זהירות ממאסטרגייט וטימלנד

אחד החסרונות בלהיות דוברי עברית היא שכל התאמה של ערכת עיצוב מצריכה הרבה יותר עבודה עבור כתיבה מימין לשמאל. למרבה המזל יש בישראל לא מעט מפתחים שהחליטו להצטרף למאמץ ולתרגם את הערכות לטובת הקהילה. מצד שני, מסתבר שיש מספר מפתחים שהחליטו לתרגם ערכות על מנת לנצל אותן לטובתם האישית. אחד מהם הוא אתר מאסטרגייט אשר הזריק לכל הערכות בכל האתרים שלו קוד זדוני ומסוכן המאפשר לו להשתלט על הבלוג שלכם ולהכניס לשם תוכן משל עצמו.

חשוב להבין – מדובר בקוד מסוכן שמקבל גישה אל השרת שלכם ויכול (ואף עושה בפועל) לעשות בו כרצונו. היות והערכות יכולות להכיל פונקציות מלאות הוא אפילו יכול בעיקרון לקבל גישה מלאה אל הבלוג שלכם.

לכן, ולפני הכל – אם הבלוג שלכם מריץ ערכת עיצוב שהגיע מאחד האתרים הבאים – הסירו אותה עכשיו במידי ואז חיזרו לקרוא.

mastergate.co.il
themeland.co.il
themes.org.il
wpstore.co.il (הערה, פה נמכרות תבניות בתשלום ולכן לא בדקתי את הקוד בפועל, אם קניתם דרך האתר ערכת עיצוב, אנא צרו איתי קשר על מנת שאוכל לבדוק)

הכל התחיל כשמיטל מבלוג הלקים גילתה שבפוטר של הערכה שלה, שהורדה מהאתר של מאסטרגייט, הופיעו לינקים שהיא לא שמה ולא רצתה בהם. ניסיון להסיר את הלינקים הללו הקפיץ הודעה שהאתר מפר זכויות יוצרים. זו, הייתה יריית הפתיחה – שכן מדובר בערכה המופצת תחת קוד GPL ולא רק שמותר לשנות בה את הקוד כאוות נפשנו, אלא שוודאי וודאי שאין למאסטרגייט שום זכויות יוצרים על הערכה.

התקנתי את הערכה על שרת מקומי והתחלתי לחפש את ההתערבויות, היות ומדובר בערכה די נרחבת קיים סיכוי סביר שלא מצאתי את הכל, אבל פה יש תיעוד של מה שמצאתי.

ההתחלה הייתה בקוד ה footer שם נמצא קוד ה PHP הבא:

eval(base64_decode("d3BfY2FjaGUoKTs="));

כאשר פתחנו את הקידוד נמצאה בתוכו הפונקציה
wp_cache();
לא ראינו שום סיבה להעלים את פונקציית ה cache אך ברגע שזו הוסרה הופיעה לפתע הודעה המכריזה כי האתר מפר זכויות יוצרים.

המקום הבא לחפש בו היה קובץ ה functions.php, זהו קובץ שנטען ביחד עם הערכה ומיועד לפונקציות יעודיות של המפתח. ואכן, בתוך הקובץ הלז, נמצאה שורה דומה:

eval(stripslashes(base64_decode(קוד זדוני ארוך פה));

לא סתם ציינתי כי מדובר בקוד זדוני, בוריס טרח לפרק את הקוד ולנתח אותו ויעלה פוסט בהקדם, נגיד רק שמדובר בקוד שמבצע גישה אל הדאטה בייס ואל הקבצים של הערכה, הוא ניגש אל השרת של מאסטרגייט ומוריד ממנו עידכונים אשר משוכתבים אל תוך הערכה עצמה. בפועל זה משמש להתקנת לינקים פירסומיים, בפועל, ניתן להשתמש בזה כדי להכניס כל קוד זדוני אחר.

לאחר שהשוותי את קבצי הפונקציה אל קבצי הערכה המקורית ראיתי שמדובר בתוספת שלא הוכנסה במקור על ידי המפתח המקורי. הסרתי את הפונקציה וטענתי את הבלוג מחדש – הפעם, כלום לא עבד.

יש שתי דרכים לפתור את הבעיה הזו, האחת ארוכה ויסודית ושולחת את המפתח לפתוח את הדחיסה ולקרוא את תכולת הקובץ. השניה, קלה יותר ומהירה יותר – להציץ בדוח השגיאות של שרת ה apache.
על אובונטו עושים את זה על ידי שימוש ב:

tail -f /var/log/apacge/error.log

הפונקציה tail “מציצה" למעשה אל סוף הקובץ הנקוב והפרמטר f אומר לפונקציה לעקוב אחרי שינויים בקובץ ולהדפיס אותם אל המסך. התוצאה אגב היא – בכל פעם שיש הודעת שגיאה היא תודפס בטרמינל.

לאחר הקלדת הפקודה וריענון העמוד קיבלתי את הודעת השגיאה הבאה:

Fatal error: Call to undefined function wp_get_header() in /home/nitzan/www/wordpress/wp-content/themes/des/index.php on line 1

אכן, הקובץ index.php הכיל קריאה לפונקציה wp_get_header רק שזו אינה פונקציה של וורדפרס. הפונקציה של וורדפרס היא get_header – החלפתי את הפונקציה ב get_header והמשכתי הלאה.

הודעת השגיאה הבאה שהתקבלה היא:
Fatal error: Call to undefined function wp_loaded() in /home/nitzan/www/wordpress/wp-content/themes/des/header.php on line 1

הפונקציה הזו אינה מוכרת לי אבל אכן בקובץ ה header.php נמצאה בדיקה בנוסח הבא:

<?php if (wp_loaded() === true) { ?>

הודעת השגיאה הבאה הייתה

Parse error: syntax error, unexpected '}' in /home/nitzan/www/wordpress/wp-content/themes/des/header.php on line 72

ואלו היו הסוגריים המסולסלים שסוגרים את הבדיקה של הפונקציה הקודמת.

לאחר ההסרה, חזר הבלוג לעבוד אבל ה footer לא הופיע יותר. בדיקה בקובץ index.php הראתה קריאה אל

wp_get_footer();

שבדיוק כמו במקרה הראשון – זו אינה הפונקציה המקורית אלא הסוואה שלה שכן הפונקציה המקורית היא

get_footer();

לאחר שינוי הפונקציה חזרה הערכה לעבוד בשלמותה בעמוד הראשי אבל דפים פנימיים חזרו להקפיץ הודעות שגיאה.
לצורך כך, על מנת להימנע מבדיקה של כל הערכה, הוספתי אל קובץ functions.php את הפונקציות הבאות:

function wp_get_header(){get_header();}
function wp_get_footer(){get_footer();}
function wp_loaded(){return true;}

ובכך הסתכם הטיפול בערכה. והיא חזרה לעבוד מבלי הקוד הזדוני שהושתל על ידי מאסטרגייט.

מדגימה של מספר ערכות באתר של מאסטרגייט ובאתר themes.org.il עלה כי בכולן הושתל קוד זדוני שכזה או דומה. ראוי לציין כי גם האתר wpstore.co.il הוא בבעלותו של מאסטרגייט, ואני מניח כי את אותם הקודים ניתן למצוא גם שם.

לסיכום

הזכויות לתרגום ערכה נגזרות מהיותה GPL ולכן מחייבות הפצה כ GPL, אם הוכנס "כל הזכויות שמורות" זה כבר דגל שאמור להחשיד. ככלל, ערכות עדיף ורצוי תמיד להוריד ממקורות בטוחים. רצוי תמיד לחפש את שם הערכה בגוגל, ברוב המקרים זה יוביל אתכם אל המקור. רצוי להוסיף שמאסטרגייט לא המציא את הגלגל, ראיתי קודים כאלה גם קודם באתרים אחרים ולפחות ערכה אחת שמצויה באתרו היא ערכה שבמקור הכילה קוד הגנה על זכויות יוצרים של המפתח – שהוסר והוחלף על ידי הקוד של מאסטרגייט.

הנוהג של השתלת לינקים על זכויות העברות הוא לא גם יחודי למאסטרגיט, ראיתי את זה במספר אתרים אחרים, מה שבטוח, כולם טוענים שהסרה של הקודים הן הפרה של זכויות היוצרים, רצוי לזכור שהתרגום נעשה מתוקף היות הערכה GPL ולכן, כחלק מהחוקים של GPL אין שום מניעה ואיסור וזו אף זכותכם המלאה להסיר את התוספות הללו מהקוד.

קריאה לפעולה
אם קניתם ערכה אצל אחת מחנויות הערכות הישראליות – אנא צרו איתי קשר למייל nitzanb (at) gmail.com – אני רוצה לבדוק עד כמה הנוהג הזה נפוץ ולעדכן.

עידכון – 16:10 – למרות שלמיטב ידיעתי האתר מסטרגייט שייך ליחיאל סימן טוב, הרי שעל פי רישום ה DNS הוא שייך כרגע לאדם אחר בשם ערן מיטל. אי לכך אין ביכולתי לדעת בוודאות באיזה תאריך בוצעה החלפת הבעלות ולכן אין ביכולתי לדעת האם הקוד הוא תורשה של יחיאל או תוספת של ערן.

זהירות ערכות בחינם מסוכנות – מאסטרגייט טימלנד

לדרג את הפוסט
0

Comments

62 תגובות על “זהירות ממאסטרגייט וטימלנד”

  1. […] 24 בינואר 2012 – 11:18אין תגובות היום מפרסם ניצן ברומר פוסט מטריד מאד על אתר התבניות מאסטרגייט (ועל האתר של יוסי ג'אנה). באופן כללי, לפי בדיקתו, התבניות […]

  2. תודה על המידע, אני יעביר את זה הלאה.

  3. בן של אלף זונות. השלולית של תוכנה חופשית בארץ היא קטנה, להשתין בתוכה חייב ליצור הדים חזקים כדי שזה לא יקרה שוב לעולם.

  4. בדיוק תכננתי לכתוב פוסט על החוצפה הזו. הייתי צריך להזדרז.
    אני אוסיף שגם http://www.webrtl.com/ מוסיף קוד מעורבל לתבניות שלו.

    אני אישית השתמשתי בתבניות מהאתרים הנ״ל אחרי שהסרתי מהן את כל הקוד המעורבל בצורה דומה למתואר כאן ועברתי על שאר הקוד לראות שאין בו הפתעות.

  5. תמונת פרופיל של Minister Generator
    Minister Generator

    גם לי יש תבנית שהורדתי מ- mastergate,
    ותוכנה שבניתי על מנת להגן על הבלוג שלי סימנה את אותו קוד בתבנית בתור תולעת.

    אבל מכוון שלא הצלחתי לפרוץ את ההצפנה המסורבלת שלו,
    החלטתי פשוט לעתיק את קוד המקור של האתר אותו מייצר footer ולהדביק אותו בתור HTML במקום הנכון.
    לאחר מכן, הורדתי תוסף המייצר לי sidebar שונים לפי בקשה, ויצרתי אחד בחלק התחתון של של האתר משמע ב – footer.

    וכך פתרתי את בעיות התבנית הפרוצה.
    ליתר בטחון אף הורדתי תוסף שכל שינוי חשוד או שינוי במסד נתונים אני מקבל התראה כלוג לאימייל.
    וכך אם מישהו נוגע לי במערכת, אני ישר יודע על כך.

    1. שלום לכולם
      תוכל לציין את השם של התוסף?

      למזלי אני לא משתמשת בתבניות חינמיות, בטח לא מאתרים האלה
      אבל בכל זאת אשמח לדעת איך להגן על האתרים ב-WP

      תודה רבה

  6. תמונת פרופיל של קלאודיה
    קלאודיה

    אני מעוניינת לקנות תבנית וורדפרס בעברית, מה אתה ממליץ לי ולמי אני יכולה לפנות? רוצה לקנות תבנית ולא לעסוק בכל מיני ניקיונות שאין לי מושג איך לעשות אותם. האם אני יכולה לקנות אותה ישירות מח"ול (מהמקור) ומה אני צריכה לבדוק על מנת שאוכל לעשות שימוש בה בעברית?
    תודה

  7. אנשים מחפשים את ה"חינמיות" ובסף מתמודדים עם באקדורס ובעיות אבטחה, לינקים לאתרי ויאגרה או אתרי קזינו.

  8. אין לי מושג איך לבדוק את זה…
    :/

  9. כנראה שאין דברים טובים בחינם. בטח לא בישראל.
    המח היהודי תמיד ימצא פטנטים כדי לשתות כסף.

    1. האמת שעד לפני תקופה הייתי מתרגם בזמני הפנוי תבניות לגמרי בחינם (לא אני לא טוב לב, אני לא מתנגד לקישורים חדשים לאתר) בתמורה לקישור פוטר (קישור בודד ב HTML ללא קודים זדוניים בPHP ושאר ירקות).
      אבל כמובן בארץ כמו בארץ, אחרי רבע שעה כולם הורידו את הקישורים.

      בשביל איכות צריך לשלם (למרות שישנם הרבה תבניות וורדפרס בתשלום שאונסות את השרת)..

      אני לא כ"כ מבין את ה"סערה" שהדבר עורר, מה חשבתם שהם צדיקים? ישנם מאות אתרים שעושים את זה בחו"ל, אז אין סיבה שזה לא יגיע לארץ.

  10. […] שהיה (ועודנו), כך היה. ניצן ברומר חשף בבלוג שלו כי כמה מתרגמי תבניות וורדפרס השתילו קוד זדוני בתבניות […]

  11. התוסף הנאה
    TAC
    יזהה עבורכם את הפירצות בתבניות, וכך גם
    Exploit scanner
    שסורק גם תוספים. מומלץ בחום.

  12. בניתי הופך תבניות אוטומטי. הוא רחוק מלהיות מושלם, אבל תוכלו להפוך לבד html ו-css בלי להיות תלויים באף אחד:http://webweb.co.il/flip/

    1. אחלה יוזמה נריץ את הכלי בהזדמנות.

      אבל למה מגבלה חצי מגהבייט ? רוב התבניות הגדולות שוקלות יותר ממגה..

      1. מסכים שזה לא הכי נוח, אבל זה על שרת ישן וקצת בעייתי, כל הדומיין עומד לעבור בקרוב לשרת חדש ובשליטתי. בינתיים, הגבלתי לחצי מגה כי אפשר להסיר מהתבנית לפני ההעלאה את כל קבצי המדיה ולהעלות רק html ו-css, ועדיין לקבל את התוצר.

        שוב, זה לא אידאלי, אבל זה עומד להשתנות בקרוב.

  13. מידע חשוב ! לפני שבוע כמעט השתמשתי בשירות של מאסטרגייט בשביל תרגום תבנית אשר רכשתי מאתר בחו"ל.
    דרך אגב, אין איזה חוזה בין הצדדים לפני שמבצעים את הפעולה? אם רכשתי תבנית בכספי, אז מי הם שיוסיפו קישורים/קוד/לא משנה מה לתבנית שאני רכשתי.

  14. תודה על ההסבר, מאיר העניים!

  15. תופעה זו אינה חדשה היא קיימת כבר 3-4 שנים גם בחו"ל.
    לפני שנתיים גם ראינו אתרים שברמת הקוד נשתלו קישורי ויאגרה והימורים שלא נראו ויזואלית באתר עצמו.

    בכלל תופעת התבניות המוכנות לדעתי לאט לאט יחוסלו על ידי גוגל מכיוון שגוגל מחפש את היחודיות ואחד מהפרמטרים שהינו בודק היא תבנית העיצוב והיחודיות שלה.

    אתר בעל קוד תקין בכל הרמות ועיצוב ייחודי יועדף על ידי גוגל מאתר בעל שגיאות קוד ותבנית עיצוב.
    אין מה לעשות זאת עובדה.

    בכל מקרה מאמר ראוי ברכות על ההשקעה בבדיקות.

    שי

  16. […] יותר היום התפוצצה בקול מרעיש פרשת Mastergate שבה ניצן ברומר חשף השתלת קוד זדוני בתבניות מתורגמות חינמיות שפורסמו באתר Mastergate, הקוד הבעייתי מעמיד בסיכון […]

  17. […] מסתבר שמה שבא בחינם לפעמים עולה ביוקר. מוקדם יותר היום ניצן ברומר מבלוג המכללה פרסם פוסט מדאיג במיוחד על קוד בעייתי שהוא מצא בתבניות וורדפרס מתורגמות […]

  18. תודה על הפוסט.
    Minister , מה השם של התוסף?
    תודה.

  19. מעניין, תודה.
    טוב, נחכה לבוריס לראות מה יש בפונקציות האלו.

  20. אלי, זה פשוט לא נכון. יש מספיק דברים חינמיים ובקוד פתוח בארץ.

    אני לא יודע ממתי יש את הקוד הזה בתבניות של מאסטרגייט, אבל לי יש תבנית שתורגמה לעברית *ובחינם* על ידם על פי בקשה לפני כשלוש שנים ולאחר בדיקה של אדון חתול הקוד הזה לא מופיע שם.

  21. תודה על העדכון, כמו תמיד חינם זה בדרך כלל לא חינם..

  22. תמונת פרופיל של מנחם לוריא
    מנחם לוריא

    הבהרה: מי שבודק בקוד עצמו אם מופיע לא להיבהל זה קוד תקין הלא תקין הוא wp_get_header(),ויש גם רק get_header שגם הוא תקין.

    HIH

    מנחם.

  23. יחיאל סימן טוב, הבעלים הקודמיםשל הדומיין ואתר מאסטרגייט ן wpstore, הוא ככל הידוע לי עורך דין. בזמנו התנהל איתו דיון ארוך בקבוצת וורדפרס בגוגל, יחד עם עו"ד יהונתן קלינגר, ויכול להיות שאחרי זה הוא החליט למכור את הדומיינים. לחילופין, ייתכן שהוא נשאר גם שותף אבל העביר בעלות משמו על הדומיינים.

    1. אומנם הייתי בעלי אתר מאסטרגייט, אך כפי שציינתי בקבוצת התמיכה האתר נמכר בשנת 2010. כאשר חילקתי את התבניות מתורגמות מעולם לא שתלתי קוד כלשהו בתבניות אם לטוב ואם לרע. נכון להיום אני בעלי האתר wpstore.co.il וגם באתר זה אם תקראו את תקנון האתר תמצאו את הנוסח הבא:

      "לתשומת לבכם – קבצי ערכות העיצוב מתורגמים ומוסבים לעברית כפי שהם (AS IS) בשינויים הנדרשים לצורך הסבתם לעברית. לעיתים ערכות העיצוב מגיעות עם זכויות יוצרים או קישורים ממומנים אשר קודדו ואינם ניתנים למחיקה שכן ניסיון להורידם ו/או לשנותם יגרומו לקבציי התרגום להפסיק לפעול. יודגש, כי קידודים אלו בוצעו ע"י היוצר עצמו ואין לאתר wpstore שום שייכות לכך. מרבית הקידודים מקודדים באמצעות base64 ודומיהן. ישנם שרתים אשר אינם מוכנים לאחסן קבצים בקידוד זה וע"כ בטרם ביצוע הרכישה מומלץ לבצע בדיקה מול השרת בו הנכם מאחסנים את האתר. יודגש, כי אתר wpstore איננו מקודד את זכויות התרגום או כל קישור אחר ואיננו אוסף מידע כלשהו באמצעות תרגום ערכות העיצוב לעברית."

      לצורך העמדת הדברים על דיוקם, האתר נמכר בזמנו בגלל הצעה כלכלית ואין כל קשר למכירה לבין קודים זדוניים למיניהם – דבר שגם אני לא בעדו ומן הסתם ללא עדכון הגולשים מהווה עבירה וחדירה לפרטיות המשתמש. נכון להיום וכפי שציינתי אני לא שותף במסטרגייט או בכל אתר אחר, למעט wpstore שהוא בבעלותי המלאה…

  24. […] הפוסט של ניצן, בו נחשפה אמש פרשת מאסטרגייט, אני רוצה להזמין אתכם לצלול ביחד איתי אל-תוך מעמקי […]

  25. תמונת פרופיל של אסף
    אסף

    יופי של פוסט.
    חבורה של חארות לא מתביישים להכניס קוד זדוני לאנשים אחרים ואם מישהו מתקן את זה עוד מאיימים בהפרת זכויות?!

    בושה וחרפה!!
    אני מקווה שכולם יפיצו את הפוסט הזה לכמה שיותר אנשים, חובה לגרום לאנשים האלה נזק כלכלי, חובה למנוע מהם הגעה של לקוחות.

    איך נסיר אותם מתוצאות בגוגל?

  26. היי, רציתי לשאול- במידה ויש לי אתר עם ערכת עיצוב חינמית מ- http://www.themes.co.il
    האם יש משהו שאני יכול לעשות כדי לתקן את הפירצה או שעלי להסיר אותה מיד?

  27. תמונת פרופיל של פשוטי העם
    פשוטי העם

    אז מה עושים. אפשר איזה מדריך לפשוטי העם. אין לי שום אפשרות להוריד את התבנית. הבנתי את ההוראות מהשורה: "אכן, הקובץ index.php הכיל קריאה לפונקציה wp_get_header רק שזו אינה פונקציה של וורדפרס. הפונקציה של וורדפרס היא get_header – החלפתי את הפונקציה ב get_header והמשכתי הלאה." האם זה כל מה שצריך לעשות ?

  28. גם אני משתמש בתבנית של מאסטרגייט. עברתי על הקוד במקומות שאמרת ולא מצאתי שום סימן לפונקציות שציינת. האם יכול להיות שזה לא אשמת מאסטרגייט אלא סוכן עצמאי אחר? או אולי, יותר סביר, שהם התחילו את זה לאחרונה (התבנית שלי דיי ישנה).

  29. בכל מקרה, אני לא רוצה להיות חלק מהחגיגה על חשבון מאסטרגייט או כל אתר אחר בארץ או בחו"ל. אבל מניסיוני מאסטרגייט משתמש בהרבה מאוד תבניות חינמיות ומוסיף להם קוד משלהם.

    לדוגמא: התבנית הזאת http://themes.rock-kitty.net/green-grapes/ גוירה ע"י we-cms. בפוטר שלה יש קוד מאוד מסוכן שפותח מקום לבאקדורס. we-cms פשוט גייר אותה בלי להתייחס למה שיש.

    אז לא תמיד המגייר אשם.

    הייתי ממליח לבדוק את תבנית מקור ואז לקפוץ על מאסטרגייט ודומים לה…

  30. […] ברומר (בסיוע בוריס בולטיאנסקי) דיווח על אודות דלת אחורית שגילה בתבניות וורדפרס מתורגמות; […]

  31. תמונת פרופיל של ידידיה
    ידידיה

    לא הבנתי. זה אומר שאתר מאסטרגייט נוכלים ואסור להשתמש בעיצובים שלהם או שהם עושים זאת בשביל מטרת שיווק ולא להרע? ולפי דבריך נשמע שמוכר לך המנהל – האם יש דרך עצמאי או דרך מערכת האתר של מאסטרגייט להוריד את זה?

  32. תמונת פרופיל של רון
    רון

    יש בידי הוכחות שהדבר נעשה עוד בתקופת בעלותו של יחיאל סימן טוב.
    קצת רקע , ביולי 2010 בניתי אתר לעסק וחיפשתי טמפלט טוב , הגעתי למאסטרגייט וראיתי טמפלטים על רמה מתורגמים וחשבתי שמצאתי מציאה, לאחר סיום בניית האתר הציק לי בעין הקרדיט של מאסטר גייט בסוף העמוד וחיפשתי בfooter את הקוד שכותב אותו, ובגלל שהfooter היה ריק למעט קוד הbase64 , כאשר מצאתי אותו הלכתי וחיפשתי מתרגם לbase64 הזנתי את הקוד של הbase64 וקיבלתי תרגום מדויק, אחרי התרגום הבנתי מה יושב לי בfooter ומחקתי אותו, לאחר כשלושה ימים קיבלתי אימייל מאיים ממר יחיאל סימן טוב על הפרת זכויות יוצרים ודרישה להחזיר אותם לאלתר, אז החזרתי אותם, "כמו שאני יודע" , בשיטה הישנה של של שם שמקשר לאתר ולא איזה קוד זדוני ולא מוכר שמקודד בכוונה כדי שלא יראו מה יש בו.

  33. תמונת פרופיל של מתי
    מתי

    תודה רבה על המידע!
    שימו לב שיש לכל זה פתרון פשוט וקל –
    לדווח לגוגל על אתר המכיל תוכנות זדוניות
    לא יעבור הרבה זמן והאתרים האלה יעלמו מהאינדקס של גוגל
    וכך רוב החשיפה והיכולת שלהם לעשות נזק תעלם

    כנ"ל דיווח לחברת האחסון עשוי לגרום לה להוריד את האתר

  34. חבר'ה, באמת זה מסוכן. לי הצליחו לחדור לאתר בגלל קוד כזה מטומטם. אני מקווה שלא תפלו בפח. חשוב מאוד!! מיד לאחר שאתם מתקינים תבנית וורדפרס (ואם יש לכם את האפשרות גם לפני ההתקנה לבדוק את קוד התבנית ) בידקו את קובץ footer.php לרוב שם מוחבא הקוד הארור הזה.

    המשך יום טוב חברים.

  35. […] ברומר (בסיוע בוריס בולטיאנסקי) דיווח על אודות דלת אחורית שגילה בתבניות וורדפרס מתורגמות; […]

  36. תמונת פרופיל של מרצה במכללה בצפון
    מרצה במכללה בצפון

    שלום, נעים להכיר. לפני שגיליתי אתכם פניתי ל mastergate והתלוננתי על הלינקים.
    אגב לא הייתם מצפים מגוגל, שהיא היא הגורמת לסיאוב לינקים, לגלות זאת? הרי יש להם הבנה מצויינת של תוכן הדף שלך. מה הבעיה להבין שאין שום קשר בין הדף שלך לדף שאתרך מצביע עליו ולהתריע !

    מכיוון שיזמות/מכירות הם תחומי העניין/עיסוק שלי, אינני מבינה מדוע אף אחד מכם, חברים יקרים, לא הקים חברה שיש לה קוד אתי מפורש, ואף תורם לקהילה תוך כדי התפרנסות יפה – הכוללת תרגום wordpress לעברית /וערבית.
    אגב – האם יוזמת גוגל לכל עסק נבדקה פה ע"י מישהו? אולי הם הורגים את wordpress?

    יום טוב ואתי 🙂 Ethical

  37. […] ברומר (בסיוע בוריס בולטיאנסקי) דיווח על אודות דלת אחורית שגילה בתבניות וורדפרס מתורגמות; […]

  38. תמונת פרופיל של mydollargate
    mydollargate

    מאיזה אתר אתם הכי ממליצים לקנות טמפלטים ?

  39. […] בעברית ותבניות באתר מאסטרגייט‬ היום מפרסם ניצן ברומר פוסט מטריד מאד על אתר התבניות מאסטרגייט. באופן כללי, לפי בדיקתו, התבניות וורדפרס מתורגמות […]

  40. מתברר שגם אני נפגעתי מהאתרים הנ"ל! במשך כחודש שוב ושוב סומנתי ע"י גוגל ברשימה השחורה, חוויה מפוקפקת ומרגיזה. עלי להעיר כי בשרת שלי לא הצליחו לעזור ב100 אחוז ומבדיקות שערכתי השרת הזה GVO הזה סובל יותר מפריצות והאקרים. לא מומלץ!

  41. אני חדש בנושא, לאחרונה הורדתי מהם תבנית וגיליתי למטה את השורה עם הלינקים של הובלות, פוליש ועוד. ועברתי על כל הקבצים בחיפוש אחרי הלינקים ולא מצאתי.
    התחלתי לחפש באינטרנט איך מסירים את השורה הזו והגעתי למאמר.
    כפי שכתבו קודמי. מפחיד.
    האם משהו פנה למסטרגייט לקבל תגובה שלהם?
    זה גובל בפלילים – על דבר דומה האשימו בבית משפט את מיכאל ורות האפרתי ששתלו סוס טרויני אצל מספר אנשים ללא ידיעתם.
    שלמה

  42. תמונת פרופיל של יוני
    יוני

    היי לכולם,
    תודה רבה על המידע באמת הרבה מאוד דברים נכונים. אני רציתי לשאול אם האתר שלי נפגע בדיוק לאחר שהכנסתי את הבלוגים שלי לאתר . יש מצב שזה בגלל זה ? או שזה לא קשור ורק בעיה של אבטחה ?
    שבוע לאחר עליית הבלוגים באתר שהיה בדף הראשון פשוט נזרק לדף 3 .. זה הגיוני שזה בגלל זה ? או לא קשור ?
    אשמח לתגובות ! אני כבר לא יודע מה לעשות ואנשים לא יודעים לענות לי אם זה קשור או לא.

  43. האמת אני לא ממש מוצא עניין בתבניות הללו שמח להיות מאלה שלא מפחדים לייצר תבניות מ 0 לפי מידה…
    קורא לכל מעצב שיודע לעצב מעולה אבל חשב שלהכין תבנית מקורית זה עסק יקר ולא משתלם לבקר אצלי באתר
    ולהצטרף למספר גדול של מעצבים שכבר עובדים איתי על בסיס קבוע
    http://www.dotweb.co.il
    בהצלחה

  44. היום , שנה אחרי שנרשם הפוסט הזה, האם עדיין יש תבניות מסוכנות חדשות שצריך להזהר מהן? אולי אותן תבניות שרשומות פה עדיין מסוכנות ? אולי שינו אותן שיהיו ללא הקוד המסוכן? מעניין לדעת…

    1. לא בדקתי היום, אבל כשבדקתי לפני מספר חודשים, לא רק שהקוד הושאר, אלא שהוא גם עודכן כך שיהיה יותר קשה ומסובך להסירו.

  45. חח יש פיתרון נורא פשוט למאסטרגייט!!!
    פשוט שמים את הדיו של הלינקים למטה בdisplay: none והוא עוזב אותך!!! כמה פשוט ככה עובד 🙂

    1. ראובן, הבעיה היא שגוגל סורק את הקישורים באתר שלך גם אם הם מוסתרים ב CSS. ומאסטרגייט עדיין מקבל גישה לשרת שלך, גם אם התוצר הסופי מוסתר ב CSS

      1. לגבי גוגל – זה די מטריד.. מה שאתה אומר כאן זה שבעצם אם אני כותב מאמר ומסתיר אותו בCSS הוא עדיין יופיע בגוגל? או שהתכוונת ל"רשימה השחורה" שלו?

        מאסטרגייט – ובכן, מעולם לא הטריד אותי העובדה שיכול להיות שהם לוקחי ממני מידע. אפילו אם הם כן, מעולם לא ראיתי שום סימן לכך. וחוץ מזה אם הם היו משתמשים במידע לרעה(גניבת סיסמאות וכו') אנשים היו שמים לב לכך.. לא יודע מה לאמר. אותי כרגע העניין הזה לא מטריד יותר מדי, מאחר שנפטרתי מהלינקים המציקים ומהודעת ה"אתר זה מפר זכויות יוצרים", מה שדרך אגב(כמו שכתבת) לא נכון.

        1. זה דבר ידוע, זה שהמשתמש לא רואה, לא אומר שגוגל לא רואה.
          לגבי האם כן או האם לא ניגשו בפועל ועשו משהו – זה בכלל לא משנה, זה העיקרון, מישהו הכניס לך למערכת דלת אחורית שמאפשרת לו כניסה חופשית.

  46. תמונת פרופיל של יהונתן
    יהונתן

    איזה קוד צריך למחוק ומאיפה?

  47. תמונת פרופיל של EYAL
    EYAL

    יש פתרון שעבד עבורי
    השתמשו בקובץ footer מהתבנית המקורית באנגלית, ופשוט להעלות אותה לשרת במקום הקובץ החצוף שלהם

  48. תמונת פרופיל של אריאל ורמשטיין
    אריאל ורמשטיין

    אכן בכל תבנית ניתן לשתול כל קוד שרוצים.
    ככל הידוע לי התבניות שזמינות להורדה באתר של וורדפרס נקיות מבעיות כאלה.
    גם את ניתן לבדוק זאת באמצעות תוסף וורדפרס שנקרא TAC.

  49. Wordfence + חיבור למייל והכל בסדר. לא לפחד מהפחד.

  50. תמונת פרופיל של עידית
    עידית

    שרשור מעולה.
    תודה על כל העזרה.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *