Скрытые угрозы в бесплатных шаблонах для сайта

что скрывается в бесплтаных шаблонах

Реферальные банеры

Доброго времени суток!

В этой статье я расскажу об опасностях, которые поджидают блоггеров-новичков, подыскивающих для своего WordPress блога бесплатный шаблон на сайтах-каталогах тем. Шаблоны, переведенные на русский я зык, часто содержат «спам» ссылки на внешние сайты, скрипты с критическими уязвимостями, бэкдоры, дающие возможность загрузить веб-шелл.

Сколько незнакомых слов? Небольшое пояснение и расшифровка терминов.

Бэкдор (черный ход в переводе с анлийского backdoor) – зашифрованный в файлах темы код, дающий возможность хакеру получить доступ и удаленное управление сайтом через загрузку веб-шелла. Кроме этого заразиться могут все сайты, находящие у вас на хостинге.

Веб-шелл – скрипт, предоставляющий злоумышленнику доступ к файлам сайтам и его базе данных. Хакер может полностью контролировать файловую систему сайта и вносить любые изменения. Часто это могут быть поисковые и мобильные редиректы, добавление внешних ссылок, вирусного кода в шаблон.

Сюрпризы зараженных шаблонов

В каждом шаблоне, который я скачивала для своего нового сайта, содержался код со ссылками на другие сайты. Не редко этот код был зашифрован. Я даже посвятила решению этой проблемы статью – «Как выявить ссылки на другие сайты в шаблоне и удалить их». Такое размещение ссылок служит черным методом раскрутки сайтов в поисковых системах и наращивания его показателей.

Обычно файл footer.php, sidebar.php или functions.php, содержит в себе код, который при открытии страницы сайта, загружает с внешнего сайта список спам-ссылок. Часто эти ссылки не видимы, как для владельца сайта, так и для посетителей. Наличие внешних ссылок можно увидеть, посмотрев исходный код страницы. Более продвинутые коды могут заменять слова в статьях на ссылки, ведущие на чужой сайт.

Наличие вредоносного кода, превращает сайт в «линкопомойку» - ресурс заспамленный ссылками на площадки взрослой и серой тематики. По мимо замедления скорости открытия страниц, такой сайт теряет лояльность поисковых систем и рискует попасть в черный их черный список.
Не редко причиной заражения сайта может стать уязвимость в шаблоне, содержащаяся в скрипте timthumb.php. Он служит для автоматического масштабирования изображений и содержится практически в каждой теме. 2.8.14 - на сегодняшний день самая новая версия. Проверьте версию в вашем файле и, если она более ранняя, обновите файл с [urlspan]официального источника[/urlspan].

Меры предосторожности от взлома и проверка на уязвимости

Помните, бесплатные каталоги шаблонов распространяют темы, уже содержащие зашитые и скрытые ссылки на другие сомнительные сайты. Не стоит думать, что премиум-шаблоны, выложенные бесплатно, чистые, они с большой долей вероятности, будут содержать в себе вредоносные вставки в код. Премиум-темы покупайте у официальных представителей на их сайтах. Начинающие блоггеры без стартового капитала могут установить тему из официального репозитория https://wordpress.org/themes/. Плагины тоже следует устанавливать оттуда.

Выбор дизайна сайта и подходящего шаблона – дело не легкое. В папке с темами на хостинге может скопиться много тем, а активной будет всего одна. Так вот не храните их в wp-content/themes, после выбора подходящей, скопируйте себе на компьютер понравившиеся, а оттуда сотрите. Рекомендую переименовать папку скачанной вами темы после ее установки.

Проверьте версию скрипта timthumb.php, о котором говорилось выше. Если она не последней версии, обновите [urlspan]отсюда[/urlspan].

Если вы размещаете свой сайт на хостинге Бегет, с недавнего времени у него появился скрипт проверки на наличие вредоносных кодов и спам-ссылок – AI-Bolit. На главной странице вашего аккаунта найдите в самом низу раздел «Сервисы», потом выберите «AI-Bolit».

При выборе режима «Параноидальная проверка» в отчете будет около 30-ти подозрительных скриптов. Для большинства найденных скриптов - это окажется ложным срабатыванием сканера Айболит, которое происходит из-за автоматической проверки.

Понравилась статья? Поделиться с друзьями:
Как заработать деньги в интернете
Комментарии: 37
  1. Виктор

    Виктория, здравствуйте!
    Очень полезная статья. Я много узнал нового, буду применять в работе.
    Спасибо! С уважением!

  2. Нина

    Знакома с такой бедой. После их удаления, сразу и трафик у меня повысился.

    1. Игорь

      так же после их удаления, может и шаблон свернуться

    2. Анатолий

      Много опасностей ожидает блогера в бесплатном шаблоне. Многие о них не подозревают.

      1. Игорь

        Это точно. Но так же можно грамотно зачистить бесплатный код, если он со всякими ссылками

  3. Игорь

    В бесплатном шаблоне много гадости можно выцепить. Но это устранимо

    1. Люся

      Качайте шаблоны из официальных репозиториев, в них кроме ссылок разработчиков сюрпризов нет.

      1. Игорь

        Это то понятно, только у официалов нет таких шаблонов которые устраивают всех людей.)))

  4. Александр

    Спасибо Виктория! Я как раз в основном делаю сайты на движке WordPress, в первую очередь всегда придаю внешним ссылкам в шаблонах. Спасибо Вам за совет откуда брать шаблоны. Теперь всегда буду пользоваться проверенными источниками, но как ещё и программист займусь обязательно разработкой своих шаблонов.

    1. Люся

      Внешние ссылки безопаснее вшитого в файлы шаблона опасного кода. Найти вредоносный код трудно.

      1. Игорь

        Трудно но возможно. Они также бывают закодированными

      2. Анатолий

        Вредоносный вшитый в шаблон код куда-то цепляется, выходит в интернет.

      3. Игорь

        Ну так понят но что за что то цепляются, а так смысла нет его вообще вставлять

  5. Ирина

    Подскажите что можно запихгуть в шаблон для дле, скачал шаблон с паблика вот думаю что ж там искать кроме ссылок? Ифрейм и жава скрипт?

    1. Сергей Грицюк

      Вы сами ответили на свой вопрос. Учтите, что код может быть зашифрован.

    2. Люся

      Ответа на вопрос нет. В любом шаблоне много разных файлов с разными расширениями. Без упомянутых Ириной расширений шаблон не станет работать.

    3. Анатолий

      Джава скрипт необходимые для работы блога файлы, но среди них могут быть вредоносные. Ифрейм не нужен.

  6. Наталья

    Очень вовремя попала на Вашу статью. Мой блог совсем молодой и создан на бесплатном шаблоне WordPress. Буду проверять.

    1. Сергей Грицюк

      Наталья, рекомендую проверку поручить специалистам хостинга. Зачастую подобную услугу они предоставляют бесплатно.

    2. Люся

      На каких хостингах делается бесплатная проверка шаблонов? Хостеры не хотят проверять за просто так файлы на вирусы.

  7. Юлия

    Я у себя в шаблоне аж 5 ссылок нашла! Вот тебе и бесплатные шаблоны! Сама обнаружила и удалила их.

    1. Сергей Грицюк

      После этого трафик на сайте должен вырасти. Но даже покупка платного шаблона не гарантирует отсутствия скрытых ссылок.

      1. Bahus

        Авторы платных шаблонов вряд ли будут этим заниматься. Репутация дороже.

      2. Нина

        Поверьте, есть и такие, которые засовывают скрытые ссылки.У одной девочки так и было. Купила, а еще потом и мастера нанимала.

      3. Игорь

        Ну это уже хамство со стороны автора

  8. Ната Дегтярева

    Что-то я в тихом ужасе пребываю после прочтения статьи… Пойду проверять свой шаблон.
    Виктория, тут у вас в тексте опечаточка наверное, в конце шестого абзаца — «попасть в черный их черный список».

    1. Сергей Грицюк

      Ната, когда ведешь несколько сайтов самостоятельно, уже перестаешь перечитывать статьи, поэтому опечатки случаются.

      1. Александр Макаров

        Да когда ведёшь и один сайт, если статья большая — не всегда перечитываешь =)

      2. Нина

        У меня один сайт, и то бывает такое. Особенно если ночью пишу статьи.

      3. Игорь

        да это не страшно, можно через сервис на ошибки проверить

  9. Анна

    Спасибо за очень полезнейшую статью. Для меня вы каждый раз открываете новое в мире блоггерства, прислушиваюсь и учусь у вас. Описали не только проблему, но и возможность ее решения.

    1. Сергей Грицюк

      Анна, после того как сами почистите свой сайт, я бы порекомендовал обратиться за проверкой к хостеру. Обычно они такую услугу бесплатно предоставляют.

  10. Руслан

    Да уж, опасно сейчас экономить на бесплатном шаблоне)

    1. Сергей Грицюк

      Всегда было небезопасно пользоваться бесплатными продуктами в любых сферах.

    2. Александр Макаров

      Конечно лучше покупать шаблон. Это не только безопасно, но и для поисковиков лучше. Шаблон должен быть уникальным.

  11. Сергей Грицюк

    Наконец-то появилась новая статья! :) Старые комментировать лично мне практически невозможно, так как я в большинстве статей на Вашем блоге оставил немало комментариев и ответил на множество комментариев пользователей.

    У меня был похожий случай с бесплатным шаблоном — был зашит код с Sape. Код был виден только на одной странице сайта и находился в подвале, поэтому я его не замечал на протяжении нескольких месяцев. Благодаря совместным усилиям с хостером удалось почистить шаблон от разного шлака.

    Бегет добавил неплохой функционал. Побольше бы таких Айболитов и у других хостеров.

    1. Александр Макаров

      Но всё же большинство проблем скрываются в подвале и их довольно легко убрать правкой кода. Хотя я тоже сталкивался со ссылкой в шаблоне, которую так и не смог удалить, Хорошо хоть шаблон был не супер-пупер =)

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:
Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности. Комментарий появится после проверки. Комментарии, содержащие спам и ненормативную лексику будут удалены!

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.