Le plugin WordPress IGIT Related Posts vulnérable à une attaque phpRemoteView [TimThumb]


Si comme moi vous avez installé le plugin WordPress « Related Posts » de IGIT, vous devez problablement avoir été hacké.  Cela commence par le flux RSS qui affiche une erreur du style comme celle-ci :

erreur flux RSS


Et puis en allant sur index.php (page accueil de son blog), on voit une injection de code « superpuperdomain » :

attaque timthumb

Un début d’explication vient d’être posté ici sur les forums de support de WordPress.org : http://wordpress.org/support/topic/attention-igit-related-posts-with-thumb-image-after-posts-phpremoteview-attack?replies=3

En fait ce n’est pas le plugin lui-même mais le fait qu’il fasse appel au fichier timthumb.php vulnérable à une faille critique récemment découverte et qui pourrait affecter des millions de blogs wordpress.org.

Solution :

Effacer complètement le plugin. Vérifier tous les fichiers pour voir s’il n’y a pas du code étranger et éventuellement réinstaller WordPress. Vérifier index.php et effacer les deux fichiers étrangers files ‘common.php’ et ‘udp.php’ dans le répertoire wp-admin.

  • Steve Mindsix

    Il faut aussi mettre à jour le fichier timthumb.php en le remplaçant par sa version non compromise.

    http://timthumb.googlecode.com/svn/trunk/timthumb.php

    Certains suggères également d’éditer ceci :

    $ALLOWED_SITES = array (
    ‘flickr.com’,
    ‘picasa.com’,
    ‘img.youtube.com’,
    ‘upload.wikimedia.org’,
    ‘photobucket.com’,
    ‘imgur.com’,
    ‘imageshack.us’,
    ‘tinypic.com’
    );

    Pour cela :

    $ALLOWED_SITES = array ();

  • Vincent Abry

    J’avais vérifié mon installation mais le truc c’est que je n’avais pas vu que ce plugin utilisait timthumb ;-0(

  • Thierry

    j’ai eu une alerte de ce genre sur mes thèmes éléganthemes
    cf http://www.connectware.biz/migrer-un-theme-elegantthemes

    ps: j’ai déjà posté ce commentaire, mais il semble que ton site a planté entre temps!