Jump to content

Вирус которым заражает тема WP Newspaper от tagDiv


Recommended Posts

Добрый день, друзья! Последние дней 20 сайт постоянно заражался разного рода вирусами. Не буду тянуть кота за хвост, судя по всему заражение было именно с админки, понятное дело все доступы в админку, на почту, базу данных поменял, вот только ничего не помогло.

Следующий шаг, полностью заменили все файлы WP, темы и плагинов (ибо других левых файлов не было). Не помогло. Стало понятно, баг в теме (т.к. из плагинов оставил только самое проверенное).

Как выяснилось... Не прогадал... Толи от не знания, голову себе ломать я не стал, но вот как вылечится, если у вас стоит эта тема:

Идем в /wp-content/themes/Newspaper/wp-admin/panel/td_panel_data_source.php

Ищем:

add_action( 'wp_ajax_nopriv_td_ajax_update_panel', array('td_panel_data_source', 'update') );

и удаляем.

Дальше ищем:

static function update() {

Ниже ставим:

if ( !is_user_logged_in() ) {
exit();
}

Что делает баг? В админке у темы есть раздел Theme Panel, когда вы сохраняете там настройки, запрос идет через Ajax, а что на деле? Этот запрос не проверяется, любой не авторизованный пользователь может посылать запрос и в разделы с баннерами и JS кодами запихать вам вирус (редиректы всякие). Можете и сами попробовать, достаточно послать корректный POST запрос. Многие скажут что у WP есть проверка через nonce, но "wp_ajax_nopriv" работает для не авторизованных пользователей и видимо ему сие не нужно.

Как то так, пока что третий день сайт больше не заражался, хотя обычно на это нужно было 3-4 часа.

Что для меня осталось секретом, оставлен баг специально или нет....

Link to post
Share on other sites
  • Модератор

Данная уязвимость устранена в версии 6.7.2. В настоящее время версия темы перевалила за 8.0. Вы наверное все еще на старой сидите.

Больше: https://faqwp.com/question/uyazvimost-na-wp-sayte-veshayut-reklamu

Link to post
Share on other sites

Тема да, старая, как это бывает в ней слишком много изменений, настолько что даже дочерняя тема тут не помогла бы)) 

Собственно частенько сайты скупаю, проверил последние на этом шаблоне у многих проблема эта есть (видимо взломанная версия стоит и она ещё старая). А тема довольной популярная, на ней множество сайтов работает... Так что надеюсь кому то поможет наводка)

Link to post
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...