Больше половины бесплатных шаблонов WordPress отредактированы хакерами

Хабрапользователь проанализировал бесплатные шаблоны для WordPress с популярных сайтов-каталогов. Результаты удручающие: больше половины шаблоны оказались так или иначе подправлены хакерами - веб-шеллы, бэкдоры, скрипты с критическими уязвимостями и black seo.

Автор приводит статистику по сайтам-каталогам, которые находятся в первых десяти строках поисковой выдачи по словам "бесплатные темы для wordpress":

- best-wordpress-templates.ru (99% зараженных или уязвимых тем)

- wordpress-ru.ru (99% зараженных или уязвимых тем)

- wpfree.ru (97% зараженных или уязвимых тем)

- wpfreethemes.ru (16% уязвимых тем)

- bestwordpress.ru (7% уязвимых тем)

- wordpreso.ru (3% зараженных тем)

Добавить 7 комментариев

  • Ответить

    В переводе на русский: к счастью, всё не так фатально — дело не в количестве шаблонов, а в популярности площадок, которые их распространяют. Популярность низка — каталог бесплатных шаблонов на самом WordPress.com вполне способен удовлетворить множество запросов. То есть, чтобы вирус оказался на сайте, нужно, чтобы тему нашёл кто-то туповатый, жадный и одновременно любопытный. Редкое сочетание, на самом деле.

  • Ответить
    Альтер Эго

    Больше половины шаблонов лежащих на помойках — практически ничего не значит. А вот если допиленный «хакером» шаблон положить на WordPress.org — будет весело, Юра прав.

  • Ответить

    Я правильно понимаю, что шаблоны в каталоге, доступном через админку вордпресса, хотя бы как-то проверяются на заразу?

  • Ответить

    Уж сколько раз твердили миру … Логично, что «халява» рано или поздно должна была начать монетизироваться. Несколько лет назад, вот убейте, не помню точно, кто-то провёл анализ пакетов курсоров, иконок и тем, выкладывавшихся тогда на популярных сайтах KDE-Look, Gnome-Look (для Linux). Там же лежали не только zip-архивы, но и deb-пакеты, и rpm. И внезапно в некоторых пакетах обнаружился вредоносный/подозрительный код! И такой внезапно супербезопасный линукс оказался вполне легко подвержен своего рода соц. инженерии. Ладно, там количество скачавших и поставивших это задротов можно пересчитать по пальцам. А вот то ли дело нашлась сборка Windows с контентным вирусом? Тоже вполне себе хлеб, пара сотен скачала да поставила торрент — вот и доход автору.

  • Ответить

    >А вот то ли дело нашлась сборка Windows с контентным вирусом? Да зачем вирус? ZverCD (или DVD, не знаю) ходил с включенным по дефолту радмином с одинаковым паролем, популярное развлечение было у школьников, ковыряться в чужих компьютерах.