Mod Security Defense to Timthumb Wordpress


Status
Not open for further replies.

mixmaxspace

Hosting Guru
Again, we’ve already applied these rules to our servers, so our Web hosting customers are protected. But if you run a server for other people (especially one that hosts WordPress blogs), you should consider adding these mod_security rules to protect your users, too.
Wah thanks pak jaap, kayaknya rulesnya di set ke 1000an akun di Dedi :))
 

Adhie

Expert 1.0
Verified Provider
itu kan thimtub versi sekian,

klw versi terbaru, apa akan ke block>
 

IIXPLANET

Expert 2.0
itu kan thimtub versi sekian,

klw versi terbaru, apa akan ke block>

klo dr yg saya review2 dr google sih harusnya di versi yg baru sidah fixed yach, cuma tidak ada salahnya menambahkan rules tersebut karena lebih baik mencegah dari pada mengobati
 

Adhie

Expert 1.0
Verified Provider
klo dr yg saya review2 dr google sih harusnya di versi yg baru sidah fixed yach, cuma tidak ada salahnya menambahkan rules tersebut karena lebih baik mencegah dari pada mengobati

SecRule SCRIPT_BASENAME "^(tim)?thumb\.php$" "deny,status:412,auditlog,chain"

SecRule ARGS:src "\.php[345]?$

And this line blocks the second:

SecRule REQUEST_FILENAME "/wp-content/themes/.+/cache/[a-f0-9]+\.php[345]?$" "deny,status:412,auditlog"

dari mod_sec diatas, akan memblock (CMIIW) theme yang menggunakan timtumb

hxxp://example.com/wp-content/themes/themename/timthumb.php

hmm.
klw begitu, versi terbaru juga ke block ya?
 

galuh82

Hosting Guru
Verified Provider
kalau tidak salah, rule dari gotroot juga sudah implementasi itu .. karena beberapa client saya yang pakai itu kena blok mod_security. CMIIW
 
Status
Not open for further replies.

Top