Оценок: 1

Уязвимости в шаблонах WordPress

Большая часть (54%) русских шаблонов WordPress является зараженной бэкдорами, шеллами и прочей нечестью или имеет критические уязвимости.

Предисловие.

Когда я создавал этот сайт еще на денвере, я был уверен, что скачанный мною шаблон, с сайта ---wp-templates---ru--- полностью безопасен и, используя его, я могу спать совершенно спокойно. Как же я ошибался…

Не помню почему, но в шаблоне я копался мало, уделял большое внимание плагинам и их настройке. Вот как-то раз я залез в файл functions.php и меня заинтересовал странный код:

class Get_links {
var $host = ‘wpconfig.net';
var $path = ‘/system.php';
var $_cache_lifetime = 21600;
var $_socket_timeout = 5;

Мне не понравилось, что мой сайт подключается к некому “wpconfig.net” и запрашивает какой-то “/system.php”.

Чуть дальше он еще что-то и с изображениями делает.

$file = ABSPATH.’wp-content/uploads/2011/’.md5($_SERVER[‘REQUEST_URI’]).’.jpg';

После того, как прошло мое глубокое удивление от наглости тех людей, которые засунули в шаблон этот нежданный подарок. Я решил убрать этот код, но кроме этого еще и загуглить. Выяснилось, что данный код, как я и предполагал, загружает мне на сайт какие-то закодированные картинки, которые на самом деле файлы, содержащие ссылки на левый сайт.

Спросите для чего? Для поднятия сайта в поисковиках нечестным образом – черный сео. Автор данного кода, берет деньги, к примеру, за прогон сайта, а сам пихает сайт клиента в эту систему и радуется жизни, тем времен, как бедные владельцы сайтов терпят из-за этого убытки. Видел одну темку на форуме, где возможно автор данной системы брал 30$ за 500 ссылок.

Однако левые ссылки на вашем сайте, это еще малая часть ущерба нанесенного таким шаблоном.

Кроме ссылок, вас может ждать взлом сайта, с помощью веб-шелл, а это, на мой взгляд, намного хуже.

Как предотвратить данную проблему?

Скачивайте темы оформления и плагины только, с официального хранилища WordPress – это не даст вам сто процентных гарантий, что файлы будут полностью чистые и безопасные, но это куда лучше, чем неизвестный источник.
Перед установкой шаблона обязательно просмотрите весь код в каждом файле. Если вы в этом не разбираетесь, наймите опытных людей. Пусть вам обойдется это в копеечку, ведь лучше потратиться при открытии сайта и обезопасить его, чем потом жалеть о деньгах, потраченных на продвижение и трудах впустую.
Сканируйте иногда сайт на вирусы и внешние ссылки.

Кстати, данная статья касается ни, только, сайтов на WordPress, а так же и пользователей других популярных cms, таких как: Joomla, Drupal.

Черный список сайтов:

И напоследок список сайтов, откуда не стоит качать шаблоны для WordPress. 95-97 % шаблонов, с этих сайтов имеют уязвимости, проверено лично мной (добавил пробелы).