Przestań pobierać motywy WordPress z podejrzanych stron

Idziesz do Google i wpisujesz hasło „Motywy WordPress”. Pomijasz oficjalny katalog motywów WordPress ponieważ spośród ponad 1000 hostowanych tam motywów nie można znaleźć takiego, który Ci się spodoba.


Więc przechodzisz do innej witryny, która ma świetną kolekcję darmowych motywów, pobierasz taką, którą lubisz i instalujesz na swojej stronie. Posiada 50 losowych, nieistotnych linków spamowych w stopce i nie możesz ich edytować, ponieważ w footer.php znajduje się dziwny zaszyfrowany kod, ale kogo to obchodzi? Wygląda dobrze, więc to wszystko się liczy. I są szanse, że Twoi odwiedzający i tak nigdy nie przewiną się w dół.

Używanie motywu z zaszyfrowanym kodem byłoby dużym błędem, a niestety większość użytkowników, którzy go używają, nawet nie wie ani nie dba o to, by używane przez nich motywy otwierały cały blog, a nawet serwer, przed złośliwymi atakami.

Związane z: Kompletny przewodnik bezpieczeństwa WordPress (przyjazny dla początkujących)

Bart myśli przed użyciem motywów

Jeśli nie chcesz skończyć jak Bart, sugeruję przeczytać dalej, aby dowiedzieć się:

  • Jakiego rodzaju witryn należy unikać podczas pobierania motywów
  • Jak rozpoznać zaszyfrowany kod w motywie bez ręcznego sprawdzania
  • Jak odszyfrować kod (jeśli naprawdę chcesz użyć motywu)
  • Lista zaufanych witryn, z których można bezpiecznie pobierać motywy

Trzymaj się z dala od takich witryn

Są to dwa główne typy witryn, których należy unikać, szukając jakiegokolwiek motywu WordPress do użycia na swoim blogu.

  • Witryny torrent / warez
  • Losowe witryny znalezione w Google

Ok, strony z torrentami / warezami są czymś oczywistym. Powinieneś wiedzieć lepiej jeśli pobierasz motywy z takiej witryny. Nie jest tajemnicą, że pliki do pobrania z tego typu witryn można łączyć ze złośliwym oprogramowaniem lub innymi wirusami, a motywy WordPress nie są wyjątkiem.

Prawdopodobnie użycie motywu z witryny znalezionej w Google błąd, który popełnia wiele osób nieświadomie, i może być kosztowny, jeśli nie wiesz, co robisz. Obejrzyj ten film, aby pokazać, w jaki sposób najlepsze wyniki Google dotyczące „motywów WordPress” są zdominowane przez podejrzane witryny korzystające z szyfrowanego kodu.

Jak widać na filmie, 4 z 4 witryn, które sprawdziłem w rzeczywistości miał zaszyfrowany kod gdzieś w motywie, zwykle w pliku footer.php, ale można go ukryć w dowolnym miejscu (i wyrządzić równie duże szkody).

Jak rozpoznać zaszyfrowany kod

Pamiętaj, że zaszyfrowany kod można ukryć w dowolnym miejscu motywu i tak naprawdę nie ma znaczenia gdzie. W celu skutecznego sprawdzenia motywu pod kątem zaszyfrowanego kodu, bez ręcznego sprawdzania każdego pliku, zdecydowanie polecam użycie Sprawdzanie autentyczności motywu. Ja mam napisałem o tym wcześniej, ale to naprawdę nieocenione narzędzie, jeśli masz wiele motywów i nie miałeś czasu na sprawdzenie każdego z nich pod kątem zaszyfrowanego kodu.

Small Studio TAC

Zasadniczo polega na automatycznym skanowaniu motywów w poszukiwaniu (potencjalnie) złośliwego i niechcianego kodu, w tym prawie wszystkich technik zaciemniania kodu, które widziałeś w filmie, a także wszystkich informacji o łączu wychodzącym. Pozwala to zaoszczędzić dużo czasu i z moich testów jest dość skuteczny w wykrywaniu tego rodzaju śmieci. Aby uzyskać więcej informacji, możesz także sprawdzić Post Jeffa Chandlera na dokładnie tej samej wtyczce (która również była wystarczająco miła, aby wspomnieć Theme Lab jako dobre źródło darmowych motywów WordPress).

Wymagałoby to jednak skonfigurowania instalacji WordPress i, jak powiedziałem w filmie, naprawdę powinieneś sprawdzić motywy przed przesłaniem. Jeśli wiesz jak, najlepiej byłoby ustawić go na lokalna strona testowa, a nie miejsce produkcji na żywo.

Jak odszyfrować kod

Jak wspomniałem w filmie, jeśli znalazłeś motyw z zaszyfrowanym kodem, to jest zwykle najlepiej jest tego całkowicie unikać. Może uda Ci się trochę kopać i znaleźć ten sam motyw na stronie autora, (mam nadzieję, że nie miałby też zaszyfrowanego kodu).

Czasami jednak naprawdę chcesz użyć motywu i nie możesz znaleźć innej opcji, aby uzyskać go ze źródła. W razie potrzeby można odszyfrować kod. Spójrz na ten post na forum pomocy technicznej WordPress.org o nazwie Zaszyfrowany motyw? Oto jak go odkodować.. W poście, Otto42 omawia sposoby odszyfrowania kilku rodzajów zaszyfrowanego kodu.

Wydaje mi się, że zauważyłem, że niektóre witryny używają wielu metod do szyfrowania swojego kodu, co może być nieco trudniejsze. Sugerowałbym odszyfrowanie każdej części pojedynczo, a następnie złożenie wszystkich elementów razem, jeśli tak jest.

Lista zaufanych witryn tematycznych

Na poniższej liście witryn możesz mieć pewność, że nie otrzymasz zaszyfrowanego kodu z pobranymi motywami.

  • WordPress.org – Tematy z WordPress.org muszą przejść szereg automatycznych kontroli, w tym kontroli zaszyfrowanego kodu, zanim zostaną przesłane. Zanim zaczną działać, są również moderowane przez prawdziwy człowiek tylko dwukrotnie sprawdź, czy Twój motyw jest w pełni funkcjonalny i nie zawiera brudnego kodu.
  • ThemeShaper – Chociaż mieli trochę hack przestraszyć ostatnio nadal uważałbym tę witrynę za bardzo zaufaną, jeśli chodzi o tematykę WP. W razie wątpliwości zawsze możesz zdobyć motywy Iana Stewarta na WordPress.org.
  • Motyw hybrydowy – Witryna Justina Tadlocka, dom z ramami motywów hybrydowych i kilkoma świetnymi motywami potomnymi opracowanymi dodatkowo.
  • StudioPress – Strona Briana Gardnera i strona kilku dobrze zaprojektowanych płatnych motywów WordPress. Ponieważ większość motywów dostępnych w StudioPress jest płatna, bądź ostrożny, jeśli znajdziesz jeden z motywów dostępnych do pobrania za darmo na innej stronie.
  • Premium Mod – Witryna, która oferuje bezpłatne zmodyfikowane wersje motywów premium. Chociaż powiedziałem, że powinieneś uważać na pobieranie darmowych motywów, które są normalnie płatne, są jednak (bardzo rzadkie) wyjątki od reguły. Osobiście sprawdziłem wszystkie wersje motywu Premium Mod i nie mogę znaleźć zaszyfrowanego kodu. AKTUALIZACJA: Witryna nie jest już aktywna.

Oczywiście jest o wiele więcej „zaufanych” witryn, ale nie mogę ich wszystkich wymienić. Przeprowadź badania i upewnij się, że otrzymujesz motywy z renomowanych witryn i firm, jeśli nie ze WordPress.org. Sprawdź także sklepy z motywami WordPress, aby kupić motywy premium.

Wniosek

Już od jakiegoś czasu chciałem napisać taki post, ale kiedy trafił, był naprawdę blisko domu ktoś wysłał mi e-maila na temat tematu z Theme Lab w stopce napotkali zaszyfrowany kod.

Wiem, że to nie są nowe wiadomości, ale mam nadzieję, że zwiększy to świadomość problemu, który wciąż stanowi duży problem. Większość ludzi ostatnio mówi o problem z zaszyfrowanym kodem w motywach premium ale twierdzę, że problem jest znacznie bardziej rozpowszechnione jeśli chodzi o darmowe motywy.

Pomyśl o tym przez chwilę, jeśli ktoś pobierze płatny motyw z witryny z torrentami, idzie całkowicie na ich drodze aby to zrobić i mieć doświadczenie w korzystaniu z klientów torrent, witryn do udostępniania plików itp., aby zaoszczędzić kilka dolarów. Prawdopodobnie już wiedzą o ryzyku związanym z tego rodzaju sprawami.

Ludzie szukający darmowych motywów w Google prawdopodobnie mają bardziej „niewinny” sposób myślenia i prawdopodobnie nawet nie zdają sobie sprawy z błędu, jaki popełniają, używając motywów z tych przypadkowych witryn. Lubić ktoś wymieniony na Twitterze dla mnie: Większość użytkowników nigdy nie czyta, tylko przycisk Pobierz. To smutny fakt, z którym niestety musiałbym się zgodzić. Jedyne, co możemy zrobić, to zwiększyć świadomość i edukować użytkowników na temat niebezpieczeństw związanych z używaniem motywów z nieuczciwych stron.

Bardzo chciałbym usłyszeć wasze przemyślenia w komentarzach. Będę musiał poprosić wszystkich w komentarzach do nie wspominając o „GPL”, ponieważ nie ma to nic wspólnego z licencjonowaniem motywów lub jeśli motyw ma metkę, czy nie. Ma to związek z podejrzanymi witrynami korzystającymi z niczego niepodejrzewających użytkowników WordPress.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map