Проблеми с безопасността на Wordpress сайтовете
Проблема с безопасността при Wordpress – това е почти единственото нещо, за което обикновено се говори с другите фенове на популярната CMS в различни дискусии. Както е в случая при „Windows vs Linux“, обикновено всичко се свежда до некомпетентност и наивност на прослойките между стола и монитора – потребителят. Днес ще Ви разкажем за последствията, които могат да причинят безплатните теми за Wordpress при неофициалните или професионални сайтове.
До момента, това със сигурност е актуален въпрос и всеки знае за опасностите и рисковете, тъй като в интернет вече има много статии по този въпрос, но всички те просто предупреждават, без да предоставят конкретни цифри за последствията. И за това ние не само ще Ви предупредим, но и ще ви предоставим резултатите от „бедствията“.
В нашата практика при работата с Wordpress и „безплатните теми“ сме се сблъсквали с много проблеми – темите са били заразявани с backdoor, скриптове и връзки към критични уязвимости.
Бекдора може да даде достъп за изпълнението на произволен код в уеб-сайта (възможно е да се извади съдържание от каталози, да се вгради вирусен код в шаблоните и скриптовете, както и да се получи достъп до базата данни и много други) и да се получи пълен контрол над всички сайтове в акаунта на хостинга. Всеки от тези проблеми е доста критичен и ще причини много главоболия на щастливите собственици на безплатните теми.
Искате ли да узнаете какво може да Ви се случи? Ще ви запознаем последователно с последствията.
Връзки
Най-разпространеният метод, свързан с популярността на безплатните за изтегляне шаблони. Повече сваляния – повече връзки, водещи до сайтове на клиенти, сиви SEO-техники или хакери.
Зловредният код, който може да се намира във файловете header.php, footer.php или functions.php изтегля списък със спам-линкове от външен сайт и ги поставя върху страниците на блога Ви в невидим за посетителите блок. Освен този блок, кодът може да поставя на страниците на блога ви чуждо съдържание или дори да заменя думи от текстовете с връзки, водещи до сайтове на трети страни.
htaccess файл
Другият популярен вариант – променя се съдържанието на htaccess файла, чрез който се пренасочват потребителите, идващи от търсачките или мобилните устройства – за вас сайтът ще работи нормално, но за потребителите, кликнали върху обявена някъде реклама (за която сте платили) или в резултатите от търсенето ще попаднат във съвсем друг сайт.
Връзки към спам
Другият вариант – изпращане на спам връзки от вашия сървър. Умните хостинги умеят да разбират, когато има проблеми с пощата и да блокират изпращането на съобщения. В този случай, разбира се проблемът ще бъде решен, но наполовина. В крайна сметка няма да можете да се възползвате от предимствата на нормално работещата поща.
Критични уязвимости в timthumb.php
На второ място по популярност сред заразите – това е уязвимостта в скрипта на файла timthumb.php.
Този шаблон се използва от разработчиците за автоматичното мащабиране на изображенията.
В по-старите версии бяха открити някои критични уязвимости, позволяващи да се изпълнява произволен код на сайта и да се качват произволни файлове на хостинга.
Така, че ако използвате по-стари версии на теми, ние ви съветваме да изтеглите актуализираните им версии, тъй като в противен случай вашия сайт ще бъде под сериозна заплаха.
Backdoor (задна врата)
С нейна помощ, хакерът получава пълен достъп до файловата система и базата данни в акаунта. Т.е. той може да управлява файловете и директориите, да прави мобилни редиректи, и да „инжектира“ вирусен код в шаблоните и много повече.
И тъй като в повечето виртуални хостинги, скриптовете на един сайта могат да получат достъп до файловете на съседен сайт, то под заплаха се оказват всички сайтове на собственика, разположени на един и същи хостинг акаунт.
Как можете да се предпазите?
1. На първо място, изтегляйте теми само от сигурни източници. Заплащайки, вие на практика изключвате възможността за наличие на зловреден скрипт в шаблоните. Както и кражбите в Wordpress блоговете, от които страдат любителите на безплатните шаблони, изтеглени неясно от къде.
2. Проверете сваляните теми за наличие на вредоносен код и спам линкове. Най-лесният начин – чрез сравняване на датите в променените файлове.
3. Не забравяйте да проверите версията на скрипта за мащабиране на изображенията в timthumb.php или за негова модификация (thumb.php, _img.php и т.н.)
4. С използването на няколко безплатни теми, вие многократно увеличавате риска от взлом в сайта. Дори и ако темата е неактивна, тя все още позволява да се използват злонамерените скриптове от директорията wp-content/wp-themes/ <име на темата>, така, че отстранете всички неизползвани теми от директорията wp-content/themes
5. Доверете се на професионалистите. Няма нищо по-лошо от това да се опитаме да направим нещо по-добре от специалистите. Все пак не завързвате зъба, който ви боли за вратата с конец, а се обръщате към услугите на стоматолозите нали?
Ние от уеб-дизайн студио Viste сме с дългогодишен опит в работата с Wordpress сайтовете и блоговете и разполагаме с екип от специалисти в областта, които с радост ще ви съдействат при създаването на вашият професионален Wordpress сайт или блог.