В търсене на лесна и бърза декорация на своя сайт блогърите наивно се доверяват на всевъзможните сайтове, които предлагат теми за WordPress. За съжаление, голяма част от безплатните теми изпълняват нещо повече от функцията да пременят вашата уеб страница.
Скритите намерения варират от директно изпращане на списъка с потребители и контактна информация на определен адрес до пускане на „шел“ – среда за изпълнение на всякакви команди на хостващата машина.
Зловредният код се намира в някой от PHP файловете на темата. Имената са различни във всяка хакната тема, но са съвсем „незабележими“ и дори очаквани. Ето някои от тях:
template-top.php, prelude.php, footer.php, comments.php, legacy.comments.php, 404.php, archive.php, top.php, functions.php, search-form.php и т. н.
Понеже това са реални файлове от някои теми наличието им няма как да сигнализира за проблем.
Нещо повече, хакерите се възползват от практиката, разработчиците на темите да кодират с Base64 файловете в които обявяват авторството си или авторските си права. Затова фактът че някой от тези файлове е изцяло Base64 кодиран все още не означава, че това е проблемният файл. След декодиране на кода обаче, лесно се установява дали това е нормален или хакерски код. Добре де, не съвсем лесно. Обикновено, след декодиране се получава нещо, което само прилича на PHP код. Причината е, че във файла присъства инструкция от типа:
$_X=base64_decode($_X);$_X=strtr($_X,’123456aouie’,’aouie123456′);$_R=ereg_replace(‘__FILE__’,“‘“.$_F.“‘“
,$_X);eval($_R);$_R=0;$_X=0;
която също е Base64 кодирана. Тя изпълнява простата, но ефективна функция да разбърква знаците от кода. След като и това препядствие е преодоляно се разбира дали кодът е предназначен да отвори врата във вашия сайт. Практиката показва, че уязвимите по-този начин сайтове са много повече от тези, от чиито уязвимости се е възползвал някой. Броят на последните обаче също е притеснителен.
Нашата препоръка?
Ако не сте навътре в нещата, похарчете между 5 и 10 $ за тема.