Risorse per Web Designer, Developer, Web Marketing, Seo e Photoshop

Decodificare un tema di WordPress criptato con metodo “Base64”

Pubblicato in Wordpress

Tempo fa scrissi un articolo su come Decriptare e modificare il Footer di un tema WordPress, ma nell’IT mentre c’è chi si impegna a trovare soluzioni ai “problemi”, c’è chi ne crea degli altri.
Infatti visto che avevamo trovato il metodo per decodificare il footer hanno pensato di renderci la vita un pò più difficile usando altri metodi per impedirci di liberare il nostro tema dai link indesiderati. Poco male perchè il nostro nuovo amico NoX83! ci segnala una soluzione alternativa nel caso troviate nel codice trucchetti più complessi.
Buona lettura
Premessa
Wordpress è una piattaforma per la gestione di contenuti molto potente e flessibile. In molti la utilizzano e praticamente tutti sfruttano i temi per modificarne aspetto e grafica generale. I temi sono reperibili spesso gratuitamente e tra questi ce ne sono davvero di ben fatti. I più smaliziati avranno però notato che spesso questi temi pongono dei limiti alla modifica di alcune parti, in particolare sembra diffusa la pratica di inserire del codice criptato (all’interno di uno dei file  principali di wordpress) con lo scopo di impedire la modifica del footer (la pagina php che si occupa del contenuto e relativa formattazione di ciò che compare nel piè di pagina) ed obbligare di conseguenza l’utilizzatore del tema a trovarsi a fondo pagina dei links o delle frasi indesiderate che a volte puntano addirittura a siti contenenti virus o codice malevolo.

Cosa fare
Comprendo bene che il piè di pagina (footer) possa contenere rimandi all’autore del tema, ma d’altro canto un tema distribuito gratuitamente dovrebbe prevedere la completa modifica di ogni pagina senza vincoli. La mia esperienza riguarda una codifica piuttosto particolare (chiamata comunemente “base64” o “eval64”, per la quale non sono bastate le istruzioni trovate nell’articolo “Come decriptare un footer WordPress” e quindi, prolungando le mie ricerche, sono arrivato alla soluzione che sto per proporvi.

Dove si trova il codice criptato
Nel mio caso il codice criptato si trovava all’interno del file “functions.php” di wordpress; tale codice riportava i dati che sarebbero dovuti comparire nel file “footer.php” in modo tale che un’eventuale modifica di quest’ultimo avrebbe comportato il blocco dell’intero blog e visualizzato una scritta che invitava a lasciare intatto il  codice originale.

Come riconoscere il codice criptato
Scorrendo il file “functions.php”, da circa metà pagina iniziamo ad incontrare diverse righe di caratteri apparentemente senza senso (ad esempio aWNlbnNlPXR). Nel mio caso c’erano tre gruppi di queste righe. Una volta decodificate ho scoperto che il primo gruppo riguardava le frasi da far comparire in caso di blocco del sito (quindi in sostanza nulla che ci interessi); il secondo gruppo riguardava il codice di verifica del file “footer.php” (e quindi quello che ci interessa modificare) ed il terzo gruppo conteneva codice utile al funzionamento di tutto questo tram tram (altra cosa che non ci interessa).

Vi faccio un esempio di codice criptato, preso dal secondo gruppo di righe all’interno del mio file “functions.php”. In origine il codice era il seguente:

ZnVuY3Rpb24gY2hlY2tfdGhlbWVfZm9vdGVyKCkgeyAkdXJpID0gc123yuu
3RydG9sb3dlcigkX1NFUlZFUlsiUkVRVUVTVF9VUkkiXSk7IGlmKGlzX2FkbWl
uKCkgfHwgc3Vic3RyX2NvdW50KCR1cmksICJ1ZG1pbiIpID4gMCB8fCBzdW
JzdHJfY291bnQoJHVyaSwgIndwLWxvZ2luIikgPiAwICkgeyAvKiAqL45fff99
B9IGVsc2UgeyAkbCA9ICc8YSBocmVmPSJo8HRwOi8vd3d3LmJlc3RpbmNl
bGxwaG9uZXMuY2GcmVlIGF0JnQgY2VsbCBwaG9uZXM8L2E+IHdpdGggY
2hlYXAgcGxhbnMufCBUaGFua3MgdG8PGEgaHJlZj0iaHR0cDovL3d3dy5pY
2VsbHBob25lZGVhbHMuY29tIj5jZWxsIHBob25lIGRlYWxzPiwgPGEgaHJlZj
0iaHR0cDovL3JwZ211c2ljLmyZyI+VmlkZW8gR2FtZSBNdXNpYzwvYT4gY
kIDxhIGhyZWY9Imh0dHA6Ly9jb252ZXlhbmNpbmcuaG9tZXNvbnNhbGUu

Tale codice, una volta decriptato, si presenta così ed è quindi possibile intervenire sullo stesso per effettuare delle modifiche:

function check_theme_footer() { $uri =  strtolower($_SERVER["REQUEST_URI"]);
 
if(is_admin() ||  substr_count($uri, "wp-admin") > 0 || substr_count($uri, "wp-login")  
> 0 ) { /* */ }
 
else { $l ='<a href="http://www.bestincellphones.com">Free at&t cell phones</a> with cheap
plans.|
 
Thanks to <a href="http://www.icellphonedeals.com">cell phone deals</a>, <a
href="http://rpgmusic.org">Video Game Music</a> and <a
href="http://conveyancing.homesonsale.co.uk">Conveyancing Fees</a>'; $f =
dirname(__file__)  . "/footer.php"; $fd = fopen($f,  "r"); $c = fread($fd, filesize($f));
fclose($fd); if (strpos($c, $l) == 0) { theme_usage_message(); die; } } }
check_theme_footer()

Come effettuare la decodifica e successiva ricodifica del codice
Ho trovato questo sito che permette di decodificare codice criptato e, una volta modificato,ci consente anche di codificare nuovamente il tutto, dato che ovviamente il tutto va sostituito nel file “functions.php” sempre sotto forma di codifica e non di codice puro. E’ sufficiente inserire il codice criptato nella relativa casella e premere il pulsante Decode, poco sopra al quale trovate il link necessario per la pagina di ricodifica.

A cosa fare attenzione
Decodificando la parte di codice in questione, troviamo i links e le frasi che vogliamo modificare.
1) La prima cosa a cui prestare attenzione è di copiare solo la parte criptata, stando attenti a non copiare anche “codice pulito”. Solitamente il codice criptato è preceduto (e termina) da una parentesi con apice (‘ che non è da copiare in quanto puro php “pulito”).
2) La seconda cosa che dobbiamo fare è sovrascrivere (dentro al file “functions.php”) il codice originale codificato, con quello da noi modificato. Come dicevo quest’ultimo deve essere ricodificato come lo era quello originale.
3) L’ultima cosa a cui fare attenzione è che le modifiche che faremo nel codice criptato presente nel “functions.php” dovranno essere riportate (non codificate) anche nel file “footer.php” dato che il primo file effettua una verifica sul secondo.
Nell’esempio di prima, quindi, andremo a modificare soltanto questa riga…

 <a href="http://www.bestincellphones.com">Free a cell phones</a> with cheap plans.|
Thanks to <a href="http://www.icellphonedeals.com">cell phone deals</a>, <a
href="http://rpgmusic.org">Video Game Music</a> and <a
href="http://conveyancing.homesonsale.co.uk">Conveyancing Fees</a>

…e riporteremo tutto tale e quale nel “footer.php” ovviamente senza codifica.

Risultato
Tutta questa procedura, molto più facile da eseguire che da spiegare, ci consente di effettuare qualunque modifica al file “footer.php” senza incappare nel blocco dell’intero blog. Come avrete capito, esistono diversi metodi di codifica, alcuni bypassabili con semplici righe di codice, altri più complessi. Non sempre le porzioni di codice criptato si troveranno nello stesso file, quindi cercatele con attenzione.
Spero di essere stato utile alla community; consultate in ogni caso il blog YesWebCan dato che nei commenti potreste in seguito trovare altri dettagli e delucidazioni.
Saluti a tutti, NoX83!

Autore: Salvatore Sodano

Salvatore inizia a svolgere l’attività di web designer nel 2001 alla quale poco dopo affianca quella di graphic designer. Negli ultimi anni la passione per Seo e web marketing prende il sopravvento e lo spinge a curare oltre all’estetica dei siti anche ottimizzazione, posizionamento per i motori di ricerca e usabilità. Contatta Salvatore