最近在一些 WordPress 相关群里面看到还有人在用 TimThumb 进行裁图的 WordPress 主题,甚至还有人问我使用 TimThumb 裁剪之后的图片为什么不能 CDN 加速。
顿时有一种感觉对方村刚通网的感觉,都已经 2024 年了,还在用 TimThumb.php 进行图片裁剪,会不会有点心大。
所以我还是直接一点吧,先说结论吧:现在还在使用 TimThumb 裁剪图片的 WordPress 主题,一律不要再用了,即使默认没有开启,只是内置了,需要通过选项开启的主题,也不建议使用了。
为了防杠,你觉得你使用了 Timthumb 也没出啥问题,我这么说是为了推广自己写的插件和主题,那你就是对的,继续使用。毕竟好良言难劝该死鬼,大慈悲不度自绝人。😓
先简单介绍一下,TimThumb 是 Ben Gillbanks 创建的一个用于裁图的 PHP 程序,使用非常简洁方便,只要通过简单的参数就能把图片裁剪或者缩成自己想要的大小:
timthumb.php?src=my_image.jpg&h=150&w=150&zc=1
上面的链接就是将图片 my_image.jpg 裁剪成150宽,150高,如果不想裁剪,只想缩放,则将 zc 参数设置为 0,另外 TimThunb 还支持滤镜等,总之非常易用。
所以之前很多 WordPress 主题,特别是杂志类型的主题,都是使用 TimThumb 对图片的裁剪或者缩放处理的,最高光的 2009 年,有 95% 的商业 WordPress 主题都内置了 TimThumb。
在 2011 年,TimThumb 出现过重大的安全问题,存在远程代码执行漏洞,该漏洞源于脚本没有正确检查远程缓存的文件,攻击者通过将代码伪装成从受信任网站下载的图像来将恶意 PHP 代码注入网站。
这个安全漏洞造成非常多的网站被黑,包括 TimThumb 作者自己本身的网站,TimThumb 作者也被这个漏洞搞得心力交瘁,并且因此感觉内疚好多年,毕竟那么多网站因为自己的程序被黑。继续更新和维护 TimThumb 的热情降到冰点,也害怕再次引起别的问题,所以在2014年决定不再更新 TimThumb。
这个事情也说明,开源真的不易,使用的时候可能一句感谢都没,一旦出问题被会被骂成狗,现在很多开源作者都背负了太大的压力,WPJAM Basic 也经历过被人辱骂的阶段,只是我挺过来,因为我骂回去了。😂
回到 TimThumb,可以说它在开源史上书写了重大的一笔,对此我觉得每个使用过的人都应该心存感激,但是回到现实,一个2014年就已经不再更新,并且曾经还出现过重大安全漏洞的 PHP 程序,还在继续使用,是不是心大了点?这真的是一个非常重大的安全隐患。
所以我重复一下我的结论:现在还在使用 TimThumb 裁剪图片的 WordPress 主题,一律不要再用了,即使默认没有开启,只是内置了,需要通过选项开启的主题,也不建议使用了。
不再使用,如果还要对图片进行裁剪和缩放处理,怎么办?我建议使用云存储的裁剪功能,专业的事情叫个专业的人去做。
现在主流的云存储和 CDN 服务都提供的缩图功能,#WPJAM Basic# 的「CDN加速」功能也提供了相关的图片裁剪和缩放功能,只要简单勾选一下即可:
另外 WPJAM Basic 还支持直接对 WordPress 博客的各种缩略图进行设置:
非常方便,并且使用云存储裁剪和缩放,所有的操作是在云存储上进行的,并不会像 TimThumb 一样,会消耗服务器资源和带宽,所以速度会更快。
所以目前还在使用 TimThumb 的用户,切换到云存储是最快的方法,最后贴一下,WPJAM Basic 支持的云存储服务,记得点我的链接,这三家土豪会给佣金的,我有钱赚了,就能够更加专注更新和优化插件了。🤩
云服务 | 链接 |
---|---|
阿里云OSS | https://wpjam.com/go/aliyun |
腾讯云COS | https://wpjam.com/go/qcloud |
火山引擎veImageX | https://wpjam.com/go/volc-imagex |