安全提示:你的主题是否使用了自动缩略图脚本timthumb.php

发布时间:2020-05-05

timthumb.php 自动缩略脚本,可实现自动裁剪图片并生成缩略图,多用于wordpress杂志类型的主题,国外主题普遍采用该脚本自动生成缩略图,使用非常方便。不过最近,timthumb爆出了一个严重漏洞,黑客可以利用这个漏洞(大概是调用外部图像时验证上有缺陷而产生的漏洞),上传任意恶意程序到你的网站,而且作者的网站已被黑客入侵。

这是作者原文:Zero Day Vulnerability in many wordpress Themes。

那如何知道主题是否使用了自动缩略图timthumb.php脚本?可以打开所使用主题目录,查看是否有名称为timthumb.php或thumb.php文件及图片缓存文件夹cache,如果有,说明你所用的主题加载了该脚本,完全有可能被黑客所利用。

有网友提问HotNews Pro主题是否使用了timthumb.php脚本,热点新闻主题2.3版之前一直使用该脚本生成缩略图,之后的2.4、2.5、2.6就不再使用timthumb.php脚本,转而采用Wordpress自带的特色图像功能,生成本地上传图片的缩略图,而2.3版之前的主题已无法在WP3.1以后的程序中正常使用,所以HotNews Pro主题用户就不用担心这个漏洞了。

当然,如果发现你的主题使用了timthumb.php脚本,也不必大惊小怪,很多主题集成的timthumb.php脚本,都作了简化,并无调用外部图像的功能,因此也就不存在这个漏洞了。你也可以到这里下载timthumb.php脚本1.33最新替换主题中的脚本。

PS:虽然timthumb被爆有严重漏洞,但在我下一个主题中还将再次使用该脚本生成缩略图,因为Wordpress自带的特色图像功能感觉实在是鸡肋,下面是两者功能的对比:

timthumb脚本 wordpress自带的特色图像功能
是否支持外链 貌似只支持特定网站外链图片 不支持
是否有压缩功能 有,并可控制压缩比例 有,但不能控制压缩比例
单独存放缩略图 可以 不可以,只能与其它附件图片放在一起
是否可清除 可以并会再次自动生成不用担心缩略图会丢失 不可以,清除后不会再次生成
方便性 备份网站可不用备份缩略图,方便管理 备份网站必须同时备份缩略图并且会造成附件目录管理混乱

通过上面对比,timthumb.php 脚本在使用与功能上,要强于Wordpress自带的特色图像功能。

大熊wordpress凭借多年的wordpress企业主题制作经验,坚持以“为用户而生的wordpress主题”为宗旨,累计为2000多家客户提供品质wordpress建站服务,得到了客户的一致好评。我们一直用心对待每一个客户,我们坚信:“善待客户,将会成为终身客户”。大熊wordpress能坚持多年,是因为我们一直诚信。我们明码标价(wordpress做网站需要多少钱),从不忽悠任何客户,我们的报价宗旨:“拒绝暴利,只保留合理的利润”。如果您有网站建设、网站改版、网站维护等方面的需求,请立即咨询右侧在线客服或拨打咨询热线:18324743309,我们会详细为你一一解答你心中的疑难。

相关文章

写给所有做网站的朋友的一封信

写给所有做网站的朋友的一封信

现在就开始执行“1+N”互联网推广和没有开始执行的人,一两天看不出任何区别; 一两个月看来差异也是微乎其微的;但在2-5年的长远时间来看的时候,你的高质量询盘不断增加,你的互联网资产已经建立完成,对手已经很难匹敌,现在你看到这段文字的时候就是最好的开始,现在就是最好的时候,马上开始“1+N”体系的整体互联网推广吧,我们和你一起,开创互联网大未来!

点击查看详情

准备开启WordPress网站建设推广?

我们相信高端漂亮的网站不应该是昂贵的,这就是wordpress对每个人都是免费的原因
wordpress建站免费入门,并提供价格合理的wordpress建站套餐。