Nuovo allarme sicurezza per TimThumb su WordPress (aggiornato)

Ultima modifica il 30 Giugno 2014

ATTENZIONE: questo articolo è più vecchio di un anno, e potrebbe non essere più attuale, sei pregato di tenerne conto.

Vulnerabilità sicurezza WordPressSucuri, nome ben noto a chi si occupa di sicurezza, parla di una seria vulnerabilità su TimThumb, script per la manipolazione delle immagini utilizzato da molti temi e plugin per WordPress, ben noto in passato per analoghi problemi.

La vulnerabilità è riportata anche da Cxsecurity.com.

La vulnerabilità permetterebbe di creare, rimuovere e modificare file sul server da remoto, con tutti i rischi che ne conseguono.

Il problema riguarda l’opzione webshot, che in TimThumb è disabilitata di default, ma che temi o plugin che utilizzano questo script potrebbero aver attivata nelle loro impostazioni.

Sucuri consiglia di verificare, nei temi e plugin installati che eventualmente facessero uso di TimThumb, che l’opzione WEBSHOT_ENABLED sia impostata su false, o di impostarla in tal modo se così non fosse.

Nel dubbio, è possibile cautelarsi definendo a priori il settaggio nel file di configurazione di WordPress, aggiungendo questo parametro in wp-config.php:

define ('WEBSHOT_ENABLED', false);

Così facendo, se TimThumb fosse presente nell’installazione il parametro incriminato viene messo in condizioni di sicurezza, se invece TimThumb non c’è non accade nulla.

Che ne pensi?
Domande? Suggerimenti?
Lascia un commento…

Condividi se ti è piaciuto!

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp

Maggori informazioni:

Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

DAI IL TUO CONTRIBUTO

Se il mio lavoro ti è stato di aiuto, contribuisci alla continuità di questo sito.
Basta una piccola donazione su PayPal, una pizza e una birra alla tua salute!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cerca nel sito:

Assistenza specializzata WordPress e WooCommerce

Altri articoli

Hai bisogno di aiuto o maggiori informazioni su questo articolo? Contattami:

Ciao, come posso aiutarti?