Проблема безопасности WordPress
Проблема безопасности WordPress — практически единственное, к чему обычно ведут разговор любители других популярных CMS в различных дискусиях. Однако как и в случае с «Windows против Linux» обычно все сводится к некомпетентности и наивности прослойки между стулом и монитором — пользователя. Сегодня мне бы хотелось рассказать вам о том, к каким последствиям может привести скачивание бесплатных шаблонов тем для WordPress не с официального или проверенного сайта.
На данный момент это безусловно актуальный вопрос, все знают об опасности и рисках, об этом написано множество статей и так далее и тому подобное, но все они лишь предупреждают, не предоставляя конкретных цифр последствий. И мне бы хотелось вас не просто в ненавязчивой форме предупредить, а продемонстрировать результаты «бедствия».
За время моей работы с WordPress и работой с «бесплатными темами», да и с платными, я столкнулся со всем — темы были заражены веб-шеллами, бэкдорами, ссылками и скриптами с критическими уязвимостями.
Бэкдор может дать доступ к выполнению произвольного кода на сайте (возможно загрузить веб-шелл, удалить содержимое каталогов, вставить вирусный код в шаблоны и скрипты, получить доступ к базе данных и многое другое), и получению полного контроля над всеми сайтами аккаунта хостинга. Любая из указанных проблем довольно критична и принесет много головной боли счастливому владельцу халявы.
Хотите знать, к чему это может привести? Расскажем вам в последовательном порядке о последствиях.
Ссылки
Самый распространённый метод, связанный с популярностью скачивания бесплатных шаблонов. Больше скачиваний — больше ссылок, ведущих на сайт заказчиков или серых сеошников или хакеров.
Во время открытия страницы код в файлах header.php, footer.php или functions.php выполняет загрузку списка спам-ссылок с внешнего сайта и размещает их на страницах блога в невидимом для посетителей блоке. Помимо этого блока, код может вставлять на страницы блога чужой контент или же вообще заменять слова текста на ссылку, ведущую на сторонний сайт.
htaccess файл
Ещё один распространенный вариант — менять содержание htaccess и перенаправлять пользователей при заходе с поисковых систем или мобильных устройств — для вас сайт будет работать нормально, однако пользователи, кликнувшие на рекламное объявление (за которое вы заплатили) или на результаты поиска попадают совершенно на другой сайт.
Рассылка спама
Ещё один вариант — рассылать с вашего сервера спам. Умные хостинги умеют понимать, когда с почтой идет что-то не то и блокировать отправку писем. В таком случае, безусловно, беда решена, но на половину. Ведь при неработающей почте вы не сможете получать, например, заявки с сайта!
Критические уязвимости в timthumb.php
На втором месте по популярности среди заражённых тем — уязвимости в скрипте timthumb.php.
Это шаблон, использующийся разработчиками тем для для автоматического масштабирования изображений.
В старых версиях были найдены несколько критических уязвимостей, позволяющих исполнять произвольный код на сайте и загружать произвольные файлы на хостинг.
Так что, если вы используете старые версии темы, советуем вам скачать обновленную версию, иначе ваш сайт окажется под серьёзной угрозой.
Бэкдоры и веб-шеллы
С их помощью хакер имеет тотальный доступ к файловой системе и базой данных аккаунта. Т.е. он может управлять файлами и каталогами, размещать дорвеи, мобильные и поисковые редиректы, вирусный код в шаблонах и многое другое.
А так как на большинстве виртуальных хостингов скрипты сайта могут получить доступ к файлам соседнего сайта, то под угрозой оказываются все сайты владельца, размещенные на том же аккаунте хостинга.
Теперь о том, как себя обезопасить:
- В первую очередь, скачивайте темы только из проверенных источников. Заплатив, вы практически исключаете наличие вредоносных вставок в шаблонах. Так как от взлома блогов на wordpress страдают любители бесплатных шаблонов, скачанных непонятно где или на файлообменниках.
- Проверьте скачанные темы на наличие вредоносного кода и спам-ссылок. Самый простой способ — сравнив даты изменения файлов.
- Обязательно проверьте версию скрипта для масштабирования изображений timthumb.php или его модификации (thumb.php, _img.php и пр)
- Используя несколько бесплатных тем, вы во много раз повышаете риск взлома сайта. Даже, если тема неактивна, она все равно позволяет открывать вредоносные скрипты из каталога wp-content/wp-themes/<имя темы>, поэтому удалите все неиспользуемые шаблоны из директории wp-content/themes
- Доверьте профессионалам. Нет ничего хуже — чем пытаться сделать лучше, чем это может сделать специалист. Не привязывайте зуб ниточкой к двери — обращайтесь к стоматологам.
seohead.pro