Cercetare trouble-big

butonel: Mihai Stancu | februarie 5th, 2015

0

WordPress: Plugin-uri si Teme – „Sursa principala de probleme!”

Era si timpul sa butonez un pic despre WordPress, avand in vedere ca il folosesc chiar pentru acest proiect http://butonel.ro si raman uimit cum oamenii nu se invata minte ( aici ma includ si pe mine ) sa petreaca mai mult timp pentru a face un proiect in wordpress „ca la carte” pentru a putea evita, poate chiar si pierderea intregului proiect ( site, blog etc. ); inca nu suntem obisnuiti sa asezam lucrurile la locul lor de la bun inceput.

Temele de WordPress / WordPress Themes


Le voi împărții în doua categorii:

1. Butoneală utilăbutonel-3

Cand ai nevoie de o tema de wordpress:

  • Încearca sa o cauti pe site-urile de profil cu popularitate mare (ex. themeforest.net)
  • Dupa ce ai gasit tema/temele care iti plac incearca sa petreci putin timp butonand dupa informatii si referinte despre acea tema, adica citeste review-urile
  • Verifica pe site-ul autorului temei despre probleme stiute, despre alte comentarii ale utilizatorilor
  • Butoneaza-l si pe google despre posibilele problemele ale temei si compatibilitatile ei cu versiunea ta de wordpress
  • Intr-un final dupa ce esti multumit, cumpara tema!
Teme cumparategonzo-theme-butonel

Cand cumperi o tema de pe un site de profil ar trebui sa beneficiezi, in cele mai multe din cazuri, de suport din partea autorului, pentru implementare si alte probleme care pot aparea cu tema ta.

Suport care se poate dovedii foarte util chiar si in cazul cunoscatorilor cu experienta in programare.

Teme primite ( de la vre-un „butonel” )
To do

Daca se ofera vre-un prieten bun sa-ti dea tema lui, nu ezita sa faci verificari la ceea ce ai primit inainte sa faci public site-ul tau:

  • inspecteaza cu atentie structura directoarelor, daca ti se pare ceva ciudat butoneaza-l pe google referitor la directorul/fisierul care ti-a sarit in ochi;
  • dupa ce pui tema pe serverul de hosting ( recomandat sa o urci initial pe un WordPress de test, instalat pe un subdomeniu ), incearca sa butonezi cateva site-uri care fac verificari de probleme:
    • http://sitecheck.sucuri.net/
    • https://www.codeguard.com/
  • Verifica lista de plugin-uri populare care iti pot oferii servicii asemanatoare si incearca sa butonezi cateva, NU TOATE!(ex.: Quttera Web Malware Scanner, Anti-Malware and Brute-Force Security, Theme Authenticity Checker TAC ), nu uita sa dezinstalezi plug-inul care nu iti place.

Am scris mai devreme cu culoarea gri pentru ca urmeaza sa explic ce inseamna MARE atentie la Plugin-urile de WordPress, te pot salva dar, „nu intotdeauna cine te scoate din rahat iti vrea si binele”.

  • Inspecteaza cu atentie continutul pe care il genereaza WordPress-ul tau cu noua tema instalata; poti folosii FireBug, daca gasesti ceva dubios, sapa mai adanc!
  • Verifica timpii de incarcare cu baza de date nepopulata si compara-i cu timpii de incarcare dupa ce postezi cateva articole, pagini cu continut; daca diferentele sunt „ingrijorator” de mari, reia butoneala cu firebug si inspecteaza ce anume te trage in jos la incarcare
Despre ce vorba cu „temele butonate”

Sunt sanse mari ca „prietenul binevoitor” sa nu fi cumparat tema de pe site-ul oficial, sa nu o fi cumparat-o deloc. Daca si el a butonat dupa vre-o tema „Free” si a gasit-o pe vre-un site de „Teme Free”, atunci trebuie sa ne punem intrebarile: „Cine mai munceste atat de mult in ziua de azi FREE of Charge?”, „Cine este atat de bine voitor sa cumpere o tema apoi sa o puna la dispozitie GRATUIT pentru altii?”; cred ca stiti raspunspul…

Ce se ascunde in spatele „Temelor FREE” ?

In principiu se ascund script-uri, linii de cod malicioase, care de multe ori iti produc pagube:

  • functii care genereaza insereaza link-uri in paginile tale catre alte site-uri ( unele care contin si virusi )
  • functii care cauta informatii pretioase pe serverul tau si le trimit catre „Butonistii rai”, parole de la bazele tale de date, de la administrarea wp-ului, de la serverul tau etc.
  • functii care ofera acces la serverul tau ( RootShell, backdoor-uri etc. )
  • scripturi prin intermediul carora Spamerii trimit mailul de pe serverul tau
Cum te afecteaza?
  • iti scade rank-ul in google
  • ip-ul serverului tau ajunge pe blacklist-uri
  • google va afisa informatii care vor anunta vizitatorii tai sa nu acceseze site-ul pentru ca poate fi periculos pentru ei
  • nu vei mai putea trimite mail-uri de pe serverul tau pentru vor fi catalogate ca spam
  • vizitatorii tai vor ajunge infectati cu virusi si nu vor mai revenii nicioada pe site-ul tau
  • lista poate continua…
Concluzie?

Trebuie sa petrecem mai mult timp cercetand pericolele care exista si care pot aparea in urma implementarii unei teme obtinute ilegal, sau „GRATUIT” sa nu ranim orgoliul nimanui, altfel riscam sa pierdem si mai mult timp recuperandu-ne informatiile de pe server, reputatia ip-ului, rank-ul in google, si banii care s-au scurs pe fereastra pentru cei care au platit promovarea site-ului lor.


2. Butoneala inutilă

„Free WordPress Themes” sau „Temele GRATUITE”nu-mafiashare

Toti vrem gratis si totusi totul are un cost,  de multe ori prea mare, nu pentru ca asa este peste tot ci pentru ca noi suntem vinovati. Dupa cum spune zicala „Lenesul mai mult alearga si scumpul mai mult pagubeste!” ajungem sa platim mai mult si cu timp si cel mai probabil si cu pagube financiare pentru ne-am calicit la achizitionarea unei teme; si totusi daca ne stim atat de calici macar putem investii mai mult timp la inceput pentru evitarea dezastrelor amintite mai sus, altfel toata butoneala pentru cautarea „temei gratuite” care cu siguranta consuma foarte mult timp, si toata butoneala care o vei face dupa ce vei fi lovit de problemele ce sunt atrase de „temele gratuite”, le vei putea trece cu incredere in categoria butonarii inutile! Vei devenii un butonel ineficient!

 

Nu e suficient?! Ai nevoie de o demonstratie?


 

Victima: butonel.ro ( ca de obicei :) )
Datele problemei

Primesc tema de la un butonel de incredere ( dar s-a dovedit a fi un butonel ineficient ), nu o butonez prea mult initial.

Dupa un timp, consider ca este necesar sa incep prin a optimiza un pic butonel.ro, referitor la incarcare, sa-l pregatesc pentru un viitor mai aprig. Butonand foarte mult ( voi prezenta cercetarile si tutorialele in alte „butoneli” ce le veti regasii in http://butonel.ro/tutoriale si http://butonel.ro/cercetare ) impreuna cu „Butonel Steli” pentru aceasta problema, ajung sa studiez componenta fisierului functions.php din cadrul temei; Mai exact <code>/wp-content/themes/gonzo/functions.php</code>.

Observ imediat un link…un link care nu avea ce sa caute acolo, „//play-wheels[dot]net”, verific functia unde se regaseste si constat cu stupoare ca … si eu si „Butonel Luci” suntem „butonisti ineficienti” pentru ca acest lucru ne-a scapat.

Ce se afla in functions.php?

Pe langa informatiile necesare se mai aflau si liniile de cod despre care v-am vorbit mai devreme:

function admTheContentAdm( $content ) {
....
if ($GLOBALS['wp_adm_sett'] == true) {
$css="color:#000000; text-decoration:none; font-weight:normal; cursor:default;";
$words = explode(" ", $content);

if (count($words) > 130) {

$k = (int)round(count($words)/2);
............
$words[$k] .= ' happy wheels demo';

$content = implode(" ", $words);
............
return $content;
}else{
return $content;
}
}
return $content;.
}
Ce fac aceste linii de cod php?

Insereaza in interiorul articolelor postate de mine ( in cazul nostru exprimarea corecta este „butonelilor butonate de mine” ) cuvintele happy wheels demo„, in anumite locuri alese dupa criterii pe care nu are rost sa le descriu, si care contin o legatura externa catre site-ul „http://play-wheels[dot]netcod-stupid-butonel

Codul nu a fost foarte subtil introdus in acest fisier, acesta probabil fiind si motivul pentru care l-am identificat la o inspectie vizuala. Putea fi mult mai bine ascuns si mult mai bine pregatit.

Un alt aspect important de precizat al functiei de mai sus „infiltrata abuziv” in fisierul ../wp-content/themes/gonzo/functions.php este metoda prin care functia afiseaza cuvintele de mai sus: doar pentru utilizatorii NEautentificati; astfel, autorii/”butonistii” de articole/”butoneli” nu vor observa in cadrul paginilor insertia raufacatoare, ci doar cititorii care pot ajunge de pe site-ul tau, fara voia ta, pe un alt site, de cele mai multe ori rau intentionat ( virusat ), sau care vrea sa se foloseasca de vizitatorii tai pentru a-i creste si lui reputatia.

Q.E.D. ?

Ca sa ma asigur ca acel cod malicios nu a ajuns in interiorul fisierului ../wp-content/themes/gonzo/functions.php printr-o alta vulnerabilitate, am butonat personal dupa tema „Gonzo FREE” am gasit-o pe mafiashare, am descarcat-o am verificat daca are acelasi continut cu al meu si ghiciti ce?! DAAA …

 

 Concluzie?

N-am sa schimb concluzia, e aceeasi ca si mai devreme, ba chiar am sa adaug:

Odata cu „WordPress Free Themes” vin la pachet si „Free Troubles”

Va urez succes in a va pierde timpul si banii butonand inutil internetul dupa lucruri aparent gratuite!

Multumesc pentru ajutor: „Butonel Steli”

Tags: , , ,



Back to Top ↑