Взлом сайта на движке WordPress. Пример из жизни..

Взлом сайта на движке WordPress

  Взломанный Вордпресс

CMS WordPress стала очень уж популярна и не стоит удивляться, что сайты на ней взламывают с завидной регулярностью. Я почему-то не думал, что и меня это коснётся… А зря :).

Правда, был взломан один давно заброшенный мною сайт, потому не жалко. Но опыта это мне прибавило.

Проблему заметил совершенно случайно – в браузере мобильного телефона обнаружил, что точка одного из предложений в статье стала выглядеть чуть ярче. Иначе говоря, она стала ссылкой на какой-то неизвестный мне ресурс по продаже туристических услуг.

В общем-то, это не самое страшное, что бывает при взломе веб-проекта. Но на SEO-оптимизации это неизбежно скажется отрицательным образом, поэтому “сомнительных” и неизвестных вам внешних ссылок с сайта быть не должно.

Я решил, что быстро удалю ссылку, просто отредактировав текст статьи. Но никакой ссылки при редактировании не обнаружил. Что интересно – при удалении кусков текста ссылка-точка “мигрировала” от одного предложения к другому. Т.е. это всё говорило о действии какого-то алгоритма, а не о ручной простановке ссылок.

К счастью, алгоритм этот я нашёл в файле-шаблоне functions.php:

взлом сайта на wordpress - добавление фильтра

  Взлом сайта на WordPress – добавление фильтра в шаблон

На картинке выше красной рамочкой выделен т.н. WP-фильтр. Суть всех фильтров в том, что они “пропускают через себя” (отсюда и название) что-то (например, текст статьи) и особым образом обрабатывают (в данном случае, фильтр добавлял ссылку-точку в контент статьи).

Я его просто закомментировал (добавил два слэша – //) и ссылка исчезла. Кстати, спустя пару месяцев, при раскомментировании этой строчки кода, ссылка уже не появлялась. Возможно, взломщик делал так, чтобы вредоносный код скачивался с внешнего ресурса и со временем просто убрал его или сделал что-то другое, и я это пока не заметил.

Зачем взламывают сайты?

Причин тут может быть много:

  • Развлечься (почему бы нет?)
  • “Внедрение” скрытых ссылок для продвижения каких-то веб-ресурсов (как в моём примере). Очевидно, эти люди очень плохо разбираются в SEM. И не понимают, что такие ссылки являются элементом чёрного SEO, так что эффект от них скорее отрицательный.
  • “Внедрение” кодов бирж ссылок (вроде Sape или Trustlink). Это во многом аналогично предыдущему пункту, но здесь ссылки будут появляться на страницах автоматически и постепенно количество их будет расти так же, как и доходы взломщиков. К сожалению для владельца взломанного сайта, есть риск, что его проект пострадает от всяких санкций поисковых систем.
  • Более “жёсткий” способ: взломать веб-проект, заявить об этом и потребовать деньги за возврат доступа сайтовладельцу.
  • Возможно, что-то ещё – добавьте в комментариях, если знаете.

Как их взламывают?

Произвести взлом сайта на WordPress (да и на любом другом движке) можно многими способами:

  • Подбор логина/пароля к админке (если она есть)
  • Получение доступа к аккаунту на хостинге и правка базы данных, файлов и т.д.
  • Получение доступа к сайту по FTP – и также правка файлов, закидывание новых “вредных” файлов и т.п.
  • Установка вирусов и троянов, отслеживающих то, что вы вводите с клавиатуры да и вообще делающих разные неприятные вещи.

В общем, во многом безопасность наших проектов зависит от нас самих (как и всё остальное в мире). Поэтому периодически меняйте пароли от админок/хостингов и проверяйте компьютеры на вирусы.

Вот нашлось видео на Youtube – описана аналогичная ситуация с ссылкой-точкой:

Взлом Вордпресс:

В следующей статье (http://web-ru.net/wordpress/zashhita-wordpress-ot-vzloma-izmenenie-logina-videourok.html) опишу простой, но действенный способ защиты WP.

Сталкивались ли вы со взломом сайта на движке WordPress или любых других? Расскажите в комментариях!

web-ru.net - всё о продвижении сайтов
Случайные публикации:
  • За что не любят Яндекс? Кому он не нравится?За что не любят Яндекс? Кому он не нравится?...ю, зачем это делается, но первые мысли таковы: на протяжении
  • Спам - что это такое и почему это плохо?Спам - что это такое и почему это плохо?...айно прочитав эту статью. Зачем ломать свой бизнес? Хоть он там у вас и
  • SEO-аудит блога о здоровье Sportzador.ru. ВидеоSEO-аудит блога о здоровье Sportzador.ru. ВидеоВ данной заметке - блог "О здоровье на здоровье". Разные проблемы с оптимизац...
  • Как создать сайт на WordPress. Создание сайта быстро и простоКак создать сайт на WordPress. Создание сайта быстро и просто...авно, каков движок "живущего" на нём веб-ресурса. Это просто
  • Как запретить и убрать комментарии в WordPressКак запретить и убрать комментарии в WordPressВ одной из статей я написал, как с помощью плагина Exclude Pag...
Оставьте комментарий:
Отзывов всего: 23
Через сайт Через ВКонтакте Через Facebook
  1. Broker пишет:

    Добрый день!

    Буквально вчера обнаружил по Solomono 2 ссылки-точки. Главное, что через админку ссылки не видно, зашел с другого браузера, RDS подсветил паразитов)

    Короче, удалил этот код в function.php и все прошло. А сегодня получаю от вас письмо…

    Странно или нет, но по фтп зайти не удалось, пароль не подходит. Пароль я сбросил на e-mail и заменил, но это не решение проблемы!

    Ответить
    • Пётр пишет:

      А сегодня получаю от вас письмо

      Хм, всё не случайно :).

      Очевидно, это распространённый способ взлома или шаблоны распространяют левые или одни и те же люди занимаются или ещё что-то..

      Ответить
    • http://shop-online33.ru/ пишет:

      Интернет-магазин в городе покров владимирской области.
      Мы предлагаем:
      Цены от производителей,Одежда для всей семьи,пастельное белье и многое другое.
      Наш магазин shop-online33.ru рад каждому клиенту.

      Ответить
      • Пётр пишет:

        Не “пастельное”, а постельное.
        Едва ли вы рады…

        Ответить
  2. personNet пишет:

    Наверное, русская версия ВП взломана???? Спс за инфу

    Ответить
    • Пётр пишет:

      Русская, ага.
      Точнее, с русским переводом, а уж кто делал – не знаю.

      Ответить
  3. Ирина пишет:

    Сталкивалась, причем дважды, будучи зеленым новичком в работе с блогом. Проблема была примерно такая же, на одной странице все буквы “о” стали ссылками, еще на нескольких – буква “и”. Мучилась несколько дней, но слава богу, справилась, после этого обошла весь интернет с запросом “как защитить блог”, сделала почти все, что рекомендовалось. Пока полет нормальный. *IN LOVE*

    Ответить
  4. Николай пишет:

    Пришлось столкнуться, когда вдруг “ссылки” левые на разные ресурсы начали на сайте появляться.Ждем совета как защитить свой сайт. =)

    Ответить
  5. Владислав пишет:

    Спасибо за статью, Петр! Правда, видео не очень хорошего качества.

    Ответить
    • Пётр пишет:

      Да, оно мне тоже не очень нравится =)
      Но описывает как раз то, что было у меня (и, как оказалось, бывает у других).

      Ответить
  6. Иван пишет:

    У моего друга недавно был взлома н сайт и установлен код bitkoint при помощи которого хакер зарабатывал деньги на блочных вычислениях или что-то типо того.

    Ответить
    • Пётр пишет:

      Да, часто для получения прибыли и взламывают =)

      Ответить
  7. Никита пишет:

    Один из моих сайтов взломал хакер-любитель из-за того, что он не может накачаться (сайт про бодибилдинг)
    Теперь я надёжно защитил свой блог и даже сделал курс про защиту WordPress

    Ответить
    • Пётр пишет:

      Видимо, теперь ему придётся накачаться =)

      Ответить
    • 4idroid пишет:

      Лучше не делать сайт про бодибилдинг)

      Ответить
  8. Алексей пишет:

    У меня вообще интересная ситуация. Просрочил домен по проплате, захожу в кабинет регистратора, там его уже давно нету, получилось то что свой 2х летний домен я профукал, его уже выкупили, а при этом мой сайт возобновил работу без моего участия. Дело в том что зашел на хостинг где лежали все файлы сайта, и все под чистую снес, я уже блогом год не занимался, так что не особо жалко было, но и тут не то. Как я понял мой сайт в тупую слили, потому как на хостинге его нету, а сайт работатет. Вот такие непонятки у меня произошли…и что делать не знаю, даже в админку не могу зайти.. :(

    Ответить
    • Пётр пишет:

      даже в админку не могу зайти.

      – ну теперь-то это чужой сайт..

      Ответить
  9. Игорь пишет:

    Судя по приведенному коду, простое его вырезание не вычистило корень проблемы. “eval(get_option(`blogoption`))” свидетельствует о том, что в базу данных, в таблицу `wp_options`, под видом обычных опций с именем `blogoption`, предварительно был записан исполняемый код, который этим фильтром достается и обрабатывается, заменяя контент поста собственным его вариантом – в этом коде как раз и скрыто истинное содержимое “точки”. Возникает вопрос, как это могло быть сделано? Либо SQL-инъекция (ищите дыры в теме и плагинах), либо доступ у хакера имелся к админке (подобранный или украденный пароль, например), и, если у Вас не отключена возможность редактирования файлов из админки, внедрить можно что угодно – Вы еще хорошо отделались.

    Ответить
    • Пётр пишет:

      Да, самое интересное, что потом эта точка сама исчезла.

      Ну а так не жалко – всё равно сайт под АГС-фильтром был, после вышел и теперь успешно торгует ссылками :)

      Ответить
      • lazy_fool пишет:

        Вышёл из под фильтра потому, что там он был взломан??? :-D
        и вставлен код – точка *CRAZY* ?

        Ответить
  10. андрей пишет:

    ВП гoвнo *CRAZY*

    Ответить
сайт web-ru.net
Я не спамлю...