Безопасность Вашего сайта и бесплатные темы под WordPress

10 Май
2012

На сегодня все большую популярность набирает бесплатная система управления сайтом WordPress.

  • бесплатна
  • проста в использовании
  • возможность быстро подобрать и сменить дизайн для сайта
  • визуальное редактирование не требует знаний HTML
  • не требуется нанимать на работу специалиста для поддержки такого сайта


Вот основные критерии которыми пользуются новички или компании, желающие испытать себя на просторах интернета. Я не говорю о целесообразности создания таких «проектов».

Других, более опытных пользователей, привлекает возможность расширить функционал своего сайта (блога, магазина, каталога, портфолио …) за счет плагинов, также бесплатных, да плюс они легко устанавливаются и настраиваются.

Но большинство пользователей, отдавших предпочтение WordPress и не владеющих знанием PHP даже не догадываются, что их сайтом будет управлять кто-то еще. И причина тому кроется в «бесплатных темах».

Мне приходилось устанавливать и чистить свыше 300 тем, и с этим опытом выработался определенных список критериев, как можно узнать что эта тема содержит вредоносный код, не зная языка PHP, да и пользователям владеющим PHP этот список может пригодиться, гораздо легче найти уязвимость, если знать что искать.

Обычно тему вы скачиваете в виде архива. Не устанавливайте ее на свой сайт! Даже сам факт установки может предоставить злоумышленнику доступ к Вашему сайту, пусть Вы и не остановитесь на этой теме.

Сперва распакуйте тему к себе на компьютер, и откройте файлы с расширением .php в любом текстовом редакторе, лучше установите себе notepad++ notepad-plus-plus.org/ или используйте стандартный блокнот Windows.

Проверьте, чтобы ни в одном из открытых Вами файлов не было следующих слов (функций)

  • str_rot13 — шифрует данные (сами посудите, зачем)
  • base64_decode — расшифровывает данные
  • create_function — создает анонимную функцию — часто применяется для скрытия ее настоящего кода
  • « — запуск программ на стороне сервера
  • shell
  • exec
  • system
  • passthru
  • popen
  • proc_open
  • wp_set_auth_cookie — просто предоставляет доступ к сайту
  • eval — выполняет любые указания
  • fopen — и все функции ниже создают, редактируют, удаляют файлы, — зачем, и почему их не создали сразу?
  • fread
  • fsockopen
  • readfile
  • file
  • file_get_contents
  • file_put_contents
  • rename
  • copy
  • glob
  • unlink
  • dir
  • scandir
  • curl_init — получить информацию с другого сайта
  • bloq bloqinfo — похожа на bloginfo — используется, чтобы Вас запутать
  • mail — Вы точно собирались писать кому-то письма, и что в этих письмах?


Если вы находите хотя-бы одно из этих слов (функций) 95% вероятности, что Ваша тема заражена вредоносным кодом.

Дело в том, что при создании любой темы, пусть даже очень функциональной, не требуется ни одна из перечисленных выше функций, с другой стороны сложно найти такую зараженную тему, которая бы их не использовала.

И помните, что если злоумышленник получил доступ хотя-бы к одному сайту работающему под WordPress, он с легкостью получит доступ ко всем сайтам на вашем хостинг-аккаунте.

Пользователям же, знающим PHP хочется обратить внимание на следующие моменты функции/конструкции

  • add_action
  • add_filter
  • function
  • die
  • exit
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх