Взлом сайта на движке WordPress. Пример из жизни..

Взлом сайта на движке WordPress

  Взломанный Вордпресс

CMS WordPress стала очень уж популярна и не стоит удивляться, что сайты на ней взламывают с завидной регулярностью. Я почему-то не думал, что и меня это коснётся… А зря :).

Правда, был взломан один давно заброшенный мною сайт, потому не жалко. Но опыта это мне прибавило.

Проблему заметил совершенно случайно — в браузере мобильного телефона обнаружил, что точка одного из предложений в статье стала выглядеть чуть ярче. Иначе говоря, она стала ссылкой на какой-то неизвестный мне ресурс по продаже туристических услуг.

В общем-то, это не самое страшное, что бывает при взломе веб-проекта. Но на SEO-оптимизации это неизбежно скажется отрицательным образом, поэтому «сомнительных» и неизвестных вам внешних ссылок с сайта быть не должно.

Я решил, что быстро удалю ссылку, просто отредактировав текст статьи. Но никакой ссылки при редактировании не обнаружил. Что интересно — при удалении кусков текста ссылка-точка «мигрировала» от одного предложения к другому. Т.е. это всё говорило о действии какого-то алгоритма, а не о ручной простановке ссылок.

К счастью, алгоритм этот я нашёл в файле-шаблоне functions.php:

взлом сайта на wordpress - добавление фильтра

  Взлом сайта на WordPress — добавление фильтра в шаблон

На картинке выше красной рамочкой выделен т.н. WP-фильтр. Суть всех фильтров в том, что они «пропускают через себя» (отсюда и название) что-то (например, текст статьи) и особым образом обрабатывают (в данном случае, фильтр добавлял ссылку-точку в контент статьи).

Я его просто закомментировал (добавил два слэша — //) и ссылка исчезла. Кстати, спустя пару месяцев, при раскомментировании этой строчки кода, ссылка уже не появлялась. Возможно, взломщик делал так, чтобы вредоносный код скачивался с внешнего ресурса и со временем просто убрал его или сделал что-то другое, и я это пока не заметил.

Зачем взламывают сайты?

Причин тут может быть много:

  • Развлечься (почему бы нет?)
  • «Внедрение» скрытых ссылок для продвижения каких-то веб-ресурсов (как в моём примере). Очевидно, эти люди очень плохо разбираются в SEM. И не понимают, что такие ссылки являются элементом чёрного SEO, так что эффект от них скорее отрицательный.
  • «Внедрение» кодов бирж ссылок (вроде Sape или Trustlink). Это во многом аналогично предыдущему пункту, но здесь ссылки будут появляться на страницах автоматически и постепенно количество их будет расти так же, как и доходы взломщиков. К сожалению для владельца взломанного сайта, есть риск, что его проект пострадает от всяких санкций поисковых систем.
  • Более «жёсткий» способ: взломать веб-проект, заявить об этом и потребовать деньги за возврат доступа сайтовладельцу.
  • Возможно, что-то ещё — добавьте в комментариях, если знаете.

Как их взламывают?

Произвести взлом сайта на WordPress (да и на любом другом движке) можно многими способами:

  • Подбор логина/пароля к админке (если она есть)
  • Получение доступа к аккаунту на хостинге и правка базы данных, файлов и т.д.
  • Получение доступа к сайту по FTP — и также правка файлов, закидывание новых «вредных» файлов и т.п.
  • Установка вирусов и троянов, отслеживающих то, что вы вводите с клавиатуры да и вообще делающих разные неприятные вещи.

В общем, во многом безопасность наших проектов зависит от нас самих (как и всё остальное в мире). Поэтому периодически меняйте пароли от админок/хостингов и проверяйте компьютеры на вирусы.

Вот нашлось видео на Youtube — описана аналогичная ситуация с ссылкой-точкой:

Взлом Вордпресс:

В следующей статье (web-ru.net/wordpress/zashhita-wordpress-ot-vzloma-izmenenie-logina-videourok.html) опишу простой, но действенный способ защиты WP.

Сталкивались ли вы со взломом сайта на движке WordPress или любых других? Расскажите в комментариях!

1 Star2 Stars3 Stars4 Stars5 Stars (4 оценок, среднее: 3,00 из 5)
Loading...
Случайные публикации:
  • Как НЕ надо раскручивать сайт? Немного о том, что такое САРКак НЕ надо раскручивать сайт? Немного о том, что такое САР..Привет новичкам. Мысли написать эту статью неожиданно влетели мне в...
  • За что могут удалить сайт из каталога Rambler?За что могут удалить сайт из каталога Rambler?...а от Яндекс.Директ (никаких PopUp'ов, icq-окон и прочих "агрессивных" форматов), но что-то
  • Как проверить спрос на информацию в разное время года и определить сезонность запроса?Как проверить спрос на информацию в разное время года и определить сезонность запроса?...ле; тема грибов - более всего в августе-октябре; а тема туризма - круглый год с
  • Как скачать SugarSync manager? Автоматическая синхронизация данных с компьютером и получение ссылок на скачиваниеКак скачать SugarSync manager? Автоматическая синхронизация данных с компьютером и получение ссылок на скачиваниеДумаю, это статьёй завершу затянувшийся обзор облака от Sugar...
  • Как создать логотип  для сайта в онлайн режимеКак создать логотип для сайта в онлайн режимеЛоготип является неотъемлемой частью любого хорошего сайта в интернете. И наверняка,...
Оставьте комментарий:
комментария 23
  1. Broker:

    Добрый день!

    Буквально вчера обнаружил по Solomono 2 ссылки-точки. Главное, что через админку ссылки не видно, зашел с другого браузера, RDS подсветил паразитов)

    Короче, удалил этот код в function.php и все прошло. А сегодня получаю от вас письмо…

    Странно или нет, но по фтп зайти не удалось, пароль не подходит. Пароль я сбросил на e-mail и заменил, но это не решение проблемы!

    Ответить
    • Пётр:

      А сегодня получаю от вас письмо

      Хм, всё не случайно :).

      Очевидно, это распространённый способ взлома или шаблоны распространяют левые или одни и те же люди занимаются или ещё что-то..

      Ответить
    • Вася:

      Интернет-магазин в городе покров владимирской области.
      Мы предлагаем:
      Цены от производителей,Одежда для всей семьи,пастельное белье и многое другое.
      Наш магазин shop-online33.ru рад каждому клиенту.

      Ответить
  2. personNet:

    Наверное, русская версия ВП взломана???? Спс за инфу

    Ответить
    • Пётр:

      Русская, ага.
      Точнее, с русским переводом, а уж кто делал — не знаю.

      Ответить
  3. Ирина:

    Сталкивалась, причем дважды, будучи зеленым новичком в работе с блогом. Проблема была примерно такая же, на одной странице все буквы «о» стали ссылками, еще на нескольких — буква «и». Мучилась несколько дней, но слава богу, справилась, после этого обошла весь интернет с запросом «как защитить блог», сделала почти все, что рекомендовалось. Пока полет нормальный. *IN LOVE*

    Ответить
  4. Николай:

    Пришлось столкнуться, когда вдруг «ссылки» левые на разные ресурсы начали на сайте появляться.Ждем совета как защитить свой сайт. =)

    Ответить
  5. Владислав:

    Спасибо за статью, Петр! Правда, видео не очень хорошего качества.

    Ответить
    • Пётр:

      Да, оно мне тоже не очень нравится =)
      Но описывает как раз то, что было у меня (и, как оказалось, бывает у других).

      Ответить
  6. Иван:

    У моего друга недавно был взлома н сайт и установлен код bitkoint при помощи которого хакер зарабатывал деньги на блочных вычислениях или что-то типо того.

    Ответить
  7. Никита:

    Один из моих сайтов взломал хакер-любитель из-за того, что он не может накачаться (сайт про бодибилдинг)
    Теперь я надёжно защитил свой блог и даже сделал курс про защиту WordPress

    Ответить
  8. Алексей:

    У меня вообще интересная ситуация. Просрочил домен по проплате, захожу в кабинет регистратора, там его уже давно нету, получилось то что свой 2х летний домен я профукал, его уже выкупили, а при этом мой сайт возобновил работу без моего участия. Дело в том что зашел на хостинг где лежали все файлы сайта, и все под чистую снес, я уже блогом год не занимался, так что не особо жалко было, но и тут не то. Как я понял мой сайт в тупую слили, потому как на хостинге его нету, а сайт работатет. Вот такие непонятки у меня произошли…и что делать не знаю, даже в админку не могу зайти.. :(

    Ответить
    • Пётр:

      даже в админку не могу зайти.

      — ну теперь-то это чужой сайт..

      Ответить
  9. Игорь:

    Судя по приведенному коду, простое его вырезание не вычистило корень проблемы. «eval(get_option(`blogoption`))» свидетельствует о том, что в базу данных, в таблицу `wp_options`, под видом обычных опций с именем `blogoption`, предварительно был записан исполняемый код, который этим фильтром достается и обрабатывается, заменяя контент поста собственным его вариантом — в этом коде как раз и скрыто истинное содержимое «точки». Возникает вопрос, как это могло быть сделано? Либо SQL-инъекция (ищите дыры в теме и плагинах), либо доступ у хакера имелся к админке (подобранный или украденный пароль, например), и, если у Вас не отключена возможность редактирования файлов из админки, внедрить можно что угодно — Вы еще хорошо отделались.

    Ответить
    • Пётр:

      Да, самое интересное, что потом эта точка сама исчезла.

      Ну а так не жалко — всё равно сайт под АГС-фильтром был, после вышел и теперь успешно торгует ссылками :)

      Ответить
      • lazy_fool:

        Вышёл из под фильтра потому, что там он был взломан??? :-D
        и вставлен код — точка *CRAZY* ?

        Ответить
  10. андрей:

    ВП гoвнo *CRAZY*

    Ответить
Я не спамлю...