Вирус которым заражает тема WP Newspaper от tagDiv

[kkey80 62]

Добрый день, друзья! Последние дней 20 сайт постоянно заражался разного рода вирусами. Не буду тянуть кота за хвост, судя по всему заражение было именно с админки, понятное дело все доступы в админку, на почту, базу данных поменял, вот только ничего не помогло.

Следующий шаг, полностью заменили все файлы WP, темы и плагинов (ибо других левых файлов не было). Не помогло. Стало понятно, баг в теме (т.к. из плагинов оставил только самое проверенное).

Как выяснилось... Не прогадал... Толи от не знания, голову себе ломать я не стал, но вот как вылечится, если у вас стоит эта тема:

Идем в /wp-content/themes/Newspaper/wp-admin/panel/td_panel_data_source.php

Ищем:

add_action( 'wp_ajax_nopriv_td_ajax_update_panel', array('td_panel_data_source', 'update') );

и удаляем.

Дальше ищем:

static function update() {

Ниже ставим:

if ( !is_user_logged_in() ) {
exit();
}

Что делает баг? В админке у темы есть раздел Theme Panel, когда вы сохраняете там настройки, запрос идет через Ajax, а что на деле? Этот запрос не проверяется, любой не авторизованный пользователь может посылать запрос и в разделы с баннерами и JS кодами запихать вам вирус (редиректы всякие). Можете и сами попробовать, достаточно послать корректный POST запрос. Многие скажут что у WP есть проверка через nonce, но "wp_ajax_nopriv" работает для не авторизованных пользователей и видимо ему сие не нужно.

Как то так, пока что третий день сайт больше не заражался, хотя обычно на это нужно было 3-4 часа.

Что для меня осталось секретом, оставлен баг специально или нет....

[files 2843]

Данная уязвимость устранена в версии 6.7.2. В настоящее время версия темы перевалила за 8.0. Вы наверное все еще на старой сидите.

Больше: https://faqwp.com/question/uyazvimost-na-wp-sayte-veshayut-reklamu

[kkey80 62]

Тема да, старая, как это бывает в ней слишком много изменений, настолько что даже дочерняя тема тут не помогла бы)) 

Собственно частенько сайты скупаю, проверил последние на этом шаблоне у многих проблема эта есть (видимо взломанная версия стоит и она ещё старая). А тема довольной популярная, на ней множество сайтов работает... Так что надеюсь кому то поможет наводка)