WordPress插件漏洞致数万网站被黑

Sucuri的安全专家报道，由于WP移动探测器，一个应用广泛的插件中存在的漏洞导致越来越多的WordPress设备已经被黑客利用。而且，令人担忧的消息是在野外被威胁者利用的漏洞仍然没有修复补丁可用。

Sucuri的专家称，黑客主要利用在WP移动探测器插件中的这个漏洞进行安装和色情有关的垃圾邮件脚本。

自从该漏洞被披露之后，这个插件已经从官方的WordPress插件目录中被删除了。

“我们的研究团队开始深入研究问题，发现在这些WordPress网站中有一个共同点，那就是WP移动探测器的插件中，有一个在5月31日被披露的任意文件上传的0-day漏洞。这个插件已经从WordPress插件商店中被移除了。同时，此插件目前还没有可用的补丁。”，Sucuri发布的一篇博客文章中报道。“这个漏洞是在5月31日被公开披露的，但是根据我们的防火墙日志，自从5月27日以来，攻击一直存在。”

据估计，这个插件已经被安装在了超过10000个活跃的设备上。而且它们中的大多数仍然容易受到网络攻击。

这个漏洞会导致该插件的输入验证失败，并允许攻击者提交任意恶意的PHP代码到服务器上。

“这个漏洞很容易利用”，Sucuri的报道说。“所有的攻击者需要做的只是向resize.php 或者 timthumb.php发送一个请求 ，然后即可将后门软件的URL放在插件的目录中。”

下面是我们检测到的一个攻击负载：

专家强调，由于没有修复补丁，这意味着，最好的方法是卸载这个带有漏洞的WP移动探测器插件。

“我们强烈建议大家删除这个插件。如果你真的需要这个插件，临时修复的方法是在wp移动目录或者缓存目录中禁用PHP执行，例如在.htaccess文件中使用下面这段代码。”

如何解决WordPress多站点不支持timthumb.php？

在使用wordpress主题的时候，因为timthumb基于安全问题，除了支持指定的几个网站的外链图片外，不支持其它任何外链图片；另一方面则是因为对本机图片地址的处理导致。那么如何解决WordPress多站点不支持timthumb.php？解决的方法很简单，仅需要增加支持的外链域名，和修改对机图片处理的代码即可。

1、编辑timthumb.php文件，找到以下代码（大概131行）

if(!isset($ALLOWED_SITES)){

$ALLOWED_SITES=array(

\'flickr.com\',

\'staticflickr.com\',

\'picasa.com\',

\'img.youtube.com\',

\'upload.wikimedia.org\',

\'photobucket.com\',

\'www.adminbuy.cn\',//新增加的域名

);

}

添加到您的域名到里面去即可。

2、在timthumb.php文件，找到以下代码（大概216行）：

$this->src=preg_replace(\'/https?:\\/\\/(?:www\\.)?\'.$this->myHost.\'/i\',\'\',$this->src);

把该行代码删除或注释掉即可。提示：这行代码的意思是“如果图片地址是本机的，则删除图片url中本机的域名部分”。

3、完成上面的操作，保存后，重新刷新网站页面图片就会显示了。

4、如果图裂了，请检测文件权限是否是755。