wordpress timthumb.php 自动缩略脚本,可实现自动裁剪图片并生成缩略图,多用于WordPress杂志类型的主题,国外主题普遍采用该脚本自动生成缩略图,使用非常方便。 不过最近,timthumb爆出了一个严重漏洞,黑客可以利用这个漏洞(大概是调用外部图像时验证上有缺陷而产生的漏洞),上传任意恶意程序到…

安全提示:主题是否使用了自动缩略图脚本timthumb.php
wordpress

timthumb.php 自动缩略脚本,可实现自动裁剪图片并生成缩略图,多用于WordPress杂志类型的主题,国外主题普遍采用该脚本自动生成缩略图,使用非常方便。

不过最近,timthumb爆出了一个严重漏洞,黑客可以利用这个漏洞(大概是调用外部图像时验证上有缺陷而产生的漏洞),上传任意恶意程序到你的网站,而且作者的网站已被黑客入侵。

那如何知道主题是否使用了自动缩略图timthumb.php脚本?

可以打开所使用主题目录,查看是否有名称为timthumb.php或thumb.php文件及图片缓存文件夹cache,如果有,说明你所用的主题加载了该脚本,完全有可能被黑客所利用。

有网友提问HotNews Pro主题是否使用了timthumb.php脚本,热点新闻主题2.3版之前一直使用该脚本生成缩略图,之后的2.4、2.5、2.6就不再使用timthumb.php脚本,转而采用Wordpress自带的特色图像功能,生成本地上传图片的缩略图,而2.3版之前的主题已无法在WP3.1以后的程序中正常使用,所以HotNews Pro主题用户就不用担心这个漏洞了。

当然,如果发现你的主题使用了timthumb.php脚本,也不必大惊小怪,很多主题集成的timthumb.php脚本,都作了简化,并无调用外部图像的功能,因此也就不存在这个漏洞了。

PS:虽然timthumb被爆有严重漏洞,但在我下一个主题中还将再次使用该脚本生成缩略图,因为Wordpress自带的特色图像功能感觉实在是鸡肋,下面是两者功能的对比:

timthumb脚本 WordPress自带的特色图像功能 是否支持外链 貌似只支持特定网站外链图片 不支持 是否有压缩功能 有,并可控制压缩比例 有,但不能控制压缩比例 单独存放缩略图 可以 不可以,只能与其它附件图片放在一起 是否可清除 可以并会再次自动生成不用担心缩略图会丢失 不可以,清除后不会再次生成 方便性 备份网站可不用备份缩略图,方便管理 备份网站必须同时备份缩略图并且会造成附件目录管理混乱

通过上面对比,timthumb.php 脚本在使用与功能上,要强于Wordpress自带的特色图像功能。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。