Vous avez sans doute entendu parler il y a quelques mois de la faille « timthumb » que l’on trouve dans beaucoup de thèmes et plugins WP.
Timthumb.php est un fichier qui génère des vignettes à la volée. Très pratique pour afficher en accueil un aperçu des articles, par exemple. De très nombreux thèmes l’utilisent.
Le souci, c’est que ce fichier contenait une faille de sécurité qui permet à n’importe qui d’exécuter du code sur votre serveur. Donc prendre le contrôle de votre site. Complètement.
Pire: même si votre thème actif n’utilise pas timthumb, il suffit que le script soit sur votre blog (par exemple un ancien thème que vous n’utilisez plus, qui n’est plus mis à jour…)
Les solutions ?
Mettre à jour systématiquement les thèmes et plugins est déjà une bonne chose. Mais il existe des thèmes commerciaux dont la mise à jour n’est pas automatique, et des thèmes qui ne sont plus maintenus, bourrés de failles, qui ne seront jamais à jour…
Pire… Il existe des scanners de faille que n’importe quel script kiddie peut utiliser, qui recherchent les vulnérabilités de votre blog. Ce matin encore, j’ai eu une floppée d’alertes sur un de mes blogs : c’était justement un de ces scanners, qui cherche spécifiquement les fichiers de type timthumb, qui se baladait sur mon blog…
J’ai donc relevé les logs de ce charmant enfoiré, et voici la liste des fichiers qu’il recherchait :
/wp-content/themes/8q/scripts/timthumb.php
/wp-content/themes/aerial/lib/timthumb.php
/wp-content/themes/aesthete/timthumb.php
/wp-content/themes/albizia/includes/timthumb.php
/wp-content/themes/aqua-blue/includes/timthumb.php
/wp-content/themes/amphion-lite/script/timthumb.php
/wp-content/themes/aranovo/scripts/timthumb.php
/wp-content/themes/arras/library/timthumb.php
/wp-content/themes/arthemix-bronze/scripts/timthumb.php
/wp-content/themes/arras-theme/library/timthumb.php
/wp-content/themes/arthemix-green/scripts/timthumb.php
/wp-content/themes/artisan/includes/timthumb.php
/wp-content/themes/a-simple-business-theme/scripts/timthumb.php
/wp-content/themes/a-supercms/timthumb.php
/wp-content/themes/aureola/scripts/timthumb.php
/wp-content/themes/aurorae/timthumb.php
/wp-content/themes/autofashion/thumb.php
/wp-content/themes/automotive-blog-theme/Quick%20Cash%20Auto/timthumb.php
/wp-content/themes/automotive-blog-theme/timthumb.php
/wp-content/themes/bikes/thumb.php
/wp-content/themes/black_eve/timthumb.php
/wp-content/themes/bloggnorge-a1/scripts/timthumb.php
/wp-content/themes/blex/scripts/timthumb.php
/wp-content/themes/blogified/timthumb.php
/wp-content/themes/bluemag/library/timthumb.php
/wp-content/themes/blue-corporate-hyve-theme/timthumb.php
/wp-content/themes/blue-news/scripts/timthumb.php
/wp-content/themes/bombax/includes/timthumb.php
/wp-content/themes/breakingnewz/timthumb.php
/wp-content/themes/brightsky/scripts/timthumb.php
/wp-content/themes/brochure-melbourne/includes/timthumb.php
/wp-content/themes/business-turnkey/assets/js/timthumb.php
/wp-content/themes/calotropis/includes/timthumb.php
/wp-content/themes/coffee-lite/thumb.php
/wp-content/themes/comet/scripts/timthumb.php
/wp-content/themes/conceditor-wp-strict/scripts/timthumb.php
/wp-content/themes/constructor/layouts/thumb.php
/wp-content/themes/constructor/libs/timthumb.php
/wp-content/themes/constructor/timthumb.php
/wp-content/themes/coverht-wp/scripts/timthumb.php
/wp-content/themes/cover-wp/scripts/timthumb.php
/wp-content/themes/dark-dream-media/timthumb.php
/wp-content/themes/deep-blue/timthumb.php
/wp-content/themes/diamond-ray/thumb.php
/wp-content/themes/delicate/thumb.php
/wp-content/themes/digitalblue/thumb.php
/wp-content/themes/dieselclothings/thumb.php
/wp-content/themes/dimenzion/timthumb.php
/wp-content/themes/epione/script/timthumb.php
/wp-content/themes/evr-green/scripts/timthumb.php
/wp-content/themes/famous/megaframe/megapanel/inc/upload.php
/wp-content/themes/famous/timthumb.php
/wp-content/themes/fashion-style/thumb.php
/wp-content/themes/featuring/timthumb.php
/wp-content/themes/fliphoto/timthumb.php
/wp-content/themes/flix/timthumb.php
/wp-content/themes/fordreporter/scripts/thumb.php
/wp-content/themes/freeside/thumb.php
/wp-content/themes/fresh-blu/scripts/timthumb.php
/wp-content/themes/go-green/modules/timthumb.php
/wp-content/themes/granite-lite/scripts/timthumb.php
/wp-content/themes/greydove/timthumb.php
/wp-content/themes/greyzed/functions/efrog/lib/timthumb.php
/wp-content/themes/gunungkidul/thumb.php
/wp-content/themes/heartspotting-beta/thumb.php
/wp-content/themes/heli-1-wordpress-theme/images/timthumb.php
/wp-content/themes/ideatheme/timthumb.php
/wp-content/themes/impressio/timthumb/timthumb.php
/wp-content/themes/introvert/thumb.php
/wp-content/themes/isotherm-news/thumb.php
/wp-content/themes/inuit-types/thumb.php
/wp-content/themes/iwana-v10/timthumb.php
/wp-content/themes/jambo/thumb.php
/wp-content/themes/jcblackone/thumb.php
/wp-content/themes/kratalistic/thumb.php
/wp-content/themes/likehacker/timthumb.php
/wp-content/themes/life-style-free/thumb.php
/wp-content/themes/litepress/scripts/timthumb.php
/wp-content/themes/loganpress-premium-theme-1/thumb.php
/wp-content/themes/magazine-basic/thumb.php
/wp-content/themes/magup/timthumb.php
/wp-content/themes/make-money-online-theme-1/scripts/timthumb.php
/wp-content/themes/make-money-online-theme-2/scripts/timthumb.php
/wp-content/themes/make-money-online-theme-3/scripts/timthumb.php
/wp-content/themes/make-money-online-theme-4/scripts/timthumb.php
/wp-content/themes/make-money-online-theme/scripts/timthumb.php
/wp-content/themes/meintest/layouts/thumb.php
/wp-content/themes/mobilephonecomparision/thumb.php
/wp-content/themes/moi-magazine/timthumb.php
/wp-content/themes/my-heli/images/timthumb.php
/wp-content/themes/mymag/timthumb.php
/wp-content/themes/mystique/extensions/auto-thumb/timthumb.php
/wp-content/themes/nash/theme-assets/php/timthumb.php
/wp-content/themes/neofresh/timthumb.php
/wp-content/themes/new-green-natural-living-ngnl/scripts/timthumb.php
/wp-content/themes/newspress/thumb.php
/wp-content/themes/pearlie/scripts/timthumb.php
/wp-content/themes/pico/scripts/timthumb.php
/wp-content/themes/postage-sydney/includes/timthumb.php
/wp-content/themes/premium-violet/thumb.php
/wp-content/themes/neo_wdl/includes/extensions/thumb.php
/wp-content/themes/zcool-like/uploadify.php
/wp-content/themes/Karma/timthumb.php
/wp-content/themes/snapshot/functions/thumb.php
/wp-content/themes/blogtheme/functions/thumb.php
/wp-content/plugins/rent-a-car/libs/timthumb.php
/wp-content/plugins/islidex/js/timthumb.php
Qu’en faire ?
Je ne vais pas parler des mauvaises utilisations de cette liste, ni vous apprendre ce qu’est un honeypot:
ceux qui pratiquent savent se débrouiller tout seul, je ne les aiderait pas 
Vérifiez donc si vous avez un de ces fichiers sur vos blogs.
Vous pouvez utiliser une recherche sur le nom de fichier, ou bien ajouter votre nom de domaine au début de chaque ligne et tester les 404 avec un outil automatisé.
Si vous avez un de ces fichiers, il y a de très fortes chances que ce soit dans une version vulnérable, et votre blog est donc une passoire: ce n’est qu’une question de temps avant qu’il ne se fasse hacker.
Ne remettez pas cela à plus tard: je ne vous dis pas celà pour vous faire peur ou pour vous vendre une potion (ou un plugin) miracle.
Il s’agit d’un vrai problème immédiat et critique qui peut vous rendre complice de distribution de malware, détruire votre site ou le faire blacklister.
Amis autoblogueurs, propriétaires de nombreux sites de communiqués de presse aux thèmes anciens et jamais à jour, je vous plains: bon courage !
Voir également:
- www ventes-privees-usa/wp-admin
- albizia theme wordpress gratuit
- /wp-content/themes/delicate/timthumb php
- www ventes-privees-usa com/wp-admin
- faille timthumb php
- vérifier theme wordpress
- patch français arras theme
- erreur 404 timthumb
- thème karma recherche systématiquement des mises àjour
- faille fichier timthumb php
WP: 107 thèmes et plugins WP qui craignent http://t.co/YG6KOxye
Pas mal d’avoir répertorié ce que tu as trouvé.
Je pense qu’il y en a d’autres… mais bon un homme (ou une femme) avertis en vaut deux comme on dit.
Oh que oui, merci de le rappeller, cette liste est tout sauf exhaustive !
107 thèmes et plugins WP qui craignent http://t.co/QFIFsgys
find /home |grep thumb.php
Aie, je me retrouve avec des thèmes payant ou il y a ça, il n’y a pas de patchs?
Yep, ceux qui ont un accès shell à leur serveur peuvent rechercher directement par nom de fichier.
Le patch, en gros, c’est limiter la source des images à son système de fichier, et interdire les urls.
Donc OK si on ne hotlinke pas d’images d’ailleurs.
tiens, je viens de retomber là dessus :
http://www.websitedefender.com/wordpress-security/timthumb-vulnerability-wordpress-plugins-themes/
Y’en a même plus que ceux que je liste ici… et c’est pas complet non plus.
Effectivement, la faille timthumb ou thumb est (était) une faille, pas seulement sur wordpress. J’en avais fait un billet sur mon blog.
Il suffit de remplacer le fichier timthumb.php existant par sa derniere version, que l’on peut trouver ici:
http://timthumb.googlecode.com/svn/trunk/timthumb.php
Cordialement
Pascal
merci !
seras rajouter a mon fichier robot.txt..
solution au vilain curieux !
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: /wp-content/plugins/
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-login.php
ça, dans un robots.txt, ça déconseille aux robots de parcourir (et donc d’indexer) le contenu des répertoires,
mais ça n’empechera pas le scan des urls comme ce que j’ai subi.
Et là, rien à faire. Si on bloque le script, ou l’accès aux répertoires plugins et/ou thèmes, le blog ne marche plus.
La seule solution est de n’avoir que le strict minimum, et de le maintenir à jour.
merci pour cette info fort precieuse, je comprend mieux par ou ils sont rentré il y a quelque temps
Tu m’as appris bien des choses avec cet article ! J’ai déjà reçu quelques mails de mes hébergeurs US pour ce genre de choses qu’ils corrigent parfois d’eux-même.
Je vais tout nettoyer et me contenter, comme tu le dis, du strict minimum à jour :/
Bonne résolution
Bonjour Sylvain,
Pour ma part, j’ai trouvé un plugin gratuit « TimThumb Vulnerability Scanner » que tu installes sur ton blog, ensuite dans les outils tu lances un ‘scan’ et si il trouve une vulnérabilité, non seulement il te le signale, mais en plus d’un clic on peut mettre le script avec sa faille à jour.
Chaque fois que j’ajoute un thème ou qu’un thème se met à jour, je relance un scan juste pour m’assurer que cette faille ne revienne pas.
http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/
Patrick
Merci Patrick;
En effet, j’avais déjà croisé ce plug.
Il ne traite que timthumb, mais à priori fait bien son boulot.
Merci !
c’est vrai que c’est pas top top comme faille ! c’est pas normal que sur wordpress on trouve encore ce genre d’erreurs!
Ce n’est pas une faille ni une erreur de wordpress: c’est une faille dans un script tiers, que certains développeurs de thème ont intégré par facilité dans leur thème.
Salut,
Géniale cette liste ! Même si je fais partie des personnes qui ne savent absolument pas l’exploiter, je connais quelqu’un qui pourra m’aider haha =)
Merci beaucoup !
Très sympa cet article, il va falloir l’agrandir encore et encore
Pas mal comme faille et après toute ses tentative et attaque du mois de mars ça ma forcer a vérifier tout mes blog.
j’en avais un avec une mise a jour foirer et j’avais délaisser mes scripte de protection
résultat 15 jours de combat acharner pour nettoyer tout ça.
me reste encore un blog a mettre a jour ou le doffolow a disparue malgré wp avalanche ou noffolow free.
Sinon quand ont s’occupe bien de ses serveur y-a aussi crawltrack.net avec ses deux script de protection qui reste très efficace une fois bien régler
le coup du nofollow dans le scommentaires, ça peut être le thème lui même qui utilise son propre code plutot que celui de WP, et qui a un nofollow en dur.
Toujours bien vérifier le code d’un template gratuit. Et ce pas seulement pour worpress mais quel que soit le cms utilisé.
Ouaip, mais vraiment vérifier demande des compétences que peu d’utilisateurs ont.
Timthumb en est un cas typique, utilisé même dans des thèmes payants.
Idem avec n’importe quel fichier javascript qui peut être appelé depuis un autre site… et se réveler être malicieux plus tard.
Aie, j’étais pas au courant de cette faille. Je viens donc de vérifier mes thèmes et quelle surprise, je trouve ce fichier timthumb.php sur 3 d’entres eux.
En tout cas mieux vaut être au courant tard, que jamais.
Faille "Timthumb" 107 thèmes et plugins WP qui craignent http://t.co/mS1ROyTK assurez-vous que vous n'utilisez pas ces thèmes !
Merci pour ce partage d’information indispensable ! C’est toujours bon d’être au courant !!
C’est pratique merci !
Vraiment cool les publications dans ce blog
Bigre c’est la malle aux trésors. Depuis le début de cet après-midi je surf dans ce site et j’y trouve effectivement des trésors. Merci Sylvain
Merci à toi,
ça fait toujours plaisir !
C’est bon à avoir sous la main. Merci !
J’avais eu vent de cette faille, mais je ne me doutais pas de son étendue.
Pour les fans de thèmes gratuits, je conseille de checker avec http://wordpress.org/extend/plugins/tac/
La meilleure des solutions pour se protéger de ce genre de truc ! arrêtez de bourrer son wordpress de thème complètement inutile
@kiwiweb : Oui, mais non !
Là j’ai mis une liste de thèmes scannés par un bot, qui n’étaient pas sur mon wp.
Il suffit d’un seul thème (celui qu’on utilise) avec un bout de code tordu, et c’est la cata.
Ici, il s’agit de timthumb, qui permet d’afficher des miniatures sur l’accueil par exemple. C’est une fonctionnalité répandue et demandée, et bien d’autres thèmes que ceux cités, même en « premium » l’utilisent encore, pas forcément dans des versions sures.
Plus un thème aura de fonctions non natives à WP, et plus il y aura de risques.
Merci pour les détaille pour ces thèmes magnifique.
Bon,
J’en ai marre des commentaires à la con.
Vous n’imaginez pas combien de commentaires bidon (bien que plus ou moins bien thématisés) j’ai du filtrer pour cet article.
Je ferme les commentaires.
107 thèmes et plugins WP qui craignent http://t.co/inRd3mA9 – #Wordpress #plugin #CMS
107 thèmes et plugins WP qui craignent http://t.co/inRd3mA9 – #Wordpress #plugin #CMS