WordPress для идиотов

Нередко при возникновении необходимости создания блога или простого сайта продвинутые пользователи интернета находят в поисковых системах статьи, туториалы и всевозможные видеоуроки о том как легко и просто это сделать. Действительно, процесс вполне под силу любому человеку, способному выполнить ряд несложных действий по инструкции: скачиваешь «движок», ищешь бесплатные шаблоны, покупаешь домен с хостингом, устанавливаешь и готово! Более того, многие хостеры предлагают установку «за пару кликов» самых популярных систем управления контентом: Joomla!, WordPress, MODx, Drupal.

Выполняя аудит безопасности одного блога на WordPress с использованием готового бесплатного дизайна, я столкнулся с хитрыми вредоносными вставками в код темы.

Файл functions.php содержал подозрительный участок.

Этот код добавляет обработчик содержимого поста или страницы. Код обработчика берется из опции под названием blogoption и выполняется при отображении поста в полном виде.

Смотрим значение опции

и получаем код, который обрабатывает содержимое поста.

Получается что вместо содержимого поста отобразится то, что после запроса и передачи идентификатора отдаст сайт wpru.ru. В моем случае в ответ отдавалось содержимое оригинального поста с модификацией: один из символов «.» (точка) оборачивался в замаскированную ссылку на другой сайт.

Далее возник вопрос о том, откуда взялась опция blogoption и как туда был записан код обработчика.

В ходе дальнейшего анализа выяснилось, что изначально тема содержала следующий код в том же файле functions.php

При первой установке темы создается опция blogoption с обработчиком и затем код установки самоуничтожается.

В итоге мы имеем сайт на WordPress содержимое которого злоумышленник может модифицировать извне: встраивать любой текст, ссылки, вредоносные скрипты, изображения, редиректы, рекламу и даже полностью заменять текст страниц. Почти всегда это приводит к сложностям с поисковыми системами вплоть до наложения фильтров и бана.

Беглый просмотр сайтов из ТОПов выдачи поисковиков по запросу «wordpress темы» показывает, что большинство предлагаемых бесплатных тем содержит подозрительный код, который может осуществлять самые разнообразные действия: от размещения ссылок до воровства статей с автоматической публикацией на других ресурсах, угона аккаунтов и заливки shell-ов. То же самое касается и других халявных вкусностей: взломанных коммерческих скриптов, волшебных движков, готовых сборок и тем оформления для различных CMS. Наверное не зря говорят о том, что халява бывает только в определенных местах.

Будьте внимательны при использовании бесплатных шаблонов и готовых решений из ненадежных источников.