Бен Джиллбэнкс объявил о закрытии TimThumb

Один из популярных скриптов для изменения размеров изображений, известный как TimThumb, прекратил свое существование, о чем объявил один из его создателей, Бен Джиллбэнкс. В 2011 году TimThumb попал в заголовки новостей из-за найденной в нем крупной уязвимости безопасности, которая была использована для взлома нескольких сайтов.

«Обнаруженный эксплойт использовал баг с внешней функциональностью изменения размеров изображений, и, фактически, он мог применяться для закачки и выполнения файлов. Был код, который ограничивал загрузку файлов только для проверенных сайтов из белого списка, однако он оказался не слишком жестким, поэтому хакеры нашли способ инъекции php на сервер»

В 2009 году Джиллбэнкс рапортовал о том, что 95% коммерческих WordPress-тем поддерживают TimThumb. Несколько крупнейших компаний, создающих коммерческие темы, среди которых была и WooThemes, использовали этот скрипт в большинстве своих продуктов. Найденная уязвимость поставила под угрозу тысячи сайтов.

Эта уязвимость тяжким бременем легла на Джиллбэнкса, и стала одной из причин, почему он прекратил разработку.

«В 2010 году в скрипте был обнаружен крупный эксплойт и он повредил массу сайтов, включая и мой собственный. До сих пор остались люди, страдающие из-за этого. Я уже много лет чувствую себя виноватым за это, поэтому мой энтузиазм, связанный с TimThumb, упал до нуля.

Из-за отсутствия энтузиазма и страха вновь допустить ошибку я очень редко работал с кодом за эти годы»

Если вы используете TimThumb, Джиллбэнкс рекомендует удалить его и использовать что-то другое. Прекрасная альтернатива — WordPress TimThumb Alternative на GitHub. Созданный Мэтью Радди скрипт использует родные функции изменения размеров изображений в WordPress, подражая ресайзингу в TimThumb.

Источник: wptavern.com

Блог про WordPress
Комментарии: 5
  1. Антон

    На одном сайте стояла тема с поддержкой TimThumb. Об этом я узнал, когда надо было вылечить этот сайт и все сайты WP на аккаунте. После лечения, проблема возвращалась. Как только TimThumb был вырезан из кода, то проблема больше не возвращалась.

  2. Egor

    Из за ТимТумба некоторые антивирусы кричали о нахождении вируса на одном из моих проектов. Долго размышлял в чем же может быть проблема и как ее исправить. Но решилось все научным тыком и отключением большинства плагинов.

  3. Волшебник

    Альтернатива это хорошо, но ведь многие плагины и темы используют ТимТумб по прежнему…

    1. Дмитрий (автор)

      В этом и проблема, что теперь разработчикам этих тем придется переходить на альтернативы.

  4. Волшебник

    Многие хорошие темы и плагины заброшены давно.

Добавить комментарий для Egor Отменить ответ

Получать новые комментарии по электронной почте.