Бен Джиллбэнкс объявил о закрытии TimThumb

Дата публикации:Сентябрь 30, 2014

Один из популярных скриптов для изменения размеров изображений, известный как TimThumb, прекратил свое существование, о чем объявил один из его создателей, Бен Джиллбэнкс. В 2011 году TimThumb попал в заголовки новостей из-за найденной в нем крупной уязвимости безопасности, которая была использована для взлома нескольких сайтов.

«Обнаруженный эксплойт использовал баг с внешней функциональностью изменения размеров изображений, и, фактически, он мог применяться для закачки и выполнения файлов. Был код, который ограничивал загрузку файлов только для проверенных сайтов из белого списка, однако он оказался не слишком жестким, поэтому хакеры нашли способ инъекции php на сервер»

В 2009 году Джиллбэнкс рапортовал о том, что 95% коммерческих WordPress-тем поддерживают TimThumb. Несколько крупнейших компаний, создающих коммерческие темы, среди которых была и WooThemes, использовали этот скрипт в большинстве своих продуктов. Найденная уязвимость поставила под угрозу тысячи сайтов.

Эта уязвимость тяжким бременем легла на Джиллбэнкса, и стала одной из причин, почему он прекратил разработку.

«В 2010 году в скрипте был обнаружен крупный эксплойт и он повредил массу сайтов, включая и мой собственный. До сих пор остались люди, страдающие из-за этого. Я уже много лет чувствую себя виноватым за это, поэтому мой энтузиазм, связанный с TimThumb, упал до нуля.

Из-за отсутствия энтузиазма и страха вновь допустить ошибку я очень редко работал с кодом за эти годы»

Если вы используете TimThumb, Джиллбэнкс рекомендует удалить его и использовать что-то другое. Прекрасная альтернатива — WordPress TimThumb Alternative на GitHub. Созданный Мэтью Радди скрипт использует родные функции изменения размеров изображений в WordPress, подражая ресайзингу в TimThumb.

Источник: wptavern.com

Поделиться

5 комментариев

  1. Антон says:

    На одном сайте стояла тема с поддержкой TimThumb. Об этом я узнал, когда надо было вылечить этот сайт и все сайты WP на аккаунте. После лечения, проблема возвращалась. Как только TimThumb был вырезан из кода, то проблема больше не возвращалась.

  2. Egor says:

    Из за ТимТумба некоторые антивирусы кричали о нахождении вируса на одном из моих проектов. Долго размышлял в чем же может быть проблема и как ее исправить. Но решилось все научным тыком и отключением большинства плагинов.

  3. Альтернатива это хорошо, но ведь многие плагины и темы используют ТимТумб по прежнему…

    • Дмитрий Алёшин says:

      В этом и проблема, что теперь разработчикам этих тем придется переходить на альтернативы.

  4. Многие хорошие темы и плагины заброшены давно.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.