Проверьте свой шаблон WordPress на зловредный код (Часть 2)

Проверьте свой шаблон WordPress на зловредный код (Часть 2)

Это продолжение. Начало здесь.
В первой части мы говорили о плагинах, которые помогают определить подозрительный код в файлах темы.

Но есть зловредные скрипты, которые не определяются этими плагинами. В одних случаях они не определяются потому, что находятся не в файлах темы, а в других — потому что, плагины не определяют их как зловредный код.

Если сканирование плагинами ничего сомнительного не показало, то это еще не означает, что ваш сайт находится в безопасности.

Лично я предлагаю, еще в ручную проверить некоторые файлы темы и посмотреть HTML-код сайта.

Проверка файлов темы

Изучите содержание таких файлов: header.php, functions.php, footer.php.

В файле functions.php разработчики прописывают все ф-ции темы и пути к ним. Перед каждой ф-цией обычно указан комментарий с названием ф-ции.

Пример (комментарий начинается после символов //):

Пример зловредного кода: редирект на чужой сайт

Вот фрагмент кода одного из премиум-шаблонов для WordPress, скачанных с паблика (фрагмент кода файла functions.php):

Мое внимание привлекла неприметная строчка:

Это и есть чужой код.

Этот инклюд вызывает ф-цию редиректа пользователя на сайт https://www.downloadmusicfreenow.com
Сама ф-ция находилась в файле post.php в папке темы include/plugin

Ф-ция может находится в разных файлах. Я например находил ее в файлах: post.php и sidebar_blog_post.php в разных темах.

Очень много шаблонов из паблика заражено всевозможными скриптами. Скачивая такой шаблон вы рискуете своим сайтом (репутацией, деньгами, авторитетом и т.д.).

Как можна по-другому найти такие ф-ции редиректа?

1) По истерическому сигналу вашего антивируса, который вдруг заблокировал доступ к вашему сайту. Это уже сигнал, что в шаблоне присутствует чужой код.

2) Используйте программу Total Commander и через поиск в файлах попробуйте найти такие комбинации кода:

3) Используйте программу Adobe Dreamweaver. Создайте в ней проект сайта, укажите шаблон и через поиск в нем попробуйте найти вышеуказанный код.

Проверка HTML-кода сайта

Установите на сайт шаблон и необходимые плагины. Откройте в браузере HTML-код главной страницы сайта (например, в Google Chrome это можна сделать вызвав контекстное меню на странице и выбрав пункт «Просмотр кода страницы»).

Просмотрите внимательно код. Обратите внимание на ссылки и текст.

Пример зловредного кода: рекламные ссылки

На одном сайте, которым я занимался, я нашел скрытые ссылки, которые ведут на порносайты (строка 54):

porno_links_site

Как вы думаете мне было приятно от порнухи на своем сайте, который очень далек от этой тематики? — Моему возмущению не было предела!

Как же они попали на сайт?

Обратите внимание на HTML-код в строке 53.

Ссылки генерировались зловредным скриптом, кторый находился в плагине NextGen (плагин создает фотогалереи). Все дело в том, что я установил плагин из неофициальных источников.

Устанавливайте плагины только из официального репозитория WordPress — https://wordpress.org/extend/plugins/

В статье Проверьте свой сайт на вирусы я указал сервисы, которые проверяют сайты на чужие внешние ссылки. Обязательно проверьте свой сайт.

Кстати, у меня был случай, когда один из плагинов, установленных из официального репозитория WordPress также генерировал чужие рекламные ссылки.

Вывод: лишняя бдительность не помешает.

Дополнительно

Еще приведу один пример того, как плохие дяди (или тети) хотят на шару вас поиспользовать.

В одном из премиум шаблонов, в файле header.php плагином Theme Authenticity Checker (TAC) был найден код eval base64:

Декодером я расшифровал файл:

В первой строке есть ссылка на графический файл: images/wp_menu_top.png. Этот файл подгружается зашифрованным кодом.

В папке images нашел этот файл и попробовал открыть — не получилось. По коду видно, что это не обычный графический файл, а сжатый текстовый файл с кодом внутри. Скорей всего этот код выводит скрытые рекламные ссылки. В любом случае он нам не нужен.

Лечение: удалить код eval base64 из файла header.php, удалить файл wp_menu_top.png.

Перед тем, как что-то удалить — сохраните исходные файлы.

Рейтинг 0/5 (0 голосов)
 

Добавить комментарий

avatar