Aller au contenu

-->

107 thèmes et plugins WP qui craignent

Vous avez sans doute entendu parler il y a quelques mois de la faille « timthumb » que l’on trouve dans beaucoup de thèmes et plugins WP.
Timthumb.php est un fichier qui génère des vignettes à la volée. Très pratique pour afficher en accueil un aperçu des articles, par exemple. De très nombreux thèmes l’utilisent.
Le souci, c’est que ce fichier contenait une faille de sécurité qui permet à n’importe qui d’exécuter du code sur votre serveur. Donc prendre le contrôle de votre site. Complètement.

Pire: même si votre thème actif n’utilise pas timthumb, il suffit que le script soit sur votre blog (par exemple un ancien thème que vous n’utilisez plus, qui n’est plus mis à jour…)
Les solutions ?
Mettre à jour systématiquement les thèmes et plugins est déjà une bonne chose. Mais il existe des thèmes commerciaux dont la mise à jour n’est pas automatique, et des thèmes qui ne sont plus maintenus, bourrés de failles, qui ne seront jamais à jour…

Pire… Il existe des scanners de faille que n’importe quel script kiddie peut utiliser, qui recherchent les vulnérabilités de votre blog. Ce matin encore, j’ai eu une floppée d’alertes sur un de mes blogs : c’était justement un de ces scanners, qui cherche spécifiquement les fichiers de type timthumb, qui se baladait sur mon blog…

J’ai donc relevé les logs de ce charmant enfoiré, et voici la liste des fichiers qu’il recherchait :
/wp-content/themes/8q/scripts/timthumb.php
/wp-content/themes/aerial/lib/timthumb.php
/wp-content/themes/aesthete/timthumb.php
/wp-content/themes/albizia/includes/timthumb.php
/wp-content/themes/aqua-blue/includes/timthumb.php
/wp-content/themes/amphion-lite/script/timthumb.php
/wp-content/themes/aranovo/scripts/timthumb.php
/wp-content/themes/arras/library/timthumb.php
/wp-content/themes/arthemix-bronze/scripts/timthumb.php
/wp-content/themes/arras-theme/library/timthumb.php
/wp-content/themes/arthemix-green/scripts/timthumb.php
/wp-content/themes/artisan/includes/timthumb.php
/wp-content/themes/a-simple-business-theme/scripts/timthumb.php
/wp-content/themes/a-supercms/timthumb.php
/wp-content/themes/aureola/scripts/timthumb.php
/wp-content/themes/aurorae/timthumb.php
/wp-content/themes/autofashion/thumb.php
/wp-content/themes/automotive-blog-theme/Quick%20Cash%20Auto/timthumb.php
/wp-content/themes/automotive-blog-theme/timthumb.php
/wp-content/themes/bikes/thumb.php
/wp-content/themes/black_eve/timthumb.php
/wp-content/themes/bloggnorge-a1/scripts/timthumb.php
/wp-content/themes/blex/scripts/timthumb.php
/wp-content/themes/blogified/timthumb.php
/wp-content/themes/bluemag/library/timthumb.php
/wp-content/themes/blue-corporate-hyve-theme/timthumb.php
/wp-content/themes/blue-news/scripts/timthumb.php
/wp-content/themes/bombax/includes/timthumb.php
/wp-content/themes/breakingnewz/timthumb.php
/wp-content/themes/brightsky/scripts/timthumb.php
/wp-content/themes/brochure-melbourne/includes/timthumb.php
/wp-content/themes/business-turnkey/assets/js/timthumb.php
/wp-content/themes/calotropis/includes/timthumb.php
/wp-content/themes/coffee-lite/thumb.php
/wp-content/themes/comet/scripts/timthumb.php
/wp-content/themes/conceditor-wp-strict/scripts/timthumb.php
/wp-content/themes/constructor/layouts/thumb.php
/wp-content/themes/constructor/libs/timthumb.php
/wp-content/themes/constructor/timthumb.php
/wp-content/themes/coverht-wp/scripts/timthumb.php
/wp-content/themes/cover-wp/scripts/timthumb.php
/wp-content/themes/dark-dream-media/timthumb.php
/wp-content/themes/deep-blue/timthumb.php
/wp-content/themes/diamond-ray/thumb.php
/wp-content/themes/delicate/thumb.php
/wp-content/themes/digitalblue/thumb.php
/wp-content/themes/dieselclothings/thumb.php
/wp-content/themes/dimenzion/timthumb.php
/wp-content/themes/epione/script/timthumb.php
/wp-content/themes/evr-green/scripts/timthumb.php
/wp-content/themes/famous/megaframe/megapanel/inc/upload.php
/wp-content/themes/famous/timthumb.php
/wp-content/themes/fashion-style/thumb.php
/wp-content/themes/featuring/timthumb.php
/wp-content/themes/fliphoto/timthumb.php
/wp-content/themes/flix/timthumb.php
/wp-content/themes/fordreporter/scripts/thumb.php
/wp-content/themes/freeside/thumb.php
/wp-content/themes/fresh-blu/scripts/timthumb.php
/wp-content/themes/go-green/modules/timthumb.php
/wp-content/themes/granite-lite/scripts/timthumb.php
/wp-content/themes/greydove/timthumb.php
/wp-content/themes/greyzed/functions/efrog/lib/timthumb.php
/wp-content/themes/gunungkidul/thumb.php
/wp-content/themes/heartspotting-beta/thumb.php
/wp-content/themes/heli-1-wordpress-theme/images/timthumb.php
/wp-content/themes/ideatheme/timthumb.php
/wp-content/themes/impressio/timthumb/timthumb.php
/wp-content/themes/introvert/thumb.php
/wp-content/themes/isotherm-news/thumb.php
/wp-content/themes/inuit-types/thumb.php
/wp-content/themes/iwana-v10/timthumb.php
/wp-content/themes/jambo/thumb.php
/wp-content/themes/jcblackone/thumb.php
/wp-content/themes/kratalistic/thumb.php
/wp-content/themes/likehacker/timthumb.php
/wp-content/themes/life-style-free/thumb.php
/wp-content/themes/litepress/scripts/timthumb.php
/wp-content/themes/loganpress-premium-theme-1/thumb.php
/wp-content/themes/magazine-basic/thumb.php
/wp-content/themes/magup/timthumb.php
/wp-content/themes/make-money-online-theme-1/scripts/timthumb.php
/wp-content/themes/make-money-online-theme-2/scripts/timthumb.php
/wp-content/themes/make-money-online-theme-3/scripts/timthumb.php
/wp-content/themes/make-money-online-theme-4/scripts/timthumb.php
/wp-content/themes/make-money-online-theme/scripts/timthumb.php
/wp-content/themes/meintest/layouts/thumb.php
/wp-content/themes/mobilephonecomparision/thumb.php
/wp-content/themes/moi-magazine/timthumb.php
/wp-content/themes/my-heli/images/timthumb.php
/wp-content/themes/mymag/timthumb.php
/wp-content/themes/mystique/extensions/auto-thumb/timthumb.php
/wp-content/themes/nash/theme-assets/php/timthumb.php
/wp-content/themes/neofresh/timthumb.php
/wp-content/themes/new-green-natural-living-ngnl/scripts/timthumb.php
/wp-content/themes/newspress/thumb.php
/wp-content/themes/pearlie/scripts/timthumb.php
/wp-content/themes/pico/scripts/timthumb.php
/wp-content/themes/postage-sydney/includes/timthumb.php
/wp-content/themes/premium-violet/thumb.php
/wp-content/themes/neo_wdl/includes/extensions/thumb.php
/wp-content/themes/zcool-like/uploadify.php
/wp-content/themes/Karma/timthumb.php
/wp-content/themes/snapshot/functions/thumb.php
/wp-content/themes/blogtheme/functions/thumb.php
/wp-content/plugins/rent-a-car/libs/timthumb.php
/wp-content/plugins/islidex/js/timthumb.php

Qu’en faire ?
Je ne vais pas parler des mauvaises utilisations de cette liste, ni vous apprendre ce qu’est un honeypot:
ceux qui pratiquent savent se débrouiller tout seul, je ne les aiderait pas ;-)

Vérifiez donc si vous avez un de ces fichiers sur vos blogs.
Vous pouvez utiliser une recherche sur le nom de fichier, ou bien ajouter votre nom de domaine au début de chaque ligne et tester les 404 avec un outil automatisé.

Si vous avez un de ces fichiers, il y a de très fortes chances que ce soit dans une version vulnérable, et votre blog est donc une passoire: ce n’est qu’une question de temps avant qu’il ne se fasse hacker.
Ne remettez pas cela à plus tard: je ne vous dis pas celà pour vous faire peur ou pour vous vendre une potion (ou un plugin) miracle.
Il s’agit d’un vrai problème immédiat et critique qui peut vous rendre complice de distribution de malware, détruire votre site ou le faire blacklister.

Amis autoblogueurs, propriétaires de nombreux sites de communiqués de presse aux thèmes anciens et jamais à jour, je vous plains: bon courage !

Voir également:

  • www ventes-privees-usa/wp-admin
  • albizia theme wordpress gratuit
  • /wp-content/themes/delicate/timthumb php
  • www ventes-privees-usa com/wp-admin
  • faille timthumb php
  • vérifier theme wordpress
  • patch français arras theme
  • erreur 404 timthumb
  • thème karma recherche systématiquement des mises àjour
  • faille fichier timthumb php

Le 23 mars 2012 dans Thèmes WP

Taggé avec , , , , .


37 Réponses

  1. Ethno Urban ☠ a dit

    WP: 107 thèmes et plugins WP qui craignent http://t.co/YG6KOxye

  2. Ethno a dit

    Pas mal d’avoir répertorié ce que tu as trouvé.

    Je pense qu’il y en a d’autres… mais bon un homme (ou une femme) avertis en vaut deux comme on dit.

    • Sylvain (admin) a dit

      Oh que oui, merci de le rappeller, cette liste est tout sauf exhaustive !

  3. Patrice COUTURIER a dit

    107 thèmes et plugins WP qui craignent http://t.co/QFIFsgys

  4. Soul a dit

    find /home |grep thumb.php
    Aie, je me retrouve avec des thèmes payant ou il y a ça, il n’y a pas de patchs?

  5. Pascal a dit

    Effectivement, la faille timthumb ou thumb est (était) une faille, pas seulement sur wordpress. J’en avais fait un billet sur mon blog.
    Il suffit de remplacer le fichier timthumb.php existant par sa derniere version, que l’on peut trouver ici:
    http://timthumb.googlecode.com/svn/trunk/timthumb.php

    Cordialement
    Pascal

  6. hermes a dit

    merci !
    seras rajouter a mon fichier robot.txt..

  7. hermes a dit

    solution au vilain curieux !

    Disallow: /wp-content/cache/
    Disallow: /wp-content/themes/
    Disallow: /wp-content/plugins/
    Disallow: /wp-admin/
    Disallow: /wp-includes/
    Disallow: /wp-login.php

    • Sylvain (admin) a dit

      ça, dans un robots.txt, ça déconseille aux robots de parcourir (et donc d’indexer) le contenu des répertoires,
      mais ça n’empechera pas le scan des urls comme ce que j’ai subi.
      Et là, rien à faire. Si on bloque le script, ou l’accès aux répertoires plugins et/ou thèmes, le blog ne marche plus.
      La seule solution est de n’avoir que le strict minimum, et de le maintenir à jour.

  8. sharlien a dit

    merci pour cette info fort precieuse, je comprend mieux par ou ils sont rentré il y a quelque temps

  9. Bazar a dit

    Tu m’as appris bien des choses avec cet article ! J’ai déjà reçu quelques mails de mes hébergeurs US pour ce genre de choses qu’ils corrigent parfois d’eux-même.

    Je vais tout nettoyer et me contenter, comme tu le dis, du strict minimum à jour :/

  10. Patrick a dit

    Bonjour Sylvain,

    Pour ma part, j’ai trouvé un plugin gratuit « TimThumb Vulnerability Scanner » que tu installes sur ton blog, ensuite dans les outils tu lances un ‘scan’ et si il trouve une vulnérabilité, non seulement il te le signale, mais en plus d’un clic on peut mettre le script avec sa faille à jour.

    Chaque fois que j’ajoute un thème ou qu’un thème se met à jour, je relance un scan juste pour m’assurer que cette faille ne revienne pas.

    http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/

    Patrick

    • Sylvain (admin) a dit

      Merci Patrick;

      En effet, j’avais déjà croisé ce plug.
      Il ne traite que timthumb, mais à priori fait bien son boulot.

      Merci !

  11. kevin a dit

    c’est vrai que c’est pas top top comme faille ! c’est pas normal que sur wordpress on trouve encore ce genre d’erreurs!

    • Sylvain (admin) a dit

      Ce n’est pas une faille ni une erreur de wordpress: c’est une faille dans un script tiers, que certains développeurs de thème ont intégré par facilité dans leur thème.

  12. Joana a dit

    Salut,

    Géniale cette liste ! Même si je fais partie des personnes qui ne savent absolument pas l’exploiter, je connais quelqu’un qui pourra m’aider haha =)

    Merci beaucoup !

  13. Anonyme a dit

    Très sympa cet article, il va falloir l’agrandir encore et encore :)

  14. RenardBlanc a dit

    Pas mal comme faille et après toute ses tentative et attaque du mois de mars ça ma forcer a vérifier tout mes blog.
    j’en avais un avec une mise a jour foirer et j’avais délaisser mes scripte de protection
    résultat 15 jours de combat acharner pour nettoyer tout ça.
    me reste encore un blog a mettre a jour ou le doffolow a disparue malgré wp avalanche ou noffolow free.

    Sinon quand ont s’occupe bien de ses serveur y-a aussi crawltrack.net avec ses deux script de protection qui reste très efficace une fois bien régler

    • Sylvain (admin) a dit

      le coup du nofollow dans le scommentaires, ça peut être le thème lui même qui utilise son propre code plutot que celui de WP, et qui a un nofollow en dur.

  15. agnieszka a dit

    Toujours bien vérifier le code d’un template gratuit. Et ce pas seulement pour worpress mais quel que soit le cms utilisé.

    • Sylvain (admin) a dit

      Ouaip, mais vraiment vérifier demande des compétences que peu d’utilisateurs ont.
      Timthumb en est un cas typique, utilisé même dans des thèmes payants.
      Idem avec n’importe quel fichier javascript qui peut être appelé depuis un autre site… et se réveler être malicieux plus tard.

  16. Edouard - Intégrateur freelance a dit

    Aie, j’étais pas au courant de cette faille. Je viens donc de vérifier mes thèmes et quelle surprise, je trouve ce fichier timthumb.php sur 3 d’entres eux.
    En tout cas mieux vaut être au courant tard, que jamais.

  17. Florian G. a dit

    Faille "Timthumb" 107 thèmes et plugins WP qui craignent http://t.co/mS1ROyTK assurez-vous que vous n'utilisez pas ces thèmes !

  18. Maxime a dit

    Merci pour ce partage d’information indispensable ! C’est toujours bon d’être au courant !!

  19. Jack Matgui a dit

    C’est pratique merci !
    Vraiment cool les publications dans ce blog :)

  20. Kidam a dit

    Bigre c’est la malle aux trésors. Depuis le début de cet après-midi je surf dans ce site et j’y trouve effectivement des trésors. Merci Sylvain

    • Sylvain (admin) a dit

      Merci à toi,

      ça fait toujours plaisir !

  21. Gautier Pern a dit

    C’est bon à avoir sous la main. Merci !

  22. LaurentB a dit

    J’avais eu vent de cette faille, mais je ne me doutais pas de son étendue.
    Pour les fans de thèmes gratuits, je conseille de checker avec http://wordpress.org/extend/plugins/tac/

  23. Kiwiweb a dit

    La meilleure des solutions pour se protéger de ce genre de truc ! arrêtez de bourrer son wordpress de thème complètement inutile

    • Sylvain (admin) a dit

      @kiwiweb : Oui, mais non !

      Là j’ai mis une liste de thèmes scannés par un bot, qui n’étaient pas sur mon wp.
      Il suffit d’un seul thème (celui qu’on utilise) avec un bout de code tordu, et c’est la cata.
      Ici, il s’agit de timthumb, qui permet d’afficher des miniatures sur l’accueil par exemple. C’est une fonctionnalité répandue et demandée, et bien d’autres thèmes que ceux cités, même en « premium » l’utilisent encore, pas forcément dans des versions sures.
      Plus un thème aura de fonctions non natives à WP, et plus il y aura de risques.

  24. Rodrigues a dit

    Merci pour les détaille pour ces thèmes magnifique.

    • Sylvain (admin) a dit

      Bon,

      J’en ai marre des commentaires à la con.
      Vous n’imaginez pas combien de commentaires bidon (bien que plus ou moins bien thématisés) j’ai du filtrer pour cet article.
      Je ferme les commentaires.

  25. Amah Abaglo a dit

    107 thèmes et plugins WP qui craignent http://t.co/inRd3mA9 – #Wordpress #plugin #CMS

  26. Web sur Marne a dit

    107 thèmes et plugins WP qui craignent http://t.co/inRd3mA9 – #Wordpress #plugin #CMS