Hier beschreibe ich kurz, wie Ihr am besten mit der Sicherheitslücke umgeht, die ein veraltetes timthumb Skript für WordPress Blogs darstellt.
Was ist timthumb?
Timthumb ist ein Skript, welches weit verbreitet in WordPress Systemen zum Einsatz kommt. Das Skript wird häufig in der dynamischen Bildmanipulation eingesetzt, z.B. bei einer automatisierten Thumbnail Erstellung.
Als Bestandteil von Plugins und Themes ist es für den Anwender oftmals gar nicht ersichtlich. Deshalb häufen sich jetzt wohl auch die Vorfälle der kompromittierten WordPress Systeme.
Sicherheitslücke in timthumb
In den letzten Monaten wurde öfter über Sicherheitslücken in dem Skript berichtet, die es einem Angreifer ermöglichen, Schadecode in das gesamte System einzuschleusen und darüber weitere Webseitenbesucher zu infizieren.
Wie kann man die Sicherheitslücke in timthumb beheben?
Timthumb an sich ist nicht das Problem – es muss nur in der aktuellen sicheren Version auf Eurem System arbeiten. Wenn auf Eurem WordPress timthumb vorhanden ist, muss es also aktualisiert werden.
Wie macht man das am einfachsten?!
- Feststellen, ob timthumb überhaupt bei Euch vorhanden ist.
- Alle timthumb Skripte auf Eurem System ausfindig machen.
- Prüfen, ob die timthumb Skripte in einer sicherheitsgefährdenden Version vorliegen.
- Wenn ja, aktualisieren.
Da sich timthumb an diversen Stellen in Plugins oder vor allem Themes verstecken kann, habe ich mir zum Beispiel via Internet einen bequemeren Weg gesucht.
Als erstes das Plugin timthumb-vulnerability-Scanner herunterladen und in WordPress installieren sowie aktivieren.
Der timthumb Scanner verbirgt sich nach Freischaltung unter dem Menüpunkt „Werkzeuge“ oder „Tools“ im Backend.
Je nach Provider kann es vorkommen, dass Ihr auf Serverseite noch einmal die Dateiberechtigungen für das Plugin neu setzen müsst, damit es seine Arbeit verrichten kann. Das teilt Euch das Tool aber mit.
Über „Scan“ ermittelt das Plugin nun alle timthumb Skripte, die es im wp-content Verzeichnis finden kann und listet diese auf. Dort erfahrt Ihr auch gleich, in welcher Version die Skripte vorliegen und ob man updaten sollte. Ihr markiert einfach die betreffenden Skripte und bestätigt den Upgrade Button.
Es kann jetzt sein, dass Ihr nochmal die Dateiberechtigungen (dieses Mal für die btreffenden Skripte) auf dem Server entsprechend setzen müsst, da das Plugin Schreibrechte auf die Dateien benötigt, in denen der Code aktualisiert werden muss.
Danach setzt Ihr gegebenenfalls die Rechte zurück und deaktiviert den timthumb Scanner (Plugins, die man gerade nicht benötigt, sollte man des Ressourcenverbrauchs wegen ohnehin deaktiviert lassen).
Fazit
Viele schlaue WordPress Spezis raten dazu, nicht benötigte Plugins und Themes einfach zu löschen. Das halte ich in vielen Fällen für übertrieben. Es gibt Plugins, die benötigt man nur sporadisch. Die jedes Mal neu zu installieren und zum Teil mit neuen Einstellungen zu versehen empfinde ich als zu aufwändig und hysterisch. Letztlich muss man auch irgendwie mit dem WordPress arbeiten und den Aufwand für Wartung und Pflege auf ein akzeptables Maß schrauben.
Bei Themes sieht das etwas anderes aus. Zwischen Themes wird nicht so oft gewechselt (das macht auch irgendwann der Webuser nicht mit), daher können nicht benötigte dementsprechend gesichert und dann gelöscht werden.
