Veel WordPress thema’s maar ook andere systemen maken gebruik van het script timthumb. Met dit script is het mogelijk om afbeeldingen te verkleinen en te snijden zodat het netjes op een website past. Dit gaat automatisch en daardoor kan het zijn dat je nog niet van de naam timthumb gehoord hebt. Toch is het belangrijk om te controleren of je dit bestand hebt. Recent is een veiligheidslek gevonden in dit script waarmee ongeoorloofd toegang tot je bestanden verkregen kan worden.
De oplossing
Helaas kost het wel wat werk maar je moet in alle bestanden die in de WordPress map staan zoeken naar de tekst “TimThumb by” (zonder de aanhalingstekens). Het makkelijkste is om de bestanden naar je computer te downloaden en vervolgens de lokale zoekmachine te gebruiken. Het is mogelijk dat het bestand timthumb.php heet maar het kan ook een andere naam hebben. Ook kan het zijn dat je maar één bestand vind of meerdere. Elke plugin of thema kan een bestand met timthumb bevatten. Als je het bestand gevonden hebt dan moet je in het bestand zoeken naar de volgende term (merk op dat het woord false ook een andere waarde kan hebben):
if(WEBSHOT_ENABLED){
Zorg er voor dat de term zo is ingesteld:
if(WEBSHOT_ENABLED && 1 != 1){
Dit zet de functie webshot uit en daardoor kunnen aanvallers uw applicatie niet aantasten. Standaard staat dit uit maar met deze oplossing zet je webshot volledig uit. Thema’s kunnen kiezen om dit standaard aan te zetten. Helaas kan dit er voor zorgen dat bepaalde elementen op uw website niet naar behoren functioneren. Daarom raad ik aan om de website van de ontwikkelaars in de gaten te houden waar de ontwikkelaars waarschijnlijk een melding plaatsen als de bug opgelost is. In dat geval kan u het bestand downloaden en op uw website plaatsen.