Timthumb fortsätter, trots att det var flera månader sedan felen upptäcktes, att ställa till med elände för WordPress-sajter där ägarna inte är tillräckligt uppmärksamma eller intresserade av webbsäkerhet. Jag kan förstå det om privatpersoner som har skaffat en WordPress-blogg inte är så säkerhetsmedvetna, men att företag som Kontorsfixarna inte håller bättre koll på sina sajter tycker jag är rätt remarkabelt.
Idag har jag hjälpt en kompis att städa bort diverse skräp från tre olika sajter som ligger hos samma webbhotell. Och det var inte nådigt vad mycket elände som låg där, allt på grund av ouppdaterade Timthumb-script.
På en av sajterna låg en till synes oskyldig fil i webbrooten med det officiellt WordPress-klingande namnet wp-signin.php. En fil som verkligen inte gjorde mycket för att dölja vad den var till för. Tvärtom faktiskt. Den rentav skröt om vad den skulle användas till:
Det filen framför allt gjorde, var att skjuta in viagra-länkar i innehållet på bloggen, men bara när Google kom på besök, på samma sätt som eländet som Miljöpartiet och många andra WordPress-sajter råkade ut för i höstas.
Dessutom hittade vi, i den skrivbara katalogen /wp-content/uploads/ filer som påstod sig vara cache-filer, men som i själva verket innehöll en massa base64-kod. Allt för att dölja liknande aktiviteter.
Det kan vara riktigt bökigt att bli av med den här sortens insmuget skräp från en WordPress-installation, men det är väldigt enkelt att hålla koll på om det dyker upp på bloggen. Den som bara har en sajt att hålla reda på bör ta till vana att titt som tätt googla efter liknande innehåll på sin sajt (det syns bara på Google eftersom det bara är Google som får innehållet med viagra-länkar). Sökningen ser ut så här: site:dindomän.se viagra OR cialis OR levitra där du byter ut dindomän.se mot din egen domän.
Om du har många domäner att hålla reda på kan du faktiskt ta hjälp av Google för att bevaka dessa. @RobertBirming tipsade om en utmärkt bloggpost i ämnet, från Blogstorm. I och med att det bara är Google som får se det inskjutna innehållet, så är det främst Google som kan användas som bevakningsverktyg här. Som tur var är det väldigt lätt att göra.
Gå till Google Alerts, och gör samma sökning som ovan, så får du ett mail varje gång Google hittar liknande skräp på din blogg. Sätt upp en varning för varje sajt du ansvarar för.
När varningen sedan väl kommer så handlar det om att städa upp i WordPress-installationen. Jag har nu stött på ett tiotal olika hack som påminner om varandra och det de alla har gemensamt är att det är Timthumb som har släppt in spammarna på sajten. Det enda helt säkra sättet att bli av med skiten är att först säkerställa att alla plugins är uppdaterade, att Timthumb är säkrat, och att sedan säkerhetskopiera alla plugins, bilder och databasen och sedan blåsa ren sin WordPress-installation helt och hållet.
I nästa steg tycker jag att man ska överväga säkrare hosting, och överväga att anlita någon (som t.ex. Hippies) för att ta hand om applikationsförvaltning, ifall kompetensen saknas inom företaget.
