Проблеми с безопасността на Wordpress сайтовете

Проблеми с безопасността на Wordpress сайтовете

 

Проблема с безопасността при Wordpress - това е почти единственото нещо, за което обикновено се говори с другите фенове на популярната CMS в различни дискусии. Както е в случая при "Windows vs Linux", обикновено всичко се свежда до некомпетентност и наивност на прослойките между стола и монитора - потребителят. Днес ще Ви разкажем за последствията, които могат да причинят безплатните теми за Wordpress при неофициалните или професионални сайтове.

 

До момента, това със сигурност е актуален въпрос и всеки знае за опасностите и рисковете, тъй като в интернет вече има много статии по този въпрос, но всички те просто предупреждават, без да предоставят конкретни цифри за последствията. И за това ние не само ще Ви предупредим, но и ще ви предоставим резултатите от "бедствията".

 

В нашата практика при работата с Wordpress и "безплатните теми" сме се сблъсквали с много проблеми - темите са били заразявани с backdoor, скриптове и връзки към критични уязвимости.

 

Бекдора може да даде достъп за изпълнението на произволен код в уеб-сайта (възможно е да се извади съдържание от каталози, да се вгради вирусен код в шаблоните и скриптовете, както и да се получи достъп до базата данни и много други) и да се получи пълен контрол над всички сайтове в акаунта на хостинга. Всеки от тези проблеми е доста критичен и ще причини много главоболия на щастливите собственици на безплатните теми.

 

Искате ли да узнаете какво може да Ви се случи? Ще ви запознаем последователно с последствията.

 

Връзки

Най-разпространеният метод, свързан с популярността на безплатните за изтегляне шаблони. Повече сваляния - повече връзки, водещи до сайтове на клиенти, сиви SEO-техники или хакери.

 

Зловредният код, който може да се намира във файловете header.php, footer.php или functions.php изтегля списък със спам-линкове от външен сайт и ги поставя върху страниците на блога Ви в невидим за посетителите блок. Освен този блок, кодът може да поставя на страниците на блога ви чуждо съдържание или дори да заменя думи от текстовете с връзки, водещи до сайтове на трети страни.

 

htaccess файл

Другият популярен вариант - променя се съдържанието на htaccess файла, чрез който се пренасочват потребителите, идващи от търсачките или мобилните устройства - за вас сайтът ще работи нормално, но за потребителите, кликнали върху обявена някъде реклама (за която сте платили) или в резултатите от търсенето ще попаднат във съвсем друг сайт.

 

Връзки към спам

Другият вариант - изпращане на спам връзки от вашия сървър. Умните хостинги умеят да разбират, когато има проблеми с пощата и да блокират изпращането на съобщения. В този случай, разбира се проблемът ще бъде решен, но наполовина. В крайна сметка няма да можете да се възползвате от предимствата на нормално работещата поща.

 

Критични уязвимости в timthumb.php

На второ място по популярност сред заразите - това е уязвимостта в скрипта на файла timthumb.php.

 

Този шаблон се използва от разработчиците за автоматичното мащабиране на изображенията.

 

В по-старите версии бяха открити някои критични уязвимости, позволяващи да се изпълнява произволен код на сайта и да се качват произволни файлове на хостинга.

 

Така, че ако използвате по-стари версии на теми, ние ви съветваме да изтеглите актуализираните им версии, тъй като в противен случай вашия сайт ще бъде под сериозна заплаха.

 

Backdoor (задна врата)

С нейна помощ, хакерът получава пълен достъп до файловата система и базата данни в акаунта. Т.е. той може да управлява файловете и директориите, да прави мобилни редиректи, и да "инжектира" вирусен код в шаблоните и много повече.

 

И тъй като в повечето виртуални хостинги, скриптовете на един сайта могат да получат достъп до файловете на съседен сайт, то под заплаха се оказват всички сайтове на собственика, разположени на един и същи хостинг акаунт.

 

Как можете да се предпазите?

1. На първо място, изтегляйте теми само от сигурни източници. Заплащайки, вие на практика изключвате възможността за наличие на зловреден скрипт в шаблоните. Както и кражбите в Wordpress блоговете, от които страдат любителите на безплатните шаблони, изтеглени неясно от къде.

 

2. Проверете сваляните теми за наличие на вредоносен код и спам линкове. Най-лесният начин - чрез сравняване на датите в променените файлове.

 

3. Не забравяйте да проверите версията на скрипта за мащабиране на изображенията в timthumb.php или за негова модификация (thumb.php, _img.php и т.н.)

 

4. С използването на няколко безплатни теми, вие многократно увеличавате риска от взлом в сайта. Дори и ако темата е неактивна, тя все още позволява да се използват злонамерените скриптове от директорията wp-content/wp-themes/ <име на темата>, така, че отстранете всички неизползвани теми от директорията wp-content/themes

 

5. Доверете се на професионалистите. Няма нищо по-лошо от това да се опитаме да направим нещо по-добре от специалистите. Все пак не завързвате зъба, който ви боли за вратата с конец, а се обръщате към услугите на стоматолозите нали?

 

Ние от уеб-дизайн студио Viste сме с дългогодишен опит в работата с Wordpress сайтовете и блоговете и разполагаме с екип от специалисти в областта, които с радост ще ви съдействат при създаването на вашият професионален Wordpress сайт или блог.