Доброго времени суток!
В этой статье я расскажу об опасностях, которые поджидают блоггеров-новичков, подыскивающих для своего WordPress блога бесплатный шаблон на сайтах-каталогах тем. Шаблоны, переведенные на русский я зык, часто содержат «спам» ссылки на внешние сайты, скрипты с критическими уязвимостями, бэкдоры, дающие возможность загрузить веб-шелл.
Сколько незнакомых слов? Небольшое пояснение и расшифровка терминов.
Бэкдор (черный ход в переводе с анлийского backdoor) – зашифрованный в файлах темы код, дающий возможность хакеру получить доступ и удаленное управление сайтом через загрузку веб-шелла. Кроме этого заразиться могут все сайты, находящие у вас на хостинге.
Веб-шелл – скрипт, предоставляющий злоумышленнику доступ к файлам сайтам и его базе данных. Хакер может полностью контролировать файловую систему сайта и вносить любые изменения. Часто это могут быть поисковые и мобильные редиректы, добавление внешних ссылок, вирусного кода в шаблон.
Сюрпризы зараженных шаблонов
В каждом шаблоне, который я скачивала для своего нового сайта, содержался код со ссылками на другие сайты. Не редко этот код был зашифрован. Я даже посвятила решению этой проблемы статью – «Как выявить ссылки на другие сайты в шаблоне и удалить их». Такое размещение ссылок служит черным методом раскрутки сайтов в поисковых системах и наращивания его показателей.
Обычно файл footer.php, sidebar.php или functions.php, содержит в себе код, который при открытии страницы сайта, загружает с внешнего сайта список спам-ссылок. Часто эти ссылки не видимы, как для владельца сайта, так и для посетителей. Наличие внешних ссылок можно увидеть, посмотрев исходный код страницы. Более продвинутые коды могут заменять слова в статьях на ссылки, ведущие на чужой сайт.
Наличие вредоносного кода, превращает сайт в «линкопомойку» - ресурс заспамленный ссылками на площадки взрослой и серой тематики. По мимо замедления скорости открытия страниц, такой сайт теряет лояльность поисковых систем и рискует попасть в черный их черный список.
Не редко причиной заражения сайта может стать уязвимость в шаблоне, содержащаяся в скрипте timthumb.php. Он служит для автоматического масштабирования изображений и содержится практически в каждой теме. 2.8.14 - на сегодняшний день самая новая версия. Проверьте версию в вашем файле и, если она более ранняя, обновите файл с [urlspan]официального источника[/urlspan].
Меры предосторожности от взлома и проверка на уязвимости
Помните, бесплатные каталоги шаблонов распространяют темы, уже содержащие зашитые и скрытые ссылки на другие сомнительные сайты. Не стоит думать, что премиум-шаблоны, выложенные бесплатно, чистые, они с большой долей вероятности, будут содержать в себе вредоносные вставки в код. Премиум-темы покупайте у официальных представителей на их сайтах. Начинающие блоггеры без стартового капитала могут установить тему из официального репозитория
Выбор дизайна сайта и подходящего шаблона – дело не легкое. В папке с темами на хостинге может скопиться много тем, а активной будет всего одна. Так вот не храните их в wp-content/themes, после выбора подходящей, скопируйте себе на компьютер понравившиеся, а оттуда сотрите. Рекомендую переименовать папку скачанной вами темы после ее установки.
Проверьте версию скрипта timthumb.php, о котором говорилось выше. Если она не последней версии, обновите [urlspan]отсюда[/urlspan].
Если вы размещаете свой сайт на хостинге Бегет, с недавнего времени у него появился скрипт проверки на наличие вредоносных кодов и спам-ссылок – AI-Bolit. На главной странице вашего аккаунта найдите в самом низу раздел «Сервисы», потом выберите «AI-Bolit».
При выборе режима «Параноидальная проверка» в отчете будет около 30-ти подозрительных скриптов. Для большинства найденных скриптов - это окажется ложным срабатыванием сканера Айболит, которое происходит из-за автоматической проверки.
Виктория, здравствуйте!
Очень полезная статья. Я много узнал нового, буду применять в работе.
Спасибо! С уважением!
Знакома с такой бедой. После их удаления, сразу и трафик у меня повысился.
так же после их удаления, может и шаблон свернуться
Много опасностей ожидает блогера в бесплатном шаблоне. Многие о них не подозревают.
Это точно. Но так же можно грамотно зачистить бесплатный код, если он со всякими ссылками
В бесплатном шаблоне много гадости можно выцепить. Но это устранимо
Качайте шаблоны из официальных репозиториев, в них кроме ссылок разработчиков сюрпризов нет.
Это то понятно, только у официалов нет таких шаблонов которые устраивают всех людей.)))
Спасибо Виктория! Я как раз в основном делаю сайты на движке WordPress, в первую очередь всегда придаю внешним ссылкам в шаблонах. Спасибо Вам за совет откуда брать шаблоны. Теперь всегда буду пользоваться проверенными источниками, но как ещё и программист займусь обязательно разработкой своих шаблонов.
Внешние ссылки безопаснее вшитого в файлы шаблона опасного кода. Найти вредоносный код трудно.
Трудно но возможно. Они также бывают закодированными
Вредоносный вшитый в шаблон код куда-то цепляется, выходит в интернет.
Ну так понят но что за что то цепляются, а так смысла нет его вообще вставлять
Подскажите что можно запихгуть в шаблон для дле, скачал шаблон с паблика вот думаю что ж там искать кроме ссылок? Ифрейм и жава скрипт?
Вы сами ответили на свой вопрос. Учтите, что код может быть зашифрован.
Ответа на вопрос нет. В любом шаблоне много разных файлов с разными расширениями. Без упомянутых Ириной расширений шаблон не станет работать.
Джава скрипт необходимые для работы блога файлы, но среди них могут быть вредоносные. Ифрейм не нужен.
Очень вовремя попала на Вашу статью. Мой блог совсем молодой и создан на бесплатном шаблоне WordPress. Буду проверять.
Наталья, рекомендую проверку поручить специалистам хостинга. Зачастую подобную услугу они предоставляют бесплатно.
На каких хостингах делается бесплатная проверка шаблонов? Хостеры не хотят проверять за просто так файлы на вирусы.
Я у себя в шаблоне аж 5 ссылок нашла! Вот тебе и бесплатные шаблоны! Сама обнаружила и удалила их.
После этого трафик на сайте должен вырасти. Но даже покупка платного шаблона не гарантирует отсутствия скрытых ссылок.
Авторы платных шаблонов вряд ли будут этим заниматься. Репутация дороже.
Поверьте, есть и такие, которые засовывают скрытые ссылки.У одной девочки так и было. Купила, а еще потом и мастера нанимала.
Ну это уже хамство со стороны автора
Что-то я в тихом ужасе пребываю после прочтения статьи… Пойду проверять свой шаблон.
Виктория, тут у вас в тексте опечаточка наверное, в конце шестого абзаца — «попасть в черный их черный список».
Ната, когда ведешь несколько сайтов самостоятельно, уже перестаешь перечитывать статьи, поэтому опечатки случаются.
Да когда ведёшь и один сайт, если статья большая — не всегда перечитываешь =)
У меня один сайт, и то бывает такое. Особенно если ночью пишу статьи.
да это не страшно, можно через сервис на ошибки проверить
Спасибо за очень полезнейшую статью. Для меня вы каждый раз открываете новое в мире блоггерства, прислушиваюсь и учусь у вас. Описали не только проблему, но и возможность ее решения.
Анна, после того как сами почистите свой сайт, я бы порекомендовал обратиться за проверкой к хостеру. Обычно они такую услугу бесплатно предоставляют.
Да уж, опасно сейчас экономить на бесплатном шаблоне)
Всегда было небезопасно пользоваться бесплатными продуктами в любых сферах.
Конечно лучше покупать шаблон. Это не только безопасно, но и для поисковиков лучше. Шаблон должен быть уникальным.
Наконец-то появилась новая статья! Старые комментировать лично мне практически невозможно, так как я в большинстве статей на Вашем блоге оставил немало комментариев и ответил на множество комментариев пользователей.
У меня был похожий случай с бесплатным шаблоном — был зашит код с Sape. Код был виден только на одной странице сайта и находился в подвале, поэтому я его не замечал на протяжении нескольких месяцев. Благодаря совместным усилиям с хостером удалось почистить шаблон от разного шлака.
Бегет добавил неплохой функционал. Побольше бы таких Айболитов и у других хостеров.
Но всё же большинство проблем скрываются в подвале и их довольно легко убрать правкой кода. Хотя я тоже сталкивался со ссылкой в шаблоне, которую так и не смог удалить, Хорошо хоть шаблон был не супер-пупер =)