Несколько отчетов пользователей всплыли с предупреждением о том, что последняя версия WordPress запускает оповещения о троянах, и по крайней мере один человек сообщил, что веб-хостинг заблокировал веб-сайт из-за файла. То, что произошло на самом деле, стало опытом обучения.

Антивирус помечает троян в официальной загрузке WordPress 6.6.1

Первый отчет был подан на официальных форумах поддержки WordPress.org, где пользователь сообщил, что встроенный антивирус в Windows 11 (Защитник Windows) пометил zip-файл WordPress, загруженный с WordPress, как содержащий троян.

Вот текст оригинального поста:

«Защитник Windows показывает, что последняя версия wordpress-6.6.1zip содержит вирус Trojan:Win32/Phish!MSR, когда я пытаюсь загрузить ее с официального сайта wp

он показывает то же самое уведомление о вирусе при обновлении из панели управления WordPress моего сайта

Это ложноположительный результат?»

Они также опубликовали скриншоты предупреждения о трояне, в котором указан статус «Карантин не пройден», а также указано, что zip-файл WordPress версии 6.6.1 «опасен и выполняет команды злоумышленника».

Скриншот предупреждения Защитника Windows

Кто-то еще подтвердил, что у него возникла та же проблема, отметив, что причиной появления предупреждения была строка кода в одном из файлов CSS (код стиля, который управляет внешним видом веб-сайта, включая цвета).

Они опубликовали:

«У меня та же проблема. Похоже, она возникает с файлом \wp-includes\css\dist\block-library\style.min.css. Похоже, что определенная строка в файле CSS определяется как троянский вирус. Я бы хотел разрешить это, но думаю, что мне следует дождаться официального ответа, прежде чем сделать это. Есть ли кто-нибудь, кто может дать официальный ответ?»

Неожиданное «решение»

Ложноположительный результат — это, как правило, результат, который тестируется как положительный, хотя на самом деле он не является положительным для того, на что тестируется. Пользователи WordPress вскоре начали подозревать, что предупреждение о троянском вирусе Windows Defender было ложноположительным.

Официальный WordPress GitHub тикет был подан, где причиной был определен небезопасный URL (http вместо https), на который ссылаются из таблицы стилей CSS. URL обычно не считается частью файла CSS, поэтому, возможно, именно поэтому Защитник Windows пометил этот конкретный файл CSS как содержащий троян.

Вот часть, где все пошло в неожиданном направлении. Кто-то открыл еще один тикет WordPress GitHub для документирования предлагаемого исправления небезопасного URL-адреса, что должно было бы положить конец истории, но в итоге привело к открытию того, что на самом деле происходило.

Небезопасный URL-адрес, который требовалось исправить, был следующим:

Таким образом, человек, открывший тикет, обновил файл версией, содержащей ссылку на HTTPS-версию, что должно было бы положить конец истории, если бы не один нюанс, который был упущен из виду.

(«Небезопасный») URL-адрес не является ссылкой на источник файлов (и, следовательно, не является небезопасным), а скорее идентификатором, определяющим область применения языка масштабируемой векторной графики (SVG) в XML.

Таким образом, проблема в конечном итоге оказалась не в ошибках кода в WordPress 6.6.1, а в неполадке с Защитником Windows, который не смог правильно определить «пространство имен XML» вместо того, чтобы ошибочно пометить его как URL-адрес, ссылающийся на загружаемые файлы.

Еда на вынос

Ложное срабатывание Защитника Windows на обнаружение троянского файла и последующее обсуждение стали для многих людей (включая меня!) уроком, познакомившим их с относительно сложными знаниями в области кодирования, касающимися пространства имен XML для файлов SVG.

Прочитайте оригинальный отчет:

Проблема с вирусом: wordpress-6.6.1.zip показывает вирус от защитника Windows