脆弱性のあるTimThumbスクリプト利用のWordPressテーマ を改善する3つの方法とは?

スポンサーリンク

先ほど、私が利用しているレンタルサーバーから緊急メールが届きました。どうやらサイトが乗っ取られる可能性が高い「Thumbスクリプト」の古いバージョンを利用しているらしいのです。では脆弱性のあるTimThumbスクリプト利用のWordPressテーマを改善する3つの方法とは?

image

WordPressにおける致命的な脆弱性を含む可能性があるファイルの検知

思わずドキッとさせられました。私がお世話になっているのは、Xseverですが、親切にも、今朝上記のような重要なメールが届きました。件名は「【重要】Xserver お客様が運用中のWordPressにおける致命的な脆弱性を含む可能性があるファイルの検知について」というもので何やら穏やかならぬご指摘です。

脆弱性の内容については、「WordPress TimThumb スクリプトの脆弱性」とうもので、兼ねてから指摘されていた問題のようです。詳しい問題は、参照されていたJPCERT コーディネーションセンター Weekly Reportで以下のように知らされています。

WordPress で使用されている PHP スクリプト TimThumb には、脆弱性があります。結果として、遠隔の第三者が任意の PHP コードをサイトにアップロードする可能性があります。対象となるバージョンは以下の通りです。
– TimThumb 2.0 より前のバージョン
この問題は、配布元が提供する修正済みのバージョンに TimThumb を更新することで解決します。詳細については、配布元が提供する情報を参照してください。

TimThumbというのは、画像を自動補正するスクリプトで多くの無料のWPテーマに利用されているようです。どうやら2.0以前のバージョンのTimThumbを利用している数多くのサイトが不正なPHPプログラムをアップロードされ、サイトが改ざんされたようです。恐ろしいですね。

スポンサーリンク

3つの改善策

さて、Xserverからの詳しいご指摘は、私のIDで利用ししている2つのサイトで利用しているWordPress内のテーマ「suffusion」で利用されている TimThumbスクリプトに問題があったようです。しばらく放置していたので、かなり古いバージョンになっていました。同メールによると以下の3つの改善策が指摘。

————————————————————
【1】TimThumbスクリプトが「現在使用していないテーマ」に含まれる場合
————————————————————
該当テーマのアンインストール(削除)をお勧めいたします。
————————————————————
【2】TimThumbスクリプトを利用しているテーマの配布元が、
脆弱性に対応したバージョンを提供している場合
————————————————————
該当テーマの最新版へのアップデートをお勧めいたします。
※配布元によっては独自にセキュリティ対策を行っている場合が
ございますので、配布元の提供する情報をご確認ください。
————————————————————
【3】上記に該当しない場合や個別対応を行う場合
————————————————————
専用のプラグインを用いてTimThumbスクリプトの設置状況確認および
最新化を推奨いたします。

まず、3番目の改善策を実行していみました。「Timthumb Vulnerability Scanner」というプラグインをhttp://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/からダウンロードして、有効化します。

次にWPの管理画面の[ツール]メニューから[Timthumb Scanner]へ。スキャンの実行です。どうやらテーマだけはなく別のプラグインにもTimthumbスクリプトが利用されていたようです。しかし、以下のバージョンは2.8なので大丈夫。

image

次に1番目の方法です。問題のあるTimThumbスクリプトを利用しているテーマ「suffusion」のサイトは1年以上も放置していました。そのサイトは今や使っていませんので、テーマを更新するより、その古いバージョンのテーマ「suffusion」をFFFTPで削除しました。

image

教訓

WordPressがいかに素晴ら無料のコンテンツ管理ツールだとは言え、よからぬ輩たちによって悪用されるは常のようです。今回学べる教訓は、以下の2つです。

  • テーマやプラグインは常に更新する
  • サイトを放置しない

それにしても、Xserveの管理者たちは親切だな~!助かります。

スポンサーリンク

フォローする

関連記事