Осторожно! Злая тема… для WordPress!

Вдогонку к предыдущему посту о темах, взгляд с другой стороны, а если быть точным, то пост для тех самых пользователей, которые все эти темы качают.

Вообще, в последнее время очень сильно повысилось количество постов о взломе разных блогов на WordPress’е, а всё потому, что люди забывают обновляться до последней версии. Но даже наличие последней стабильной версии с офф.сайта не даёт гарантий, что вас не «поимеют».

Недавно на глаза попался пост о интересном способе, который применяют хакеры для получения информации о сайте.

Для тех, кто не очень дружит с ангельским языком, расскажу вкратце о чём там речь:
Некий дизайнер Derek Punsalan сделал темку (а точнее даже несколько) для WordPress и решил их подарить всему миру. В итоге она разлетелась по куче разных тематических архивов, одним из которых был WpSphere. И что вы думаете?

После скачивания и установки с этого сайта, некоторые пользователи заметили, что в тексте страниц находится примерно такой код

Если вы не разбирается в PHP, поясню — такой метод применяется, чтобы скрыть реальный исполняемый код, потому что после декодирования (функция, base64_decode), текст будет выглядеть несколько более подозрительно

В результате выполнения этого скрипта, с одного из серверов (я указал лишь часть исходника) подгружался java-script. По словам одного из блоггеров, Пола Кэрола, который проводил исследования по поводу «вредоносности» данного кода, выходит, что ничего плохого не происходило, а Wp-Sphere просто мониторили количество установок тем.

Только вот, несмотря на это, что-то уж через чур большая дыра в безопасности получается, ведь внедряя ява-скрипт на страницу, злоумышленники могут без проблем крутить рекламу, а что более скверно — получить информацию, сохраненную в браузере.

Весь этот пост написан для того, чтобы вы задумались перед установкой очередной темы, скаченой из не проверенных источников. Или, во всяком случае, проверили, что там у неё внутри, а если не можете сами (по причине, что любой код для вас — набор бессмысленных знаков), то попросите того, кто понимает, можно и меня.

И напоследок, к проверенным источникам с лёгкостью могу отнести сайт themes.wordpress.net, ибо официальный, а так же советую ознакомиться с «Кратким руководством по безопасности WordPress» от Максима, скоро постараюсь опубликовать не краткое, а большое и разностороннее.

Мира вам и безопасного интернета и WordPress.

Осторожно! Злая тема… для WordPress!: 9 комментариев

  1. а это мысль… (шутка ,)
    конечно, какому разработчику не хочется знать сколько народу пользуется его работой, но не такими ведь способами….

    кхм, а в http://5thirtyone.com/wordpress-foliage-theme я ничего подобного не нашел… быстро работают ,)

    ну и напоследок, если не раздражает, ошибка:
    Если вы не разбирается в PHP -> Если вы не разбираетесь в PHP

  2. Tapac
    у вас часто возникает ошибка: «Ошибка: Время истекло. Сервер не отправил вовремя. Попробуйте повторить действие через некоторое время.», хотя сам коммент добавляется

  3. Вечная статья. Точнее — вечно актуальная. В последнее время эти буржуи просто с ума сошли со своими линками — по пять штук лепят. Скоро ещё в хидер зашивать начнут…

    Тарас, скажите пожалуйста, Вы можете помочь расшифровать эту нечисть и исключить её из футера? Я даже не о линках парюсь. Мне именно шифровка эта не нравится сильно.

    Помогите, пожалуйста! Ссылку обещаю в том же футере.

Добавить комментарий