Чем опасны готовые шаблоны WordPress

images

CMS WordPress стала стандартом де-факто для большинства блоггеров. Она обладает простым интерфейсом и позволяет за очень короткое время создать красивый информативный сайт. К тому же, совсем не обязательно самому иметь дизайнерские способности: в сети есть огромное количество шаблонов (тем) для WordPress. Достаточно лишь скачать понравившийся, скопировать его в папку themes и активировать в админке. Всё просто!
Но такой подход таит в себе некоторую опасность. Расскажу о своем печальном опыте.

Этот блог был создан в конце мая 2010 года. В то время, пока происходила смена dns-серверов для домена, я рыскал в Интернете в поисках толковых плагинов и простенькой красивой темы. С плагинами все было более-менее просто: на самом сайте WordPress нашлось все, что мне было нужно. Но не было там темы, которая бы мне понравилась. И вот, гуляя по зарубежным сайтам, случайно наткнулся на этот вот шаблон, который сейчас вы можете видеть. Называется он Deliciously Blue и понравился он мне прямо-таки с первого взгляда.

Я его скачал, попробовал. Отличная вещь! Но стоило бы его перевести. Так как я от природы весьма ленив, поэтому я просто поискал в рунете переведенный вариант, немного перепилил его под себя и вывесил на сайте.

3 недели все было отлично, но в один прекрасный день я в отчетах Google Analytics обнаружил, что на мой сайт попали по поисковому запросу «*.sitename.ru». Меня это несколько удивило, я вроде бы не вывешивал таких ссылок. И всё же я не придал этому значения, всякое бывает, гугл тоже не безгрешен.

И вот сегодня я вспомнил про свой любимый браузер Elinks. Погулял с ним по интернету, решил посмотреть, как выглядит мой сайт в текстовом режиме. Прокручивая страницу, я внезапно наткнулся на 2 ссылки, которые располагались между sidebar и foother. Выглядело это так (на скриншоте тестовый блог с моего localhost):

0_330dd_5af8ac14_L

Сыграв тревогу, я в Chrome открыл код страницы и внимательно его просмотрел. Действительно, такие ссылки были, но видно их не было. По классу этих ссылок я нашел их свойства в style.css:

a.xl{
display: none !important;
}

Затер этот фрагмент кода, ссылки появились. Теперь нужно было поискать, в каком же месте в php-файлах эти ссылки прописаны. После недолгих поисков обнаружилось, код вызова хранится в файле functions.php в ложной функции bloginfo():


function bloqinfo($name = '') {
echo 'l?????y.ru p?????o.ru';
}

Я не стал ничего удалять, просто заменил весь текст в кавычках после echo на пробел.

Кто-то усмехнется: мол, ссылка — это не так страшно, кто-то просто раскручивал сайты. Да, в данном случае никакой угрозы ни мне, ни посетителям не было. Ну а если бы вместо ссылок оказался скрытый iframe или какой-нибудь пакостный javascript-код?

Будьте внимательнее и не используйте темы с малоизвестных сайтов, даже если они на первых страницах поиска. И если вы используете готовый шаблон, посмотрите внимательно код страницы. Вдруг там тоже какой-нибудь сюрприз.

Читайте так же:
Оставить комментарий

Последние публикации