Хабрапользователь проанализировал бесплатные шаблоны для WordPress с популярных сайтов-каталогов. Результаты удручающие: больше половины шаблоны оказались так или иначе подправлены хакерами - веб-шеллы, бэкдоры, скрипты с критическими уязвимостями и black seo.
Автор приводит статистику по сайтам-каталогам, которые находятся в первых десяти строках поисковой выдачи по словам "бесплатные темы для wordpress":
- best-wordpress-templates.ru (99% зараженных или уязвимых тем)
- wordpress-ru.ru (99% зараженных или уязвимых тем)
- wpfree.ru (97% зараженных или уязвимых тем)
- wpfreethemes.ru (16% уязвимых тем)
- bestwordpress.ru (7% уязвимых тем)
- wordpreso.ru (3% зараженных тем)
Добавить 7 комментариев
В переводе на русский: к счастью, всё не так фатально — дело не в количестве шаблонов, а в популярности площадок, которые их распространяют. Популярность низка — каталог бесплатных шаблонов на самом WordPress.com вполне способен удовлетворить множество запросов. То есть, чтобы вирус оказался на сайте, нужно, чтобы тему нашёл кто-то туповатый, жадный и одновременно любопытный. Редкое сочетание, на самом деле.
Больше половины шаблонов лежащих на помойках — практически ничего не значит. А вот если допиленный «хакером» шаблон положить на WordPress.org — будет весело, Юра прав.
Я правильно понимаю, что шаблоны в каталоге, доступном через админку вордпресса, хотя бы как-то проверяются на заразу?
Уж сколько раз твердили миру … Логично, что «халява» рано или поздно должна была начать монетизироваться. Несколько лет назад, вот убейте, не помню точно, кто-то провёл анализ пакетов курсоров, иконок и тем, выкладывавшихся тогда на популярных сайтах KDE-Look, Gnome-Look (для Linux). Там же лежали не только zip-архивы, но и deb-пакеты, и rpm. И внезапно в некоторых пакетах обнаружился вредоносный/подозрительный код! И такой внезапно супербезопасный линукс оказался вполне легко подвержен своего рода соц. инженерии. Ладно, там количество скачавших и поставивших это задротов можно пересчитать по пальцам. А вот то ли дело нашлась сборка Windows с контентным вирусом? Тоже вполне себе хлеб, пара сотен скачала да поставила торрент — вот и доход автору.
>>сборка Windows с контентным вирусом? Дофига вроде. Качал как-то сборку, так столько в ней всего нашел…
>А вот то ли дело нашлась сборка Windows с контентным вирусом? Да зачем вирус? ZverCD (или DVD, не знаю) ходил с включенным по дефолту радмином с одинаковым паролем, популярное развлечение было у школьников, ковыряться в чужих компьютерах.
Круто. Не знал про radmin, это они занятно придумали.