Nuovo allarme sicurezza per TimThumb su WordPress (aggiornato)

ATTENZIONE: questo articolo è più vecchio di un anno, e potrebbe non essere più attuale, sei pregato di tenerne conto.

Vulnerabilità sicurezza WordPressSucuri, nome ben noto a chi si occupa di sicurezza, parla di una seria vulnerabilità su TimThumb, script per la manipolazione delle immagini utilizzato da molti temi e plugin per WordPress, ben noto in passato per analoghi problemi.

La vulnerabilità è riportata anche da Cxsecurity.com.

La vulnerabilità permetterebbe di creare, rimuovere e modificare file sul server da remoto, con tutti i rischi che ne conseguono.

Il problema riguarda l’opzione webshot, che in TimThumb è disabilitata di default, ma che temi o plugin che utilizzano questo script potrebbero aver attivata nelle loro impostazioni.

Sucuri consiglia di verificare, nei temi e plugin installati che eventualmente facessero uso di TimThumb, che l’opzione WEBSHOT_ENABLED sia impostata su false, o di impostarla in tal modo se così non fosse.

Nel dubbio, è possibile cautelarsi definendo a priori il settaggio nel file di configurazione di WordPress, aggiungendo questo parametro in wp-config.php:

define ('WEBSHOT_ENABLED', false);

Così facendo, se TimThumb fosse presente nell’installazione il parametro incriminato viene messo in condizioni di sicurezza, se invece TimThumb non c’è non accade nulla.

Che ne pensi?
Domande? Suggerimenti?
Lascia un commento…

Condividi se ti è piaciuto!

Condividi su facebook
Condividi su twitter
Condividi su linkedin
Condividi su whatsapp

Maggori informazioni:

Roberto Rota

Roberto Rota

Libero professionista, un "artigiano del web", lavoro nella comunicazione in rete da quando esiste Internet. Mi occupo principalmente di assistenza su WordPress e assistenza e consulenza WooCommerce, seguo la realizzazione di progetti web, in particolare siti di e-commerce, visibilità e comunicazione in rete. Il mio curriculum è su Linkedin, e mi puoi trovare anche su Instagram, FaceBook e Twitter.

CONTRIBUISCI A QUESTO SITO
Se il mio lavoro ti è stato di aiuto,
e vuoi che io continui a publbicare,
contribuisci allo sviluppo di questo sito
con una donazione su PayPal.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Cerca nel sito:

Assistenza specializzata WordPress e WooCommerce

Altri articoli

Mandami un messaggio

Ciao, come posso aiutarti?