WordPress: pagehash, cperpage, wordpressslog и прочие радости



С появлением все большего числа сайтов сделанных на WordPress появляется все больше желающих использовать их в корыстных целях. К тому же сами владельцы сайтов все чаще сами предоставляют такую возможность. 

Если у себя в логах веб-сервера стали попадаться строки вида "GET /?pagehash=141c25b94379bfb86b412271eab08090&cperpage=1 HTTP/1.0", то знайте — вы далеко не единственный, у кого есть доступ в админку вашего сайта. Реализован доступ с помощью кода, который был внедрен в файл functions.php всех установленных тем вашего сайта. Обычно это происходит после использования бесплатных тем, которые были получены из ненадежных источников. Внедренный код начинается следующим образом

<?php
function _verify_isactivate_widgets(){

и также содержит функции _get_allwidgetscont, _prepare_widgets, _popular_posts_getting. С виду код не выглядит опасным и не содержит используемых параметров. Но, в частности параметр cperpage указывает номер аккаунта пользователя, который используется для входа в админку. Желающие могут сами разобраться как это работает, если обнаружат у себя этот код. Решение — убрать все темы, которые были получены из ненадежных источников, так как они могут содержать и другие неожиданности, и вычистить код functions.php стандартных и используемых тем.

Следующая неожиданность заключается в отправке время от времени писем с сайта на адрес <wordpressslog@yandex.com>. Вроде бы ничего страшного, а с другой стороны это возможность попасть в черные списки и опять же наличие возможности доступа к админке сайта. Обнаружить вредоносный код на сайте можно по наличию строки d29yZHByZXNzc2xvZ0B5YW5kZXguY29t — это wordpressslog@yandex.com в виде base64, или же по наличию темы письма «WordPress Plugin». Код может обнаружен в файле langs.php среди плагинов или же sidebar.php среди файлов тем. Визуально его найти не очень легко, так как весь этот код расположен в одну строку, которая довольно длинная. Начинается он примерно со следующего add_action('wp_head','my_wpfunww41641'); причем 5 символов в названии функции после my_wpfunww на каждом следующем сайте будут новыми. Решение — опять же убрать вредоносный код и озаботиться ограничением доступа в админку и к сайту.

В первой половине марта 2014 года была зафиксирована масштабная DDOS атака с использованием более 162 тысяч невзломанных WordPress сайтов. Это стало возможным благодаря включенному pingback, который включен по умолчанию на всех сайтах на базе WordPress. Если вы готовы пожертвовать этим функционалом на вашем сайте во избежание участия вашего сайта в очередной DDOS атаке, то добавьте в код своего сайта следующее

add_filter( 'xmlrpc_methods', function( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} );

Продолжение следует…



(Visited 164 time, 1 visit today)

Комментарии 2

  • Долго искал как искоренить эту гадость:) Удалил, надеюсь больше не всплывет =))
    Спасибо Вам!

  • Как-то раз находил подобный код. Удалил его. Больше не попадаются 🙂

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *