Зупиніть завантаження тем WordPress з Shady Sites

Отже, ви переходите до Google і набираєте пошук за темами WordPress. Ви пропускаєте повз офіційний каталог тем WordPress тому що з 1000+ тем, що розміщуються там, ви не змогли знайти вподобану.


Таким чином, ви переходите на інший сайт, який має велику колекцію безкоштовних тем, ви завантажуєте вподобану та встановлюєте її на своєму сайті. Він має 50 випадкових нерелевантних спам-посилань у нижньому колонтитулі та ви не можете їх редагувати, оскільки в footer.php є дивний зашифрований код, але кого це хвилює? Це добре виглядає, так що все, що має значення. І, швидше за все, ваші відвідувачі так і не прокрутяться вниз.

Використання теми із зашифрованим кодом було б великою помилкою, і, на жаль, більшість користувачів, які їх використовують, навіть не знають і не піклуються про те, щоб використовувані теми могли відкрити весь їхній блог або навіть сервер до зловмисних атак.

Пов’язані: Повний посібник із безпеки WordPress (для початківців)

Барт думає перед тим, як використовувати теми

Якщо ви не хочете, як Барт, я пропоную вам прочитати, щоб дізнатися:

  • Які типи сайтів слід уникати під час завантаження тем
  • Як визначити зашифрований код у темі без перевірки вручну
  • Як розшифрувати код (якщо ви дійсно хочете використовувати тему)
  • Список надійних сайтів для завантаження тем із впевненості

Тримайтеся далеко від таких сайтів

Це два основні типи сайтів, яких вам слід уникати, шукаючи будь-яку тему WordPress для використання у своєму блозі.

  • Торрент-сайти
  • Випадкові сайти, які ви знайдете в Google

Гаразд, сайти торрент / варез – це певна даність. Ви повинні краще знати якщо ви завантажуєте теми з такого веб-сайту. Немає секретних завантажень із таких типів сайтів, які можуть вбудовуватися зловмисними програмами або іншими вірусами, і теми WordPress не є винятком.

З іншого боку, можливо, використання теми з сайту, який вони знаходять в Google помилка, яку багато людей несвідомо роблять, і це може бути дорого, якщо ви не знаєте, що робите. Погляньте на це відео просто, щоб продемонструвати, як у найкращих результатах Google щодо «тем WordPress» переважають тінисті сайти, які використовують зашифрований код.

Як ви бачите на відео, 4 з 4-х сайтів, які я перевірив насправді мали зашифрований код десь у темі, як правило, у файлі footer.php, але його можна приховати де завгодно (і нанести стільки ж шкоди).

Як визначити зашифрований код

Пам’ятайте, зашифрований код можна приховати де завгодно у вашій темі і насправді не має значення де. Щоб ефективно перевірити тему на зашифрований код, не перевіряючи кожен файл вручну, настійно рекомендую використовувати Тематична перевірка справжності. Я про це писали раніше, але це справді неоціненний інструмент, якщо у вас багато тем і ви не встигли перевірити кожну на зашифрований код.

Мала студія TAC

В основному, це те, що він автоматично сканує ваші теми на предмет (потенційно) зловмисного та небажаного коду, включаючи майже всі ті методи обфускування коду, які ви побачили у відео, а також всю інформацію про вихідне посилання. Це може заощадити багато часу і з моїх тестів, він досить ефективний у виявленні такого роду сміття. Для отримання додаткової інформації ви також можете перевірити Повідомлення Джеффа Чендлера на той самий плагін (який теж досить приємно згадати Тематична лабораторія як хороше джерело для безкоштовних тем WordPress).

Це передбачає фактичне налаштування установки WordPress, і, як я вже говорив у відео, ви справді повинні перевірити теми перед завантаженням. Якщо ви знаєте, як, мабуть, найкраще буде встановити його на місцевий тестовий майданчик, а не живий виробничий майданчик.

Як розшифрувати код

Як я вже згадував у відео, якщо ви знайшли тему із зашифрованим кодом, це зазвичай краще уникати цього взагалі. Можливо, ви можете зайнятися копанням і знайти ту саму тему на веб-сайті оригіналу автора (який, сподіваюся, не мав би зашифрований код).

Однак іноді вам дуже хочеться використовувати тему, і не можете знайти жодного іншого варіанту, щоб отримати її з джерела. Розшифрувати код можна, якщо вам справді потрібно. Погляньте на цю сторінку форуму підтримки WordPress.org, яку називають Зашифрована тема? Ось як розшифрувати його.. У дописі, Отто42 переходить способи розшифровки декількох типів зашифрованого коду.

  • Для коду, який виглядає як $ o = що завгодно: ви можете використовувати цей інструмент для його розшифрування: http://ottodestruct.com/decoder.php
  • Для коду, який виглядає як $ _F = __ FILE__: ви можете розшифрувати його за допомогою наступного інструменту: http://www.tareeinternet.com/scripts/byterun.php
  • Для коду, який виглядає як eval (gzinflate (base64_decode (‘…’))) ;: ви можете скористатися наступним інструментом для його розшифровки: http://www.tareeinternet.com/scripts/decrypt.php

Тепер я думаю, що я помітив деякі сайти, що використовують кілька методів для шифрування коду, що може бути трохи складніше. Я б запропонував розшифрувати кожну частину по одному, а потім скласти всі шматки, якщо це так.

Список надійних тематичних сайтів

У наведеному нижче списку сайтів ви можете бути впевнені, що ви не отримаєте жодного зашифрованого коду із завантаженням теми.

  • WordPress.org – Теми з WordPress.org перед завантаженням повинні пройти ряд автоматизованих перевірок, включаючи перевірки на зашифрований код. Перш ніж перейти наживо, їх також модерує а справжній людський лише щоб подвійно перевірити, чи ваша тема повністю функціональна і не містить брудного коду.
  • ThemeShaper – Хоча їх було небагато зламати лякають останнім часом я все ще вважав би цей сайт із надійною довірою, коли мова йде про теми WP. Якщо ви все ще сумніваєтесь, ви завжди можете отримати теми Яна Стюарта на WordPress.org.
  • Тема Гібрид – Сайт від Джастіна Тадлока та домівка гібридної тематичної рамки та низки чудових дитячих тем, розроблених на додаток до цього.
  • StudioPress – Сайт Брайана Гарднера та будинок з кількома добре розробленими платними темами WordPress. Оскільки більшість тем, доступних від StudioPress, оплачуються, будьте обережні, якщо ви натрапите на одну з їх тем, доступну для вільного скачування на якомусь іншому сайті.
  • Premium Mod – Сайт, який пропонує безкоштовні модифіковані версії преміальних тем. Хоча я сказав, що ви повинні насторожено ставитись до завантаження безкоштовних тем, які зазвичай платять, з цього правила є (дуже рідкісні) винятки. Я особисто перевірив усі тематичні випуски Premium Mod, і немає зашифрованого коду, який я можу знайти. ОНОВЛЕННЯ: Сайт більше не активний.

Очевидно, є ще багато «надійних» сайтів, але я не можу перерахувати їх усіх. Будь ласка, зробіть своє дослідження та переконайтеся, що ви отримуєте теми від авторитетних сайтів та компаній, якщо не з WordPress.org. Також перегляньте ці тематичні магазини WordPress, щоб придбати преміальні теми.

Висновок

Я мав намір написати деякий час подібний пост, але це справді потрапило близько до дому, коли хтось надіслав мені повідомлення про тему з Тематичної лабораторії що вони зіткнулися із зашифрованим кодом у нижньому колонтитулі.

Я знаю, що це не зовсім нові новини, але сподіваюся, що це принесе більше поінформованості щодо проблеми, яка досі є великою проблемою. Більшість людей останнім часом говорять про це проблема зашифрованого коду з преміальними темами але я б стверджував, що проблема є значно ширше коли мова йде про безкоштовні теми.

Подумайте про це на секунду, якщо хтось завантажить платну тему з торрент-сайту, вони збираються повністю зі свого шляху зробити це та мати певний досвід використання торент-клієнтів, сайтів для обміну файлами тощо тощо, щоб заощадити кілька доларів. Вони, напевно, вже знають про ризики, що стосуються такого роду.

Люди, які шукають безкоштовні теми в Google, швидше за все, мають більш «невинний» настрій і, мабуть, навіть не усвідомлюють помилки, яку вони роблять, коли вони використовують теми з цих випадкових сайтів. Подібно до хтось згадав у Twitter для мене: Більшість користувачів ніколи не читають, бачать лише кнопку завантаження. Це сумний факт, з яким я, на жаль, мушу погодитися. Єдине, що ми можемо зробити, – це поширити більше обізнаності та навчити користувачів щодо небезпеки використання тем із шахрайських сайтів.

Я хотів би почути ваші думки в коментарях. Потрібно попросити всіх у коментарях до не згадуйте “GPL” взагалі, тому що це не має нічого спільного з ліцензуванням теми або якщо тема має ціну чи ні. Це пов’язано з негідними сайтами, що користуються підозрілими користувачами WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map