Per bucare un'installazione di WordPress basta poco, è necessario soltanto che nel tema che si utilizza o in uno dei temi presenti nella directory "wp-content/themes" sia presente il file timthumb.php, un innocuo script per il ridimensionamento delle immagini che tuttavia può essere utilizzato come veicolo di possibili infezioni.
La scoperta è stata fatta da Mark Maunder che, investigando sulle possibili cause della compromissione del suo blog, ha individuato in timthumb.php il vettore di attacco.
Il problema risiede nella possibilità dello script di scaricare immagini da siti remoti, permettendo però anche l'esecuzione di shell PHP, ideali per consentire a un attaccante di prendere pieno controllo dell'installazione di WordPress e della macchina su cui è ospitato.
La direttiva di timthumb.php che consente questo comportamento insicuro è la seguente:
$allowedSites = array ( 'flickr.com', 'picasa.com', 'blogger.com', 'wordpress.com', 'img.youtube.com', 'upload.wikimedia.org', 'photobucket.com', );
Le contromisure sono o la cancellazione completa di timthumb.php oppure la rimozione dell'array che elenca i domini da cui lo script può scaricare immagini. La modifica da fare è la seguente:
$allowedSites = array();
Va detto che lo script non è presente in tutti i temi WordPress, Twenty Eleven (il template di default di WP) non lo include per esempio, ma moltissimi lo includono quindi è necessario prestare molta attenzione a questo file.