刚看到这个消息，Timthumb出现了一个较大的漏洞，会导致服务器被入侵。这个文件在很多wordpress主题中很常见，用来使用缩略图调整。

现在提供bug修改方案：

1、升级Timthumb到最新版本：http://code.google.com/p/timthumb/source/browse/trunk/timthumb.php

2、打开Timthumb.php，找到

$allowedSites = array (
'flickr.com',
'picasa.com',
'img.youtube.com',
'upload.wikimedia.org',
);

修改成以下内容：

$allowedSites = array ();

上传修改以后的Timthumb.php覆盖原文件，为以防万一，建议清空根目录下的cache文件夹，并修改wordpress的登录密码。

以上方法来自国外博客：这里，缺点是外部调用的文件例如图床将无法使用，比如我用的首页缩略图就是图床，无法显示了。但对于本地的图片无影响。

转载cnbete的消息：

数十万WordPress用户目前似乎正遭受图像处理脚本Timthumb的威胁，这是一个相当受欢迎的第三方脚本，它可以实现动态图像裁剪、缩放和调整，脚本的文件名是timthumb.php，该文档定义了数个可以远程提取的相册，但脚本并没有很好地验证这些域名，因此类似“http://flickr.com.maliciousdomain.com”这样的欺骗性二三级域名也会被通过，所以黑客理论上可以用任何域名后缀轻松仿冒，并通过缓存目录上传各种恶意程序。

目前在Google搜索这一脚本的文件名，一共返回了39万个结果，这意味着这些博客全部遭受安全漏洞的影响，所以如果您运行着WordPress和Timthumb，请尽快做出行动修补或者暂停运行。

这个安全漏洞影响很大，我建议立刻停止使用旧的版本，更新Timthumb到最新版，并按照上面的方式去掉外部调用，至少在新的补丁出来之前，修复这个漏洞，避免更大损失。

PS：我的主题付费W1里面也有用到这个程序，稍候将放上了一个修正版本，请相关客户尽早更新。