Der RSS-Feed im WordPress-Dashboard erfüllt seinen Zweck! In der deutschen Version ist er ja ohnehin eingefügt, um alle aktuellen Einträge im WordPress-Deutschland-Blog zu listen. Der aktuellste Artikel handelt von einer sehr umfangreichen Lücke in sehr vielen WordPress-Themes. Mein Spongebob-Abend war nach lesen der Nachricht erstmal futsch. Aber lieber eine sichere WordPress-Installation als zwei Stunden Spongebob-Marathon. Also habe ich erstmal mit “find” gepiped an “grep” meinen Server nach der besagten timthumb.php-File und anderen thumb.php oder auch thumbs.php-Dateien durchsucht. Da ich mehrere “fremde” Blogs, zum Beispiel auch den vom Basti bei mir liegen habe, kann es schon mal sein, dass andere Sachen rauf und runterladen die ihnen selbst möglicherweise Schaden zufügen.

Das Problem an dem Spaß ist im Grunde, das es durchaus Themes gibt, die zwar solche Sachen wie Thumbnails anbieten, aber seit Ewigkeiten nicht mehr geupdated wurden. Unwissende User, die wirklich kaum einen Plan haben und von der Problematik nichts mitbekommen, sind im Endeffekt ein recht beliebtes Ziel. Ich habe mir die Mühe gemacht und alle timthumb und thumb-Dateien ausfindig gemacht und entsprechend geupdatet. Den Link zur aktualisierten Version findet ihr im Artikel “Sicherheitslücke in vielen Themes durch timthumb” auf wordpress-deutschland.org!

Wer genauere Informationen zur Ursache braucht, ist mit golem oder heise immer recht gut beraten. Auch in diesem Fall.

1 thought on “Lücke in WordPress-Themes durch Thumbnail-Script

Leave a Reply

Your email address will not be published.