Meteen naar de inhoud

WordPress beveiliging: Pas op met oude themes!

WordPress beveiliging timthumbIk was begonnen aan een algemeen artikel over de beveiliging van je WordPress site. Dat artikel komt er ook binnenkort, maar er is één aspect dat ik er even uit wil pikken voor nu. Toen de website van een klant van mij gekraakt werd besefte ik pas hoe onduidelijk dit is voor de gemiddelde gebruiker.

 

Oudere WordPress themes maken soms gebruik van een Php bibliotheek genaamd ‘timthumb’. Deze bibliotheek werd (en wordt) gebruikt om afbeeldingen te verkleinen. Vooral in de tijd dat WordPress zelf nog geen functie had om een kleine afbeelding bij elk artikel te plaatsen werd dit script veel gebruikt in WordPress themes. Nu is er de ´post thumbnail´ of ´uitgelichte afbeelding´ die deze bibliotheek vaak overbodig maakt. Toch zijn er nog erg veel gebruikers van een ouder theme, waar ook een oudere versie van timthumb.php in voorkomt.

Op zich is het gebruik van timthumb niet gevaarlijk. Hoewel, nog beter is het om een theme te gebruiken waar het bestand niet in gebruikt wordt. Er is echter ook een nieuwere versie in omloop waar de fout waar hackers gebruik van maken niet meer in voorkomt. Maar gebruik je een oud theme, dan zit daar vaak ook een oude versie van timthumb in. En daarmee kan je website eenvoudig gekraakt worden!

Help! Wat kan ik doen?
Gelukkig kun je eenvoudig vaststellen of timthumb.php voorkomt in je WordPress installatie. Het kan ook niet anders of iemand heeft hier wel een plugin voor geschreven: de TimThumb Vulnerability Scanner. Hier werd ik op gewezen door Maximiliaan van Shanta Design, waarvoor dank. Het mooie van deze plugin is dat het je hele wp-content directory controleert op oude versies van de timthumb bibliotheek. En die kun je vervolgens upgraden naar een nieuwere versie. Maar pas op! Zorg wel eerst voor een goede backup voordat je een update uitvoert!

Natuurlijk is het ook mogelijk om handmatig te controleren op de aanwezigheid van timthumb.php. Soms heet het ding echter net iets anders, wat de zoektocht kan bemoeilijken. Een goede versie van timthumb.php kun je hier downloaden.

Tenslotte: de website van mijn klant werd gekraakt door de aanwezigheid van timthumb.php in een theme dat hij helemaal niet gebruikte. Zorg er dus voor dat je WordPress installatie ‘schoon’  blijft. Themes en plugins die je niet gebruikt altijd weer even verwijderen, dat verkleint de kans op dergelijke problemen.

Was dit artikel nuttig?

Laat het ons weten en geef je rating!

Gemiddeld 0 / 5. Aantal stemmen: 0

Nog geen stemmen, wees de eerste die dit artikel waardeert!

2 reacties op “WordPress beveiliging: Pas op met oude themes!”

  1. Beste Robbert,

    Tuininventaris.nl draait op een aangekocht theme met WordPress versie 3.2.1. Inmiddels is het theme geupdate naar 3.3 maar die van mezelf nog niet. Hoe kan ik zonder problemen mijn theme updaten zodat ik daarna ook WordPress zelf kan updaten naar de laatse versie?

    Compliment voor jouw boek!

    Alvast bedankt.

  2. Hallo Theo
    Bedankt voor je compliment!
    Je kunt het beste eerst WordPress updaten en daarna pas het theme.
    Maar verzeker je ervan dat je dit soort zaken eerst in een testomgeving uitvoert. En zelfs als het daar slaagt zorg er dan voor dat je hebt gecontroleerd dat je beschikt over een actuele backup van de database en de website zelf. Dan kun je altijd terug mocht het echt helemaal mis gaan. 98% vd gevallen gaan goed, maar je zult maar net tot die 2% behoren…

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *