo encontré en una versión de prueba de WP que tenía el Timthumb y que yo había alojado en un subdirectorio de uno de mis dominios. Ese tema ni siquiera estaba online, pero de ahí el malware se pasaba al resto de desarrollos.  Además de sustituir los archivos infectados l10n.js y el jquery.js por los originales limpios de la version de WP 3.2.1 revisé todo el regimen de permisos de mis carpetas, 755 para directorios (solo directorios) en los que se suben y modifican archivos desde WP y 644 para los archivos. He reseteado todas las contraseñas de WP, eliminado el usuario «admin» ym sustituyendolo por otro más complejo de averiguar y revisado los ficheos .htaccess, para que no tengan nada raro y no permitan la navegacion entre directorios. Despues de todo esto, mis webs están limpias y Google me ha sacado del cuarto oscuro, asi que nada, a seguir disfrurtando ;-).  Oscar

  9. Pingback: Comprueba si estás afectado por el fallo de seguridad de Timthumb | Ayuda WordPress

  10. David Quintal

    Saludos

    Algo curioso tenia la version 1.1 y mi carpeta cache permisois 755 al actulizar no me funciona la version que uso nueva es la 2.8.10 deben darle permisos 777 a la carpeta cache que esta dentro de su tema 

  11. hola fernando, necesito ayuda urgente, todavia mi sitio no fue atacado y ya hice los pasos, pero tengo un solo problema, que las imagenes externas a mi servidor no aparecen, pero cuando edito el thumbs y pongo cada dominio de las paginas donde se localizan las imagenes si aparecen, queria saber como hago para que automaticamente aparescan todas las imagenes sin tener que andar editando el archivo e ir agregando los dominios externos de cada pagina de imagenes.
    saludos espero la respuesta.

    1. Tienes que editar la linea 33
      Debe estar como esta a de tener false cámbiala por TRUE

      if(! defined(‘ALLOW_ALL_EXTERNAL_SITES’) ) define (‘ALLOW_ALL_EXTERNAL_SITES’, TRUE);

      Solo respondo por si alguien tiene la misma pregunta….

  12. Hola no se que si se actualizará o recibirá respuesta mi comentario, pero igual lo dejaré por si algo ocurre; y es que este tema es bastante interesante, tengo un plugin llamado Theme Authenticity Checker (TAC) para scanear los temas y supuestamente detectar codigos malisioso y esas cosas, soy muy novato, y traté de hacer lo que recomiendas pero hay un par de lineas en la anterior que son las lineas 219 y 221, y en la actualización que recominedas es en las lineas 114 y 116 que muestra esta alerta al scanear los themes en las lineas detalladas ( base64_decode(«R0lGODlhUAAMAIAAAP8AAP///yH5BAAHAP8ALAAAAABQAAwAAAJpjI+py+0Po5y0OgAMjjv01YUZnOGplhWXfNa6JCLnWkXplrcBmW+spbwvaVr/cDyg7IoFC2KbYVC2NQ5MQ4ZNao9Ynzjl9ScNYpnebnDULB3RP6JuPuaGfuuV4fumf8PuvqFyhYtjdoeFgAADs=»);

    Mi pregunta es:

    ¿ Si es una vulnerabilidad o que puede ocurrir a raiz de esta encriptación. ? de antemano muchas gracias por contestar y orientarme.

    Atte. Rig

  13. Gracias. Ya actualicé, por si las moscas. Solo una cosa, «$allowedsites» lleva guión bajo en mi tema, así: $allowed_sites. Saludos

  14. Pingback: WordPress con Timthumb hackeado hacen black hat SEO en Google Images

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido