Menutup Celah WordPress berplugins timthumb.php


 

Oke saya hanya mencoba sharing tentang judul di atas,langgsung saja. Sedikir penjelasan tetang apa itu plugin timthumb?

Timthumb adalah sebuah library yang fungsinya untuk resizing image. Timthumb digunakan secara luas oleh developer untuk membangun website yang paling umum digunakan adalah pada platform WordPress.
Timthumb mempunyai bugs atau celah yang rentan di manfaatkan oleh hacker untuk menembus website yang berbasi WordPress. Issue ini pertama kali ditemukan oleh Mark Maunder dan ditulis diblognya. Hal ini juga sudah di konfirmasi oleh pengembang Timthumb.
Celah yang di temukan adalah timthumb mengizinkan pihak ketiga untuk upload dan execute script PHP selama di direktori atau folder timthumb. Karena celah itulah attacker bisa memanfaatkan apapun yang diinginkan selama file timthumb ini belum di update.

terkadang si pelaku/peretas menggunakan menggunakan dork timthumb yang mudah di temukan di google dan melakukan scanning lewat bot di IRC yang mempunyai fasilitas bot scanner

Salah satu contoh celah tersebut berada pada :

[code]
http://target.com/wp-content/themes/namathemes/timthumb.php?src=[situs_remote_shell][/code]

Biasanya bawaan timthumb itu dari themes wordpress tersebut,dan terkadang gak selalu namanya “thimthumb.php” terkadang ada yang namanya thumb.php atau thumbopen.php,dan lain lain

Cara paling aman untuk melindungi WordPress atau site anda adalah dengan menghapus file timthumb.php. Yang jadi masalah adalah jika fitur resize ini sangat di butuhkan dalam website..So bagaimana caranya?
Pastikan anda menggunakan versi terakhir dari timthumb.php dan selalu chcek website TimThumb developer untuk segala update tentang TimThumb. Anda juga harus setting perintah ALLOW_EXTERNAL dengan nilai FALSE dan cari baris $allowedsites kemudian hapus nama domain yang ada di baris array tersebut.

Pastikan nilai ALLOW_EXTERNAL adalah false

seperti ini codenya

[code]
define( ‘ALLOW_EXTERNAL’, false );[/code]

Hapus nama domain pada $allowedsites , liat code dibawah

[code]$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
);[/code]

Dan code diatas diubah menjadi kayak gini

[code]
$allowedSites = array();[/code]

Finish.

Semoga dengan ini pengguna wordpress yang memakai plugins timthumb bisa terasa aman saat memakai plugins tersebut hanya dengan sedikit otak-atik dan sedikit edit code saja.

Fahmi

We’re still Pioneers, We Barely Begun. Our Greatest Accomplishments cannot be behind us, cause our destiny lies above us.

Leave a Reply