Скрытые угрозы в бесплатных шаблонах для сайта

Автор: | Рубрика: Блог на Wordpress | Обновлено: 2016-01-27 | Создано:
Просмотров: 1531
что скрывается в бесплтаных шаблонах

Доброго времени суток!

В этой статье я расскажу об опасностях, которые поджидают блоггеров-новичков, подыскивающих для своего WordPress блога бесплатный шаблон на сайтах-каталогах тем. Шаблоны, переведенные на русский я зык, часто содержат «спам» ссылки на внешние сайты, скрипты с критическими уязвимостями, бэкдоры, дающие возможность загрузить веб-шелл.

Сколько незнакомых слов? Небольшое пояснение и расшифровка терминов.

Бэкдор (черный ход в переводе с анлийского backdoor) – зашифрованный в файлах темы код, дающий возможность хакеру получить доступ и удаленное управление сайтом через загрузку веб-шелла. Кроме этого заразиться могут все сайты, находящие у вас на хостинге.

Веб-шелл – скрипт, предоставляющий злоумышленнику доступ к файлам сайтам и его базе данных. Хакер может полностью контролировать файловую систему сайта и вносить любые изменения. Часто это могут быть поисковые и мобильные редиректы, добавление внешних ссылок, вирусного кода в шаблон.

Сюрпризы зараженных шаблонов

В каждом шаблоне, который я скачивала для своего нового сайта, содержался код со ссылками на другие сайты. Не редко этот код был зашифрован. Я даже посвятила решению этой проблемы статью – «Как выявить ссылки на другие сайты в шаблоне и удалить их». Такое размещение ссылок служит черным методом раскрутки сайтов в поисковых системах и наращивания его показателей.

Обычно файл footer.php, sidebar.php или functions.php, содержит в себе код, который при открытии страницы сайта, загружает с внешнего сайта список спам-ссылок. Часто эти ссылки не видимы, как для владельца сайта, так и для посетителей. Наличие внешних ссылок можно увидеть, посмотрев исходный код страницы. Более продвинутые коды могут заменять слова в статьях на ссылки, ведущие на чужой сайт.

Наличие вредоносного кода, превращает сайт в «линкопомойку» - ресурс заспамленный ссылками на площадки взрослой и серой тематики. По мимо замедления скорости открытия страниц, такой сайт теряет лояльность поисковых систем и рискует попасть в черный их черный список.
Не редко причиной заражения сайта может стать уязвимость в шаблоне, содержащаяся в скрипте timthumb.php. Он служит для автоматического масштабирования изображений и содержится практически в каждой теме. 2.8.14 - на сегодняшний день самая новая версия. Проверьте версию в вашем файле и, если она более ранняя, обновите файл с официального источника.

Меры предосторожности от взлома и проверка на уязвимости

Помните, бесплатные каталоги шаблонов распространяют темы, уже содержащие зашитые и скрытые ссылки на другие сомнительные сайты. Не стоит думать, что премиум-шаблоны, выложенные бесплатно, чистые, они с большой долей вероятности, будут содержать в себе вредоносные вставки в код. Премиум-темы покупайте у официальных представителей на их сайтах. Начинающие блоггеры без стартового капитала могут установить тему из официального репозитория https://wordpress.org/themes/. Плагины тоже следует устанавливать оттуда.

Выбор дизайна сайта и подходящего шаблона – дело не легкое. В папке с темами на хостинге может скопиться много тем, а активной будет всего одна. Так вот не храните их в wp-content/themes, после выбора подходящей, скопируйте себе на компьютер понравившиеся, а оттуда сотрите. Рекомендую переименовать папку скачанной вами темы после ее установки.

Проверьте версию скрипта timthumb.php, о котором говорилось выше. Если она не последней версии, обновите отсюда.

Если вы размещаете свой сайт на хостинге Бегет, с недавнего времени у него появился скрипт проверки на наличие вредоносных кодов и спам-ссылок – AI-Bolit. На главной странице вашего аккаунта найдите в самом низу раздел «Сервисы», потом выберите «AI-Bolit».

При выборе режима «Параноидальная проверка» в отчете будет около 30-ти подозрительных скриптов. Для большинства найденных скриптов - это окажется ложным срабатыванием сканера Айболит, которое происходит из-за автоматической проверки.

С уважением, Виктория – блог inetsovety.ru

Поделиться ссылкой на пост в соц. сетях
Получать уведомления о новых статьях на e-mail
Комментариев: 21 к статье "Скрытые угрозы в бесплатных шаблонах для сайта"
  • Александр 2016-07-12 в 11:42

    Спасибо Виктория! Я как раз в основном делаю сайты на движке WordPress, в первую очередь всегда придаю внешним ссылкам в шаблонах. Спасибо Вам за совет откуда брать шаблоны. Теперь всегда буду пользоваться проверенными источниками, но как ещё и программист займусь обязательно разработкой своих шаблонов.

    Ответить
    • Люся 2016-10-17 в 05:24

      Внешние ссылки безопаснее вшитого в файлы шаблона опасного кода. Найти вредоносный код трудно.

      Ответить
  • Ирина 2016-03-31 в 21:43

    Подскажите что можно запихгуть в шаблон для дле, скачал шаблон с паблика вот думаю что ж там искать кроме ссылок? Ифрейм и жава скрипт?

    Ответить
    • Сергей Грицюк 2016-04-29 в 10:59

      Вы сами ответили на свой вопрос. Учтите, что код может быть зашифрован.

      Ответить
    • Люся 2016-10-17 в 05:27

      Ответа на вопрос нет. В любом шаблоне много разных файлов с разными расширениями. Без упомянутых Ириной расширений шаблон не станет работать.

      Ответить
  • Наталья 2016-03-26 в 12:30

    Очень вовремя попала на Вашу статью. Мой блог совсем молодой и создан на бесплатном шаблоне WordPress. Буду проверять.

    Ответить
    • Сергей Грицюк 2016-04-29 в 10:59

      Наталья, рекомендую проверку поручить специалистам хостинга. Зачастую подобную услугу они предоставляют бесплатно.

      Ответить
    • Люся 2016-10-17 в 05:29

      На каких хостингах делается бесплатная проверка шаблонов? Хостеры не хотят проверять за просто так файлы на вирусы.

      Ответить
  • Юлия 2016-02-20 в 07:40

    Я у себя в шаблоне аж 5 ссылок нашла! Вот тебе и бесплатные шаблоны! Сама обнаружила и удалила их.

    Ответить
    • Сергей Грицюк 2016-04-29 в 11:03

      После этого трафик на сайте должен вырасти. Но даже покупка платного шаблона не гарантирует отсутствия скрытых ссылок.

      Ответить
      • Bahus 2016-06-23 в 21:30

        Авторы платных шаблонов вряд ли будут этим заниматься. Репутация дороже.

        Ответить
  • Ната Дегтярева 2016-02-08 в 10:45

    Что-то я в тихом ужасе пребываю после прочтения статьи… Пойду проверять свой шаблон.
    Виктория, тут у вас в тексте опечаточка наверное, в конце шестого абзаца — «попасть в черный их черный список».

    Ответить
    • Сергей Грицюк 2016-04-29 в 11:06

      Ната, когда ведешь несколько сайтов самостоятельно, уже перестаешь перечитывать статьи, поэтому опечатки случаются.

      Ответить
      • Александр Макаров 2016-08-29 в 09:48

        Да когда ведёшь и один сайт, если статья большая — не всегда перечитываешь =)

        Ответить
  • Анна 2016-01-31 в 11:06

    Спасибо за очень полезнейшую статью. Для меня вы каждый раз открываете новое в мире блоггерства, прислушиваюсь и учусь у вас. Описали не только проблему, но и возможность ее решения.

    Ответить
    • Сергей Грицюк 2016-04-29 в 11:07

      Анна, после того как сами почистите свой сайт, я бы порекомендовал обратиться за проверкой к хостеру. Обычно они такую услугу бесплатно предоставляют.

      Ответить
  • Руслан 2016-01-27 в 17:10

    Да уж, опасно сейчас экономить на бесплатном шаблоне)

    Ответить
    • Сергей Грицюк 2016-01-29 в 11:26

      Всегда было небезопасно пользоваться бесплатными продуктами в любых сферах.

      Ответить
    • Александр Макаров 2016-08-29 в 09:50

      Конечно лучше покупать шаблон. Это не только безопасно, но и для поисковиков лучше. Шаблон должен быть уникальным.

      Ответить
  • Сергей Грицюк 2016-01-27 в 15:43

    Наконец-то появилась новая статья! 🙂 Старые комментировать лично мне практически невозможно, так как я в большинстве статей на Вашем блоге оставил немало комментариев и ответил на множество комментариев пользователей.

    У меня был похожий случай с бесплатным шаблоном — был зашит код с Sape. Код был виден только на одной странице сайта и находился в подвале, поэтому я его не замечал на протяжении нескольких месяцев. Благодаря совместным усилиям с хостером удалось почистить шаблон от разного шлака.

    Бегет добавил неплохой функционал. Побольше бы таких Айболитов и у других хостеров.

    Ответить
    • Александр Макаров 2016-08-29 в 09:53

      Но всё же большинство проблем скрываются в подвале и их довольно легко убрать правкой кода. Хотя я тоже сталкивался со ссылкой в шаблоне, которую так и не смог удалить, Хорошо хоть шаблон был не супер-пупер =)

      Ответить
Оставить комментарий
Нажмите, чтобы отменить ответ.

Комментарий появится после проверки. Комментарии, содержащие спам и ненормативную лексику будут удалены!