Problema grave de seguridad en Timthumb

Cómo solucionar el error El archivo es demasiado grande para el sistema de archivos de destino

Plugins mal programados: Los programadores con diferentes antecedentes y niveles de habilidad contribuyen a WordPress mediante la creación de plugins. Por lo tanto, es común ver plugins que no están escritos utilizando las mejores prácticas. A veces, el creador del plugin no mejora su código a pesar de las peticiones de mejora. Si un plugin causa problemas repetidamente, aconsejamos eliminarlo.

Plugins no utilizados: Muchos sitios web tienen plugins desactivados que no se han utilizado durante mucho tiempo. Deberían desinstalarse por completo, ya que todo el código PHP del servidor puede considerarse un posible fallo de seguridad. También es una buena práctica eliminar los archivos innecesarios para ahorrar espacio de almacenamiento. Puede eliminar todos los plugins no utilizados con el siguiente comando:

¿Puedo reemplazar Timthumb.php para proteger mi sitio?

Esto se debió principalmente a que las primeras versiones de los CMS no eran muy seguras, pero ya eran lo suficientemente populares como para alimentar millones de sitios web. Los desarrolladores de extensiones tampoco se preocupaban mucho por la seguridad. Todo el ecosistema era muy joven. Y con la falta de alternativas, incluso los plugins y temas de aficionados tenían muchas posibilidades de ser adoptados por un gran número de sitios web.

  ¿Cómo reconocer a una “persona tóxica”?

En aquella época, la mayoría de los CMS no tenían plugins de seguridad serios. Los cortafuegos de aplicaciones web no se utilizaban normalmente fuera de las corporaciones. Todo esto llevó a situaciones en las que las vulnerabilidades dieron lugar a decenas (o a veces incluso cientos) de miles de sitios web infectados en muy poco tiempo. Otra fuente común de infecciones masivas era el malware que robaba credenciales de sitios web de los ordenadores de los webmasters.

En aquellos días, David Dede estaba ocupado escribiendo sobre la vulnerabilidad recientemente encontrada en nuestro Blog (sí – estoy de acuerdo, nuestros artículos de análisis de vulnerabilidades son mucho mejores ahora). En estos artículos, describió el alcance y el impacto de los temas, plugins e infecciones afectados.

Error 403 causado por un archivo htaccess corrupto

¿Ha notado últimamente una pérdida de tráfico en su sitio web? ¿Tiene un sitio WordPress? Hay un hack que le dice a los motores de búsqueda que su sitio se ha movido, pero hace que su sitio web actúe normal cuando los humanos lo visitan, por lo que es muy difícil darse cuenta hasta que es demasiado tarde.

El hack se centra en la vulnerabilidad TimThumb.php y permite a un hacker insertar código en su servidor que le otorgaría el control de su sitio. Muchos temas de WordPress (gratuitos y comerciales) vienen con este archivo vulnerable que fue descubierto por Mark Maunder el 1 de agosto de 2011.

  Píldora de emergencia… un método solo para emergencias

Woo Themes es uno de ellos que venía empaquetado con el exploit timthumb. Aunque hicieron un anuncio en su sitio web poco después del descubrimiento, ¡no enviaron el siguiente aviso por correo electrónico hasta el 18 de agosto! (17 días después):

TimThumb (o thumb.php como usted lo conoce) – el script de código abierto que usamos en todos nuestros temas para cambiar el tamaño de las imágenes dinámicas – descubrió recientemente una falla de seguridad crítica en el script. Este fallo es vulnerable a un hacker potencial que podría obtener acceso a su servidor. Esto afecta a todos nuestros temas existentes y por lo tanto a todos los que están utilizando actualmente nuestros temas.

WP Popular Posts WordPress Plugin

La actividad no ha sido tan alta en el último mes en este proyecto, así que dudo que consigamos una solución rápida pronto. Echaré un vistazo al código yo mismo y veré si puedo hacer algo. Las inyecciones sql no deberían ser demasiado difíciles de manejar. Por supuesto, me alegraría de cualquier arreglo que consigamos para estos problemas pronto.

⚠️ Sé que esto es feo, pero mis conocimientos de PHP no son tan buenos y necesitaba una solución rápida porque este problema de seguridad permite a un atacante añadir una cuenta de administrador, descargar todo el contenido y luego eliminar a todos los demás usuarios.

  Fiscalía presenta acusación y pide 30 años de cárcel para Keiko Fujimori

Tu manera de manejar el requisito general de estar logueado para todo menos index.php es definitivamente el mejor enfoque que comprobar los archivos individuales. ¿Has probado si se rompe la aplicación en alguna parte? Lo único que no me gusta es que necesitamos dos versiones del sys.includes.php, deberíamos resolverlo de otra manera a largo plazo.

Yo tenía la misma preocupación con respecto a los dos archivos sys.includes.php diferentes. Traté de comprobar si el código se ejecuta en el contexto index.php para que sólo tengamos que mantener un archivo, pero no tuve éxito (realmente no soy un experto en PHP) y sólo tenía poco tiempo para asegurar nuestro servicio.