WordPress. Wordfence находит шпионский код в дочерней теме?

Question

[Forest09]

В общем, плагин Wordfence стал находить вот это:
Filename: wp-content/themes/twentyfourteen_child/functions.php
File Type: Not a core, theme, or plugin file from wordpress.org.
Details: This file appears to be installed or modified by a hacker to perform malicious activity. If you know about this file you can choose to ignore it to exclude it from future scans. The matched text in this file is: function php_execute($html){\x0aif(strpos($html,"<"."?php")!==false){\x0aob_start();\x0aeval("?".">".$html);\x0a$html=ob_get_contents();\x0aob_end_clean();\x0a}\x0areturn $html;\x0a}\x0aadd_filter('widget_text','php_execute',10...

The issue type is: Backdoor:PHP/evalfunction.6810
Description: Backdoor code to execute malicious commands

Косяк именно вот в этом коде:

function php_execute($html){
if(strpos($html,"<"."?php")!==false){
ob_start();
eval("?".">".$html);
$html=ob_get_contents();
ob_end_clean();
}
return $html;
}
add_filter('widget_text','php_execute',100);

Вот на этот код жалоба в дочерней теме.


Ранее у меня полгода стоял этот код, и ничего не ходил при сканировании. Эта функция отображает последние комментарии. То есть она добавляет такой виджет, который показывает последние комментарии. И еще убирает заголовок виджета страницы. Я уже не помню, где нашел эти коды. В каких статьях.

Что посоветуете делать? Wordfence настаивает на удалении всего файла functions.php. Но я для интереса просто удалил код выше. После этого он успокаивается.

Что делать: искать другие функции для отображения последний комментариев или лучше плагин? Я считаю, что через код дочерней темы лучше. Что скажете? Или продолжать игнорировать Wordfence? Пишите.

Answer 1

[zorca]

Совершенно правильно ругается антивирусный плагин. Не нужно следовать плохим практикам и пытаться выполнять PHP-код в виджете. Правильный подход: создать шорткод и в него поместить всю логику работы Ваших комментариев. Тогда, злоумышленник, получивший доступ к админке сайта, не сможет ничего серьёзного в ней сделать.

Comments

[BValentin]

Простите, это как это "не сможет ничего серьёзного сделать" в админке?
Там темы вообще то, плагины и чего только нет.

[zorca]

BValentin, админка это ещё не получение доступа ко всему. В WordPress из коробки аж 5 ролей пользователей с разными правами, плюс есть возможность отключить редактирование файлов и обновления через админку. При выполнении кода прямо в виджете хакнуть сайт сможет любая роль, которая имеет права редактировать виджеты.

[Forest09]

Правильный подход: создать шорткод и в него поместить всю логику работы Ваших комментариев.
Как создать шорткод? Я не очень в php. Подробнее можно об этом?

Можете дать ссылку на статью, где написано, как создавать его. И как комментарии настраивать.

[zorca]

Forest09, вечером с ноута пришлю конкретный пример

[Forest09]

zorca, Ок, благодарю! Жду.

[zorca]

Forest09, пришлите код своих комментариев на PHP, чтобы пример стал конкретным

[Forest09]

zorca, Да у меня стандартные комментарии. От ВордПресс. Я их ничем не правил. Где для них функции искать?
Окошко обычное: "Добавить комментарий". Ну еще стоит Акисмет Антиспам фильтр. Он просто фильтрует от ботов.

[zorca]

Пример шорткода из реального проекта:

add_shortcode( 'ha_woo_stock_label', function () {
	$product = wc_get_product();
	ob_start();
	if ( $product->is_in_stock() ) {
		echo '<div class="ha-stock ha-stock--in-stock">In Stock</div>';
	} else {
		echo '<div class="ha-stock ha-stock--out-of-stock">Out of Stock</div>';
	}
	$output = ob_get_clean();

	return $output;
} );

В него нужно вставить свой код PHP и вывести в любом месте контента: [ha_woo_stock_label]

[zorca]

Forest09, ну вы же где-то код PHP вставляете? В каком-то из виджетов. Вот этот код и пришлите. Я сделаю шорткод.

[Forest09]

zorca, В дочернюю тему. в functions.php

И что именно этот код сделает? Расшифруйте. Мне нужно, чтоб последние комментарии выводились в виджете в правом сайдбаре. С аватарами.
Можно по порядку? Что нужно делать именно, и куда вставлять. А то просто этот код ни о чем не говорит.

я не вывожу в любое место контента (только логотип дополнительный таким образом добавил). В виджеты же надо по-другому. Только через дочернюю.

[zorca]

Forest09, Еще раз:

1. Ваш хак в вопросе разрешает использовать PHP-код в виджетах
   
2. В одном из виджетов в админке у вас он забит
   
3. Просто выложите сюда этот PHP-код(или содержимое виджета в АДМИНКЕ, если так понятнее будет), я сделаю на его основе шорткод
   

[Forest09]

zorca, Я уже удалил тот код и тот виджет. Сейчас скопирую из статьи. Тут можно ссылка размещать или нет?? ?


вот по этому способу сделал.

Заяндексите вот это: "Последние комментарии WordPress с аватарами без плагина". По ней делал. Там статья так называется. Ссылку тут у меня не получилось передать.

И

Там написано, что в файле functions.php надо вставить вот этот код

function php_execute($html){
if(strpos($html,"<"."?php")!==false){
ob_start();
eval("?".">".$html);
$html=ob_get_contents();
ob_end_clean();
}
return $html;
}
add_filter('widget_text','php_execute',100);

После чего, сохраните файл, зайдите в админ-панель, Внешний вид – Виджеты и добавьте виджет «Текст». И в поле ввода пропишите какой-нибудь PHP код, сохраните и проверьте результат. Для проверки можете использовать код указанный ниже этот код выводит все категории сайта.

Прописываю вот этот код для последний комментов:

Зайдите в админ-панель на вкладку Внешний вид – Виджеты. Добавьте текстовый виджет и в поле ввода вставьте код:

<?php $comments = get_comments('status=approve&number=5'); ?>
<ul class="widgcomm">
    <?php foreach ($comments as $comment) { ?>
        <li class="comcont"><?php
            $title = get_the_title($comment->comment_post_ID);
            echo get_avatar( $comment, $size = '35');
            echo '<span class="tecom">' . ($comment->comment_author) . '';
            ?> к посту: </span><a class="auth" href="<?php echo get_permalink($comment->comment_post_ID); ?>"
                                  rel="external nofollow" title="<?php echo $title; ?>">
                <?php echo $title; ?> </a>
            "<?php
            echo  '<span class="tecom">' . wp_html_excerpt( $comment->comment_content, 35 ) .
                '</span>'; ?>.."
            <?php $d = "M d, Y";
            $comment_ID = $comment->comment_ID;
            $comment_date = get_comment_date( $d, $comment_ID );
            $comment_PID = $comment->comment_post_ID;
            echo $comment_date;?>
            <?php  echo 'Всего комм.: '.get_comments_number($comment_PID) ?>
        </li>
    <?php }  ?> </ul>

Но так как вы сказали, что это вредоносно. Поэтому сейчас все удалил.

[zorca]

Это в functions.php:

add_shortcode( 'toster_latest_comments', function () {
  ob_start();
  $comments = get_comments('status=approve&number=5'); ?>
<ul class="widgcomm">
    <?php foreach ($comments as $comment) { ?>
        <li class="comcont"><?php
            $title = get_the_title($comment->comment_post_ID);
            echo get_avatar( $comment, $size = '35');
            echo '<span class="tecom">' . ($comment->comment_author) . '';
            ?> к посту: </span><a class="auth" href="<?php echo get_permalink($comment->comment_post_ID); ?>"
                                  rel="external nofollow" title="<?php echo $title; ?>">
                <?php echo $title; ?> </a>
            "<?php
            echo  '<span class="tecom">' . wp_html_excerpt( $comment->comment_content, 35 ) .
                '</span>'; ?>.."
            <?php $d = "M d, Y";
            $comment_ID = $comment->comment_ID;
            $comment_date = get_comment_date( $d, $comment_ID );
            $comment_PID = $comment->comment_post_ID;
            echo $comment_date;?>
            <?php  echo 'Всего комм.: '.get_comments_number($comment_PID) ?>
        </li>
    <?php }  ?> </ul8 <?php
  $output = ob_get_clean();
  return $output;
} );

Затем создайте виджет с текстовым редактором и в него добавьте этот шорткод: [toster_latest_comments].

[Forest09]

zorca, Благодарю! Работает. А где в этом коде указано количество выводящихся комментариев?
Мне нужно, чтоб только 5 штук выводилось.

[Forest09]

zorca, Понял.
Вот этот код и делает 5 последних.

$comments = get_comments('status=approve&number=5'); ?>

Снова только сейчас зашел. . .