Взлом сайта на движке WordPress. Пример из жизни..
Взломанный Вордпресс
CMS WordPress стала очень уж популярна и не стоит удивляться, что сайты на ней взламывают с завидной регулярностью. Я почему-то не думал, что и меня это коснётся… А зря 
Правда, был взломан один давно заброшенный мною сайт, потому не жалко. Но опыта это мне прибавило.
Проблему заметил совершенно случайно — в браузере мобильного телефона обнаружил, что точка одного из предложений в статье стала выглядеть чуть ярче. Иначе говоря, она стала ссылкой на какой-то неизвестный мне ресурс по продаже туристических услуг.
В общем-то, это не самое страшное, что бывает при взломе веб-проекта. Но на SEO-оптимизации это неизбежно скажется отрицательным образом, поэтому «сомнительных» и неизвестных вам внешних ссылок с сайта быть не должно.
Я решил, что быстро удалю ссылку, просто отредактировав текст статьи. Но никакой ссылки при редактировании не обнаружил. Что интересно — при удалении кусков текста ссылка-точка «мигрировала» от одного предложения к другому. Т.е. это всё говорило о действии какого-то алгоритма, а не о ручной простановке ссылок.
К счастью, алгоритм этот я нашёл в файле-шаблоне functions.php:
Взлом сайта на WordPress — добавление фильтра в шаблон
На картинке выше красной рамочкой выделен т.н. WP-фильтр. Суть всех фильтров в том, что они «пропускают через себя» (отсюда и название) что-то (например, текст статьи) и особым образом обрабатывают (в данном случае, фильтр добавлял ссылку-точку в контент статьи).
Я его просто закомментировал (добавил два слэша — //) и ссылка исчезла. Кстати, спустя пару месяцев, при раскомментировании этой строчки кода, ссылка уже не появлялась. Возможно, взломщик делал так, чтобы вредоносный код скачивался с внешнего ресурса и со временем просто убрал его или сделал что-то другое, и я это пока не заметил.
Зачем взламывают сайты?
Причин тут может быть много:
- Развлечься (почему бы нет?)
- «Внедрение» скрытых ссылок для продвижения каких-то веб-ресурсов (как в моём примере). Очевидно, эти люди очень плохо разбираются в SEM. И не понимают, что такие ссылки являются элементом чёрного SEO, так что эффект от них скорее отрицательный.
- «Внедрение» кодов бирж ссылок (вроде Sape или Trustlink). Это во многом аналогично предыдущему пункту, но здесь ссылки будут появляться на страницах автоматически и постепенно количество их будет расти так же, как и доходы взломщиков. К сожалению для владельца взломанного сайта, есть риск, что его проект пострадает от всяких санкций поисковых систем.
- Более «жёсткий» способ: взломать веб-проект, заявить об этом и потребовать деньги за возврат доступа сайтовладельцу.
- Возможно, что-то ещё — добавьте в комментариях, если знаете.
Как их взламывают?
Произвести взлом сайта на WordPress (да и на любом другом движке) можно многими способами:
- Подбор логина/пароля к админке (если она есть)
- Получение доступа к аккаунту на хостинге и правка базы данных, файлов и т.д.
- Получение доступа к сайту по FTP — и также правка файлов, закидывание новых «вредных» файлов и т.п.
- Установка вирусов и троянов, отслеживающих то, что вы вводите с клавиатуры да и вообще делающих разные неприятные вещи.
- …
В общем, во многом безопасность наших проектов зависит от нас самих (как и всё остальное в мире). Поэтому периодически меняйте пароли от админок/хостингов и проверяйте компьютеры на вирусы.
Вот нашлось видео на Youtube — описана аналогичная ситуация с ссылкой-точкой:
Взлом Вордпресс:
Сталкивались ли вы со взломом сайта на движке WordPress или любых других? Расскажите в комментариях!
(4 оценок, среднее: 3,00 из 5)
Loading...
Что такое бан в поисковых системах? Как его избежать?В процессе продвижения сайта, как я уже писал в нескольких предыдущих статьях...
Арбитраж траффика и как с ним работать?...тысячу, то почему тогда сам вебмастер не продаст напрямую 1000 посетителей, но уже за 2000 
Как создать сравнительную таблицу товаров в WordPress...в. Это могут быть таблицы в обзорах на блогах или непосредственно в - Быстрая установка WordPress на Denwer (локальный сервер). Видео урок...опируем в неё файлы из архива с WP
создаём БД (базу данных) для блога в phpMyAdmin
Защита WordPress от спама. Плагин Akismet, как получить ключ бесплатно? Видеоурок...ность и заплатить - можно внести "благотворительный" взнос.
Да, кстати,
Добрый день!
Буквально вчера обнаружил по Solomono 2 ссылки-точки. Главное, что через админку ссылки не видно, зашел с другого браузера, RDS подсветил паразитов)
Короче, удалил этот код в function.php и все прошло. А сегодня получаю от вас письмо…
Странно или нет, но по фтп зайти не удалось, пароль не подходит. Пароль я сбросил на e-mail и заменил, но это не решение проблемы!
Хм, всё не случайно
Очевидно, это распространённый способ взлома или шаблоны распространяют левые или одни и те же люди занимаются или ещё что-то..
Интернет-магазин в городе покров владимирской области.
Мы предлагаем:
Цены от производителей,Одежда для всей семьи,пастельное белье и многое другое.
Наш магазин shop-online33.ru рад каждому клиенту.
Не «пастельное», а постельное.
Едва ли вы рады…
Наверное, русская версия ВП взломана???? Спс за инфу
Русская, ага.
Точнее, с русским переводом, а уж кто делал — не знаю.
Сталкивалась, причем дважды, будучи зеленым новичком в работе с блогом. Проблема была примерно такая же, на одной странице все буквы «о» стали ссылками, еще на нескольких — буква «и». Мучилась несколько дней, но слава богу, справилась, после этого обошла весь интернет с запросом «как защитить блог», сделала почти все, что рекомендовалось. Пока полет нормальный. *IN LOVE*
Да уж, распространённое оказалось явление)
Пришлось столкнуться, когда вдруг «ссылки» левые на разные ресурсы начали на сайте появляться.Ждем совета как защитить свой сайт. =)
Спасибо за статью, Петр! Правда, видео не очень хорошего качества.
Да, оно мне тоже не очень нравится =)
Но описывает как раз то, что было у меня (и, как оказалось, бывает у других).
У моего друга недавно был взлома н сайт и установлен код bitkoint при помощи которого хакер зарабатывал деньги на блочных вычислениях или что-то типо того.
Да, часто для получения прибыли и взламывают =)
Один из моих сайтов взломал хакер-любитель из-за того, что он не может накачаться (сайт про бодибилдинг)
Теперь я надёжно защитил свой блог и даже сделал курс про защиту WordPress
Видимо, теперь ему придётся накачаться =)
Лучше не делать сайт про бодибилдинг)
У меня вообще интересная ситуация. Просрочил домен по проплате, захожу в кабинет регистратора, там его уже давно нету, получилось то что свой 2х летний домен я профукал, его уже выкупили, а при этом мой сайт возобновил работу без моего участия. Дело в том что зашел на хостинг где лежали все файлы сайта, и все под чистую снес, я уже блогом год не занимался, так что не особо жалко было, но и тут не то. Как я понял мой сайт в тупую слили, потому как на хостинге его нету, а сайт работатет. Вот такие непонятки у меня произошли…и что делать не знаю, даже в админку не могу зайти..
— ну теперь-то это чужой сайт..
Судя по приведенному коду, простое его вырезание не вычистило корень проблемы. «eval(get_option(`blogoption`))» свидетельствует о том, что в базу данных, в таблицу `wp_options`, под видом обычных опций с именем `blogoption`, предварительно был записан исполняемый код, который этим фильтром достается и обрабатывается, заменяя контент поста собственным его вариантом — в этом коде как раз и скрыто истинное содержимое «точки». Возникает вопрос, как это могло быть сделано? Либо SQL-инъекция (ищите дыры в теме и плагинах), либо доступ у хакера имелся к админке (подобранный или украденный пароль, например), и, если у Вас не отключена возможность редактирования файлов из админки, внедрить можно что угодно — Вы еще хорошо отделались.
Да, самое интересное, что потом эта точка сама исчезла.
Ну а так не жалко — всё равно сайт под АГС-фильтром был, после вышел и теперь успешно торгует ссылками
Вышёл из под фильтра потому, что там он был взломан???
и вставлен код — точка *CRAZY* ?
Не, по другой причине.
ВП гoвнo *CRAZY*