Já verificou o seu tema hoje?

O WordPress é sem sombra de dúvidas a plataforma de publicação de conteúdo mais utilizada hoje em dia, devido à sua grande flexibilidade, facilidade de uso e, principalmente, devido aos milhares de plugins desenvolvidos por terceiros para a plataforma. Acontece que, como já disse antes, os plugins podem ser justamente a razão do caos em um site rodando WordPress pois não existe qualquer controle de qualidade para certificar quais plugins foram desenvolvidos utilizando boas práticas de codificação e segurança.

Recentemente foi descoberta uma falha de segurança gravíssima em um script muito utilizado por desenvolvedores de temas do WordPress, o Timthumb. Basicamente esse script permite que sejam criadas imagens em miniatura para a exibição no site sem que seja necessário você criar a imagem em diversos tamanhos, basta que você crie a imagem no tamanho normal utilizada no seu post e o próprio script se encarrega de redimensionar essa imagem para que você não tenha que se preocupar com isso.

A falha de segurança encontrada no Timthumb permitia que usuários mal intencionados enviassem um código malicioso para o seu servidor disfarçado em uma imagem qualquer. Através do código malicioso enviado para o servidor o atacante poderia simplesmente executar qualquer função dentro do seu servidor e isso inclui, inclusive, apagar todos os arquivos do seu site e até mesmo de outros sites dentro do mesmo servidor.

Para que você tenha uma idéia maior do quão grave é essa falha de segurança, veja o vídeo abaixo onde é demonstrada uma das formas de explorar a falha de segurança do Timthumb:

Para saber se o seu site está utilizando este script, basta procurar nos arquivos do seu tema pelo script timthumb.php ou thumb.php ou, caso você não tenha certeza é melhor procurar um profissional para que ele faça uma verificação nos arquivos do seu tema à procura do arquivo que possui a falha de segurança. Caso você não conheça nenhum profissional capacitado para este serviço, terei o maior prazer de fazer essa verificação para você, mas não vai ser de graça, acredite. Basta entrar em contato através do formulário de contato.

Após encontrar o arquivo é imprescindível que o mesmo seja removido do seu servidor e que seja substituído pela versão mais recente do plugin encontrada em http://code.google.com/p/timthumb/