23/08/2014 Темы Wordpress и «бесплатный сыр»

Мы решили провести эксперимент: скачали и проверили 2350 популярных русифицированных шаблонов для Wordpress, которые блоггеры используют на своих сайтах.

опасность бесплатных шаблонов для сайто и блогов

Результат нас неприятно удивил. Более половины, а точнее 54%, оказались крайне опасными для использования!

Темы и шаблоны для Wordpress мы скачивали с популярных сайтов-каталогов, предлагающих русскоязычные премиум и тематические шаблоны:

Данные сайты были выбраны как наиболее популярные, поскольку находятся по запросу «бесплатные темы для wordpress» в первой десятке в результатах поисковой выдачи.

Обращаем внимание на то, что они не единственные. Существует огромное число сайтов-клонов, которые предлагают пользователям те же архивы с заражёнными и уязвимыми темами.

По грубым оценкам, суммарное число скачанных заражённых тем - более 500 000.

Какой вред таят в себе заражённые шаблоны?

  1. Спам-ссылки

    Подавляющее большинство (около 97%) проверенных тем содержат код, размещающий чужой контент и спам-ссылки на страницах блога. Это так называемое «чёрное seo» - недобросовестный метод продвижения сайтов в поисковых системах и накручивания поисковых параметров тИЦ и PR.

    Кроме размещения спам-ссылок в невидимом блоке, код может вставлять чужой контент (текст и ссылки) на страницах блога, а также заменять отдельные слова в тексте на ссылку, ведущую на чужой сайт.

    С учётом большой популярности бесплатных тем, данный метод «чёрного» продвижения достаточно эффективен, так как позволяет сформировать большую ссылочную массу, поэтому активно используется недобросовестными оптимизаторами сайтов и хакерами для продвижения сайтов клиентов или собственных проектов.

    В результате работы вредоносного кода сайт превращается в линкоферму, теряет лояльность со стороны поисковой системы и посетителей, а иногда попадает в бан или блокируется антивирусным программным обеспечением. Ещё одним негативным моментом для сайта является также увеличение нагрузки на процессор и замедление открытия страниц блога, так как при открытии каждой страницы выполняется подключение к внешнему ресурсу.

  2. Критические уязвимости в timthumb.php

    Следующая по популярности проблема в шаблонах wordpress - это уязвимости в скрипте timthumb.php. Данный скрипт очень популярен среди разработчиков шаблонов и активно используется в темах для автоматического масштабирования изображений. В версии 2.8.13 и более ранних обнаружено несколько критических уязвимостей, позволяющих исполнять произвольный код на сайте и загружать произвольные файлы на хостинг (в том числе хакерские веб-шеллы). Если на вашем сайте установлена одна из старых версий, необходимо как можно быстрее обновить её до актуальной из репозитория. В противном случае все сайты на вашем аккаунте хостинга под угрозой.

  3. Бэкдоры и веб-шеллы

    Переходим к самым опасным и явным признакам заражённой темы - это наличие бэкдоров и веб-шеллов.

    Эти скрипты предоставляют хакеру полный контроль над файловой системой и базой данных аккаунта: можно управлять файлами и каталогами, размещать дорвеи, мобильные и поисковые редиректы, вирусный код в шаблонах и многое другое. Поскольку на большинстве виртуальных хостингов скрипты сайта могут получить доступ к файлам соседнего сайта, скомпрометированными оказываются все сайты владельца, размещённые на том же аккаунте хостинга.

Как уберечь свой блог от взлома через уязвимости в шаблонах

Все перечисленные опасности характерны и для других бесплатных CMS!

  1. Скачивайте темы только из проверенных источников. Коммерческие темы для wordpress нужно покупать на официальных сайтах. К сожалению, даже покупка шаблона - далеко не гарантия безопасности.

  2. Проверьте скачанные темы на наличие вредоносного кода и спам-ссылок. Для анализа тем на вредоносные вставки вы можете обратиться к специалистам.

  3. Не рекомендуем использовать десктопные антивирусы для проверки шаблонов. В большинстве случаев они не обнаружат ничего подозрительного, так как обнаружение вредоносного кода в php-скриптах - не их профиль.

  4. Если на вашем сайте используется скрипт для масштабирования изображений timthumb.php или его модификации (thumb.php, _img.php и пр.), проверьте его версию и обновите до последней доступной.

  5. Удалите все неиспользуемые шаблоны из директории wp-content/themes. Если тема неактивна, она всё равно позволяет открывать вредоносные скрипты из каталога wp-content/wp-themes/zzz, поэтому не рекомендуем хранить коллекцию тем непосредственно на хостинге. Оставьте одну, активную, а остальные удалите.

По материалам сайта Хабрахабр.

Вернуться

cont@ct © 123lab.ru 2006- хостинг Зенон Н.С.П.