Бен Джиллбэнкс объявил о закрытии TimThumb

Один из популярных скриптов для изменения размеров изображений, известный как TimThumb, прекратил свое существование, о чем объявил один из его создателей, Бен Джиллбэнкс. В 2011 году TimThumb попал в заголовки новостей из-за найденной в нем крупной уязвимости безопасности, которая была использована для взлома нескольких сайтов.

«Обнаруженный эксплойт использовал баг с внешней функциональностью изменения размеров изображений, и, фактически, он мог применяться для закачки и выполнения файлов. Был код, который ограничивал загрузку файлов только для проверенных сайтов из белого списка, однако он оказался не слишком жестким, поэтому хакеры нашли способ инъекции php на сервер»

В 2009 году Джиллбэнкс рапортовал о том, что 95% коммерческих WordPress-тем поддерживают TimThumb. Несколько крупнейших компаний, создающих коммерческие темы, среди которых была и WooThemes, использовали этот скрипт в большинстве своих продуктов. Найденная уязвимость поставила под угрозу тысячи сайтов.

Эта уязвимость тяжким бременем легла на Джиллбэнкса, и стала одной из причин, почему он прекратил разработку.

«В 2010 году в скрипте был обнаружен крупный эксплойт и он повредил массу сайтов, включая и мой собственный. До сих пор остались люди, страдающие из-за этого. Я уже много лет чувствую себя виноватым за это, поэтому мой энтузиазм, связанный с TimThumb, упал до нуля.

Из-за отсутствия энтузиазма и страха вновь допустить ошибку я очень редко работал с кодом за эти годы»

Если вы используете TimThumb, Джиллбэнкс рекомендует удалить его и использовать что-то другое. Прекрасная альтернатива — WordPress TimThumb Alternative на GitHub. Созданный Мэтью Радди скрипт использует родные функции изменения размеров изображений в WordPress, подражая ресайзингу в TimThumb.

Источник: wptavern.com