На сегодняшний день WordPress является самой популярной системой управления контентом. WordPress — это довольно хорошо защищенная CMS. Однако многие вебмастера сами делают все возможное для того, чтобы нанести максимальный вред своему сайту. По сути об этом и пойдет здесь речь.
Методология исследования
Исследование было проведено специалистами компании «Ревизиум».
На основе поисковой выдачи Яндекса и Google был составлен список из 6 наиболее популярных каталогов бесплатных шаблонов, содержащих тысячи архивов с различными темами для WordPress. С каждого сайта было скачано 500 последних загруженных архивов с шаблонами. Одинаковые архивы были объединены. В результате сформировался список из 2350 уникальных тем, среди которых встречалось довольно много коммерческих премиум шаблонов, в том числе созданных иностранными программистами.
Все шаблоны были просканированы инструментами для поиска вредоносного кода AI-Bolit, Maldet и ClamAv. Из найденных шаблонов были выделены общие вредоносные фрагменты, которые вручную были деобфусцированы и проанализированы.
Результаты проверки
Более половины, а точнее 54%, оказались зараженными хакерскими веб-шеллами, бэкдорами, black hat SEO (“спам”) ссылками, а также содержали скрипты с критическими уязвимостями. Темы и шаблоны для WordPress скачивались с популярных сайтов-каталогов, предлагающих русскоязычные премиум и тематические шаблоны.
Например, если скачать тему blogdog с такого сайта, то мы увидим тот же хакерский бэкдор в файле comments-popup.php.
С помощью данного бэкдора можно выполнять произвольный код на сайте (загрузить веб-шелл, удалить содержимое каталогов, вставить вирусный код в шаблоны и скрипты, получить доступ к базе данных и многое другое), в результате чего получить полный контроль над всеми сайтами аккаунта хостинга.
Еще один пример заражения шаблона:
После декодирования:
Примерно столь же печально обстоит ситуация и с плагинами для WordPress.
Выводы
Не хотите заразить свой сайт на WordPress вирусами? Устанавливайте шаблоны и плагины исключительно через официальный сайт WordPress. Никогда не пользуйтесь сайтами с nulled версиями премиум шаблонов и плагинов. Подобного рода экономия обходится дорого. Не стоит также устанавливать лишние и заведомо уязвимые плагины. Чем меньше вы используете плагинов — тем лучше.