脆弱性があるtimthumb.phpが無いかをチェックできる:Timthumb Vulnerability Scanner
WordPress プラグインで画像をリサイズするために利用されている PHP ファイルに「timthumb.php」があります。
だいぶ前の話ですが、「timthumb.php」に脆弱性が有りました。
その脆弱性は、バージョン 2.8.2 で解消されているので、
現時点では特に気にする必要は無いです。
でも、念のために 1 度はチェックしておきたいと思う方も居るでしょう。
そのような時に便利な WordPress 用プラグインがあります。
それは「Timthumb Vulnerability Scanner」です。
そのインストール手順から日本語化・使い方と設定などを解説していきます。
Timthumb Vulnerability Scanner
Timthumb Vulnerability Scanner は、wp-content ディレクトリ全体をスキャンし、
古いバージョンの「timthumb.php」が無いかをチェックしてくれます。
もし、古いバージョンが見つかった場合には、1 クリックで自動的にアップグレードすることもできます。
定期的に(1 日に 1 回)最新の利用可能なバージョンをチェックし、
最新のバージョンをダウンロードしてインストールすることができます。
※スキャナページにアクセスするとチェックが実行されます。
記事を作成もしくは更新時点でのバージョン:v 1.54
マルチサイトでの利用:可
インストール手順
下記の URL から ZIP ファイルを入手して、管理画面からアップロードして有効化するか
Timthumb Vulnerability Scanner – WordPress.org
もしくは、WordPress.org の公式プラグインディレクトリにリリースされているので、
管理画面から入手できます。
ダッシュボードから「プラグイン」メニューの「新規追加」を選択し、
プラグイン追加画面右上の検索窓に「Timthumb Vulnerability Scanner」と入力します。
検索結果の一番左上に表示されると思うので、「今すぐインストール」をクリックします。
インストールが完了したら、プラグインを「有効化」します。
プラグインのインストールに慣れていない方は、
下記の記事にて詳しく解説していますので、御覧ください。
WordPressプラグインのインストール手順を解説 – WordPress活用術
日本語化
Timthumb Vulnerability Scanner を有効化した際に日本語化されない場合には、
日本語化用の言語パックを translate.wordpress.org から入手できる場合があります。
WordPress と関連プロジェクト(テーマ・プラグイン)用の翻訳プラットフォームとして、
translate.wordpress.org (GlotPress) が導入されています。
※ボランティアで翻訳されている場合が多いので、
全てのプラグインで、必ずしも日本語化用の言語パックが用意されているわけでは無いです。
また、用意されていても 100% 翻訳されている保証もありません。
日本語化用の翻訳ファイルの探し方は、下記の記事を参照してください。
WordPress公式での日本語化用の翻訳ファイルの探し方 – WordPress活用術
専用メニュー
ダッシュボードの「ツール」メニューの中に「Timthumb Scanner」が追加されています。
使い方
「Scan」ボタンをクリックします。
スキャンが終了して、Scan Results に「No instances of timthumb were found on your server.」と表示されれば大丈夫です。
もし、古いバージョンが存在していると上のような感じで表示されます。
チェックを付けて、「Upgrade Selected Files」ボタンをクリックします。
※プラグインに添付されているスクリーンショットから拝借しました。
設定
チェックが付いているとスキャナページにアクセスすると 1 日に 1 回最新の利用可能なバージョンをチェックしてくれます。