WordPress「TimThumbプラグイン」の脆弱性を調べる!
先日レイノッチさんのブログにてこんな記事がありました。WordPressのプラグイン「TimThumb」のWebshot機能にゼロデイ脆弱性があるそうで、リモートからコマンドの実行が可能であることがわかりました。
おおこわっ!
WordPress利用者は念のため確認を! TimThumbプラグインにリモート操作可能な新たな脆弱性 : I believe in technology
TimThumb Vulnerability Scanner
「TimThumb Webshot」はデフォルトでは無効になっているのですが、WordPress使用者は、使用テーマやプラグインを確認すべきだということです。“WEBSHOT_ENABLED”がfalseになっていることを確認してください。
define (‘WEBSHOT_ENABLED’, false);
さて、どうやって調べるかな〜とググってみると
TimThumb Vulnerability Scannerというプラグインがあることを知りました。
WordPress › Timthumb Vulnerability Scanner « WordPress Plugins
WordPressサイトの「TimThumb」脆弱性を調べられるプラグインの導入結果 – operationservicebuの日記
スキャンしてみました
プラグインをインストールした後、左のツールの中にTimthumb Scannerがあります。これを選ぶと下のようになりますので”Scan”ボタンを押します。
果たして結果は?
「No instances of timthumb were found on your server.」と表示されました。これは大丈夫のようですね。
tatoの思ったこと
自分の入れていないプラグインでもこんなことがあるのかと思うととても気になってしまいますね。時々スキャンしようと思います。