timthumb.php 自动缩略脚本,可实现自动裁剪图片并生成缩略图,多用于WordPress杂志类型的主题,国外主题普遍采用该脚本自动生成缩略图,使用非常方便。
不过最近,timthumb爆出了一个严重漏洞,黑客可以利用这个漏洞(大概是调用外部图像时验证上有缺陷而产生的漏洞),上传任意恶意程序到你的网站,而且作者的网站已被黑客入侵。
那如何知道主题是否使用了自动缩略图timthumb.php脚本?
可以打开所使用主题目录,查看是否有名称为timthumb.php或thumb.php文件及图片缓存文件夹cache,如果有,说明你所用的主题加载了该脚本,完全有可能被黑客所利用。
有网友提问HotNews Pro主题是否使用了timthumb.php脚本,热点新闻主题2.3版之前一直使用该脚本生成缩略图,之后的2.4、2.5、2.6就不再使用timthumb.php脚本,转而采用Wordpress自带的特色图像功能,生成本地上传图片的缩略图,而2.3版之前的主题已无法在WP3.1以后的程序中正常使用,所以HotNews Pro主题用户就不用担心这个漏洞了。
当然,如果发现你的主题使用了timthumb.php脚本,也不必大惊小怪,很多主题集成的timthumb.php脚本,都作了简化,并无调用外部图像的功能,因此也就不存在这个漏洞了。
PS:虽然timthumb被爆有严重漏洞,但在我下一个主题中还将再次使用该脚本生成缩略图,因为Wordpress自带的特色图像功能感觉实在是鸡肋,下面是两者功能的对比:
通过上面对比,timthumb.php 脚本在使用与功能上,要强于Wordpress自带的特色图像功能。