timthumb.php 自动缩略脚本,可实现自动裁剪图片并生成缩略图,多用于Wordpress杂志类型的主题,国外主题普遍采用该脚本自动生成缩略图,使用非常方便。不过最近,timthumb爆出了一个严重漏洞,黑客可以利用这个漏洞(大概是调用外部图像时验证上有缺陷而产生的漏洞),上传任意恶意程序到你的网站,而且作者的网站已被黑客入侵。文章源自知更鸟-https://zmingcx.com/safety-tip-check-your-theme-is-using-the-automatic-thumbnail-script-timthumb-php.html
这是作者原文:Zero Day Vulnerability in many WordPress Themes。文章源自知更鸟-https://zmingcx.com/safety-tip-check-your-theme-is-using-the-automatic-thumbnail-script-timthumb-php.html
那如何知道主题是否使用了自动缩略图timthumb.php脚本?可以打开所使用主题目录,查看是否有名称为timthumb.php或thumb.php文件及图片缓存文件夹cache,如果有,说明你所用的主题加载了该脚本,完全有可能被黑客所利用。文章源自知更鸟-https://zmingcx.com/safety-tip-check-your-theme-is-using-the-automatic-thumbnail-script-timthumb-php.html
有网友提问HotNews Pro主题是否使用了timthumb.php脚本,热点新闻主题2.3版之前一直使用该脚本生成缩略图,之后的2.4、2.5、2.6就不再使用timthumb.php脚本,转而采用Wordpress自带的特色图像功能,生成本地上传图片的缩略图,而2.3版之前的主题已无法在WP3.1以后的程序中正常使用,所以HotNews Pro主题用户就不用担心这个漏洞了。文章源自知更鸟-https://zmingcx.com/safety-tip-check-your-theme-is-using-the-automatic-thumbnail-script-timthumb-php.html
当然,如果发现你的主题使用了timthumb.php脚本,也不必大惊小怪,很多主题集成的timthumb.php脚本,都作了简化,并无调用外部图像的功能,因此也就不存在这个漏洞了。你也可以到这里下载timthumb.php脚本1.33最新版替换主题中的脚本。文章源自知更鸟-https://zmingcx.com/safety-tip-check-your-theme-is-using-the-automatic-thumbnail-script-timthumb-php.html
PS:虽然timthumb被爆有严重漏洞,但在我下一个主题中还将再次使用该脚本生成缩略图,因为Wordpress自带的特色图像功能感觉实在是鸡肋,下面是两者功能的对比:文章源自知更鸟-https://zmingcx.com/safety-tip-check-your-theme-is-using-the-automatic-thumbnail-script-timthumb-php.html
timthumb脚本 WordPress自带的特色图像功能 是否支持外链 貌似只支持特定网站外链图片 不支持 是否有压缩功能 有,并可控制压缩比例 有,但不能控制压缩比例 单独存放缩略图 可以 不可以,只能与其它附件图片放在一起 是否可清除 可以并会再次自动生成不用担心缩略图会丢失 不可以,清除后不会再次生成 方便性 备份网站可不用备份缩略图,方便管理 备份网站必须同时备份缩略图并且会造成附件目录管理混乱
通过上面对比,timthumb.php 脚本在使用与功能上,要强于Wordpress自带的特色图像功能。文章源自知更鸟-https://zmingcx.com/safety-tip-check-your-theme-is-using-the-automatic-thumbnail-script-timthumb-php.html
2011年8月29日 12点00分 1F
赶紧沙发先~~~~
2011年8月30日 18点37分 B1
@ Kael.Z 啊哦,我怎么在这老看到你 ^_^
2011年8月30日 19点05分 B2
@ 阿星 我是鸟哥的粉丝~~~~
2011年8月29日 12点30分 2F
没有。
2011年8月29日 12点38分 3F
你那个页面怎么弄的呀。我如何做成想你这样的页面哦!http://zmingcx.com/gallery/enjoy
2011年8月29日 12点47分 中国 B1
@ 侯淇滨 新版不是已发布,集成的图片模板
2011年8月29日 12点52分 B2
@ 知更鸟 图片模版在那个页面
可是没有添加图片模版哦
2011年8月29日 13点00分 中国 B3
@ 侯淇滨 只这一个功能就写了那么长的说明,难道还不够清楚
2011年8月30日 21点46分 B4
@ 知更鸟 咨询下鸟哥 最近留言–文章归档 怎么弄出来的,我新建页面使用归档模板的话,出来是http://www.tkeelee.com/archives/ 这种样子的。最开始貌似也出现过正常的效果,后来不知道修改了哪里就再也改不回来了,现在换了新的2.7模板,还是老样子,求指导
2011年9月22日 23点46分 B5
@ tkeelee 什么都别修改,然后重新建立页面试试!
2011年8月29日 13点18分 4F
老大你这个好复杂哦。把我都弄糊涂了
2013年4月10日 14点49分 B1
@ 侯淇滨 鸟哥的主题可以算得上是功能强,使用也比较方便的,如果你觉得很复杂、很糊涂,建议你多看看他的主题说明的文章,先自己搞懂,不懂了再来问。
2011年8月29日 13点32分 5F
这个问题 还没有遇到 先收藏一下
2011年8月29日 14点45分 6F
不懂技术,感觉好难
2011年8月29日 14点49分 7F
timthumb.php 我自己改主题有时候会带上!
但是应该没事吧!都是简化版了!
2011年8月29日 17点08分 8F
安全第一,这会去检查一下其它几个站有没有使用,感谢提醒!
2011年8月29日 17点41分 9F
不懂技术,感觉好难
2011年8月29日 18点09分 10F
我的带了 得赶紧升级一下
2011年8月29日 19点57分 11F
哈哈,我的原来是这个搞的鬼,难怪里面莫名的出现了许多外国的图片缩略图。Google显示可能有不安全。
2011年8月30日 00点04分 12F
期待新版本的到来。~
2011年8月30日 00点14分 13F
多谢提醒,回去查看一下先!
2011年8月30日 00点58分 14F
看来我的就有啊。我说怎么老有错误登录的信息发我以我的邮箱呢。
2011年8月30日 11点22分 15F
呵呵,最讨厌自动缩略图了,占了好多空间,现在都自己传图片,然后用参数读
2011年8月30日 15点00分 16F
弄了自动缩略图感觉网速有点卡
2011年8月30日 17点45分 17F
功能不够强大。为什么不换回去呢。
2011年8月30日 21点28分 18F
博主的风格 很好看啊 真的很好看
2011年8月31日 10点25分 19F
复杂的俺不明白啊
2011年8月31日 17点30分 20F
~~~~~!伤不起啊伤不起
2011年9月1日 18点19分 21F
还没用呢!
2011年9月1日 18点36分 22F
简单的修补 给目录下加个index.htm就行了
2011年9月1日 22点03分 23F
timthumb.php脚本
2011年9月2日 13点12分 24F
额 我只是路过打酱油的
2011年9月2日 17点37分 25F
我纯新手 只是路过看看 我神马都不说
2011年9月2日 19点32分 26F
像吾等小博客 黑了又有何妨 哇咔咔咔
2011年9月3日 23点58分 27F
咨询下鸟哥 最近留言–文章归档 怎么弄出来的,我新建页面使用归档模板的话,出来是http://www.tkeelee.com/archives/ 这种样子的。最开始貌似也出现过正常的效果,后来不知道修改了哪里就再也改不回来了,现在换了新的2.7模板,还是老样子,求指导啊
2011年9月6日 10点50分 28F
鸟哥还没出差回来?
2011年9月6日 12点40分 29F
博主写的一些模板主题都很漂亮。我非常仰慕啊。敬佩!
2011年9月6日 13点31分 30F
本也想用你的主题,好的人都在用的,但是拍图片多影响博客加载速度啊。不过好像很多人次主题的博客加载还是挺快。
2011年9月6日 14点02分 31F
好久没逛博客了,呵呵,我来了。
2011年9月7日 10点17分 32F
恩不错!!嘿嘿
2011年9月9日 14点33分 33F
你通不通过我的留言,我就在那里,不悲不喜
2011年9月9日 14点56分 34F
虽然我不懂代码,还是很喜欢的!
2011年9月11日 08点13分 35F
开始学习了,这个脚本看似不错哦~!
2011年9月11日 10点18分 36F
想弄个缩略图显示功能,我的主题中没有这个脚本,哈不知道选用什么方法实现缩略图~
2011年9月12日 17点54分 37F
弄了2.7的 但是不会用 我是菜鸟
2011年9月17日 10点53分 38F
鸟哥,研究你网站了很久,问下你博客页面出现文章的缩略图和摘要是用的什么插件?找了好久都没找出来
2011年9月17日 11点05分 中国 B1
@ TT-biadu 木有用插件,主题集成
2011年9月19日 10点16分 39F
不错啊,可惜对php不太熟悉
2011年9月27日 15点34分 40F
学习ING!!
2011年10月6日 22点25分 41F
鸟哥可以把安全问题解决吧
2011年11月29日 22点36分 42F
鸟哥,可以请教个关于timthumb的问题吗?
我用了timthumb常见的functions里的代码,先默认缩略图,后自动搜索第一张图片,再后默认图片。
————————————————
可是我的自动搜索第一张图片的功能不能实现。我举个例子:
这是我在日志中的第一张图片的地址,图片是通过后台上传的。
但是在缩略图上只显示红叉,红叉的地址是:&h=95&w=150&zc=1
这是为什么呢?
——————
多谢鸟哥了!!:)这个timthumb问题困扰我好多天了,看了很多资料,也没能解决,鸟哥多多帮忙啊!!再次感谢!!!
——————
2011年11月30日 07点02分 中国 B1
@ iioo 可以参考HotNews pro主题2.33版,该版本使用了这个函数
2012年10月29日 23点19分 B1
@ iioo 我也是这个问题,纠结了
2011年11月29日 22点39分 43F
我用的相关代码:
else {
$post_timthumb = ”;
ob_start();
ob_end_clean();
$output = preg_match(‘//i’,$post->post_content, $index_matches);
$first_img_src = $index_matches [1];
if( !empty($first_img_src) ){
$path_parts = pathinfo($first_img_src);
$first_img_name = $path_parts[“basename”];
$first_img_pic = get_bloginfo(‘wpurl’).’/cache/’.$first_img_name;
$first_img_file = ABSPATH. ‘cache/’.$first_img_name; //保存地址
$expired = 604800; //略缩图过期时间
下面继续
2011年11月29日 22点40分 44F
代码接上
if ( !is_file($first_img_file) || (time() -filemtime($first_img_file)) > $expired ){
copy($first_img_src, $first_img_file);
$post_timthumb = ‘post_title.\'” />’;
}
$post_timthumb = ‘post_title.\'” class=”attachment-post-thumbnail”/>’;
}
2012年1月4日 23点20分 45F
http://www.guatji.com/ 测试下鸟哥是怎么防止垃圾外链的
2012年8月15日 16点23分 46F
timthumb.php原来是没有调用外部图像功能…
怎么设置才可以有呢?
我用的是云存储- -不能调用很无奈
2012年10月6日 21点39分 B1
@ hoythan 可以调用的,可以参考这个http://my.oschina.net/u/218746/blog/81739
2014年12月28日 17点44分 47F
请问使用这个怎样避免被黑客利用漏洞呢
2015年4月26日 20点20分 48F
确实存在很大的漏洞哦
2016年3月3日 22点15分 49F
解决 WordPress Timthumb.php 缩略图偶尔不显示的问题
http://lfei.org/wordpress-timthumb-display/