Как защитить движок WordPress от взломов и заражений

В связи с участившимися жалобами на взлом сайтов, созданных на базе бесплатных CMS, в частности WordPress,  наша компания решила опубликовать для Вас информативную и очень полезную статью, из которой Вы узнаете: какие последствия несут в себе зараженные шаблоны и как уберечь ресурс от взлома через уязвимости. 

Всем известно, что скачанные с не оригинальных сайтов бесплатные шаблоны WordPress, могут быть заражены и содержать уязвимости. Мы провели эксперимент и оценили риск в цифрах. 

Из 2350 шаблонов WordPress скаченных с популярных сайтов-каталогов, предлагающих русскоязычные премиум - 54% содержали скрипты с критическими уязвимостями и были заражены хакерскими веб-шеллами, бэкдорами, “спам” ссылками.

Это наиболее популярные сайты, которые находятся в первой десятке в результатах поисковой выдачи по запросу “бесплатные темы для wordpress”. Заметим, что эти сайты не единственные, например, если скачать тему blogdog с ресурса wp-templates.ru, мы увидим тот же хакерский бэкдор в файле comments-popup.php.

А с помощью этого бэкдора злоумышленники могут выполнить произвольный код на сайте (загрузить веб-шелл, удалить содержимое каталогов, вставить вирусный код в шаблоны и скрипты, получить доступ к базе данных и многое другое), в результате чего получить полный контроль над всеми сайтами аккаунта хостинга. Только с wp-templates.ru тему blogdog скачали 309 раз, по грубым оценкам, суммарное число скачанных зараженных тем – более 500 000.

1. Спам-ссылки
Около 97% проверенных тем содержат код, размещающий чужой контент и спам-ссылки на страницах блога. Это так называемое “черное seo” – недобросовестный метод продвижения сайтов в поисковых системах и накручивания поисковых параметров тИЦ и PR. Как он работает? В момент открытия страницы код в файлах header.php, footer.php или functions.php выполняет загрузку списка спам-ссылок с внешнего сайта и размещает их на страницах блога в невидимом для посетителей блоке.

Более продвинутый вариант кода может выполнять кэширование загруженных ссылок в файле (обычно такой файл имеет расширение .png или .gif и размещается в каталоге images темы, чтобы не вызвать подозрение вебмастера). Кроме размещения спам-ссылок в невидимом блоке, код может вставлять чужой контент (текст и ссылки) на страницах блога, а также заменять отдельные слова в тексте на ссылку, ведущую на чужой сайт.

В шаблонах часто можно встретить и статические ссылки на чужие сайты. Но они будут также изначально закодированы с помощью base64 или функции str_rot13.

С учетом большой популярности бесплатных тем, данный метод “черного” продвижения достаточно эффективен, так как позволяет сформировать большую ссылочную массу, поэтому активно используется недобросовеcтными seo оптимизаторами и хакерами для продвижения сайтов клиентов или собственных проектов.

В результате работы вредоносного кода сайт превращается в линкферму, заспамленную “пластиковыми окнами”, “виагрой” и ссылками на сайты для взрослых, теряет лояльность со стороны поисковой системы и посетителей, а иногда попадает в бан или блокируется антивирусным программным обеспечением. Еще одним негативным моментом для сайта является также увеличение нагрузки на процессор и замедление открытия страниц блога, так как при открытии каждой страницы выполняется подключение к внешнему ресурсу.

Следующая по популярности проблема в шаблонах wordpress – это уязвимости в скрипте timthumb.php. Данный скрипт очень популярен среди разработчиков шаблонов и активно используется в темах для автоматического масштабирования изображений. В версии 2.8.13 и более ранних обнаружено несколько критических уязвимостей, позволяющих исполнять произвольный код на сайте и загружать произвольные файлы на хостинг (в том числе хакерские веб-шеллы). Если на вашем сайте установлена одна из старых версий, необходимо как можно быстрее обновить ее до актуальной из репозитория timthumb.googlecode.com/svn/trunk/timthumb.php. В противном случае все сайты на вашем аккаунте хостинга под угрозой. 

3. Бэкдоры и веб-шеллы
И, наконец, переходим к самым опасным и явным признакам зараженной темы – это наличие бэкдоров и веб-шеллов.

Эти скрипты предоставляют хакеру полный контроль над файловой системой и базой данных аккаунта: можно управлять файлами и каталогами, размещать дорвеи, мобильные и поисковые редиректы, вирусный код в шаблонах и многое другое. Поскольку на большинстве виртуальных хостингов скрипты сайта могут получить доступ к файлам соседнего сайта, скопрометированными оказываются все сайты владельца, размещенные на том же аккаунте хостинга.

К счастью, веб-шеллов было обнаружено всего в 3% проверенных тем каталога wordpresso.ru (в шаблонах 3_PM, beautygames, blogdog, browntextures, edu_0, gamesstylish, gamingzone, grand-banquet, hostingsite, myfinance_0, pink-cake, PurpleStyle, refresh-your-taste). Тем не менее, необходимо быть на чеку и перед использованием проверять темы на наличие хакерских скриптов.

Revisium Wordpress Theme Checker

Вот небольшой сканер , который ищет вредоносные фрагменты в темах wordpress.

По материалам статьи "Более половины бесплатных шаблонов для wordpress заражены или уязвимы"