Остановите загрузку тем WordPress с тенистых сайтов

Итак, вы идете в Google и вводите в поиске «Темы WordPress». Вы пропустите мимо официальный каталог тем WordPress потому что из 1000+ тем, размещенных там, вы не смогли найти ту, которая вам понравилась.


Таким образом, вы переходите на другой сайт с огромной коллекцией бесплатных тем, загружаете понравившуюся вам тему и устанавливаете ее на своем сайте. В нижнем колонтитуле содержится 50 случайных неуместных спам-ссылок, и Вы не можете их редактировать, потому что в footer.php есть странный зашифрованный код, но кого это волнует? Это выглядит хорошо, так что это все, что имеет значение. И, скорее всего, ваши посетители никогда не прокрутятся так далеко.

Использование темы с зашифрованным кодом было бы большой ошибкой, и, к сожалению, большинство пользователей, использующих их, даже не знают или не заботятся о том, что используемые ими темы могут открыть весь их блог или даже сервер для злонамеренных атак..

Связанные с: Полное руководство по безопасности WordPress (для начинающих)

Барт думает, прежде чем использовать темы

Если вы не хотите закончить как Барт, я предлагаю вам прочитать, чтобы узнать:

  • Какие типы сайтов следует избегать при загрузке тем
  • Как найти зашифрованный код в теме без проверки вручную
  • Как расшифровать код (если вы действительно хотите использовать тему)
  • Список надежных сайтов для уверенного скачивания тем

Держитесь подальше от таких сайтов, как эти

Это два основных типа сайтов, которые вы должны избегать при поиске любой темы WordPress для использования в своем блоге..

  • Торрент / варез сайты
  • Случайные сайты, которые вы найдете в Google

Хорошо, торрент / варез сайты являются своего рода данностью. Вы должны знать лучше если вы загружаете темы с такого сайта. Не секретные загрузки с сайтов такого типа могут быть связаны с вредоносными программами или другими вирусами, и темы WordPress не являются исключением.

Использование темы с сайта, который они находят в Google, с другой стороны, вероятно, ошибка, которую многие люди неосознанно совершают, и это может быть дорогостоящим, если вы не знаете, что делаете. Посмотрите это видео, чтобы продемонстрировать, как в топ-результатах Google по «темам WordPress» доминируют теневые сайты, использующие зашифрованный код.

Как вы можете видеть на видео, 4 из 4 сайтов, которые я проверял действительно зашифрованный код где-то в теме, обычно в файле footer.php, но его можно спрятать где угодно (и нанести такой же урон).

Как определить зашифрованный код

Помните, зашифрованный код может быть скрыт где-нибудь в вашей теме и это действительно не имеет значения, где. Чтобы эффективно проверять тему на наличие зашифрованного кода, не проверяя каждый файл вручную, я настоятельно рекомендую использовать Проверка подлинности темы. Я написано об этом раньше, но это действительно бесценный инструмент, если у вас много тем и у вас не было времени проверить каждую из них на наличие зашифрованного кода.

Малая студия TAC

По сути, он автоматически сканирует ваши темы на наличие (потенциально) вредоносного и нежелательного кода, в том числе практически всех тех методов обфускации кода, которые вы видели в видео, плюс всю информацию об исходящих ссылках.. Это может сэкономить вам много времени и из моих тестов, это довольно эффективно для обнаружения такого рода мусора. Для получения дополнительной информации вы также можете проверить Пост Джеффа Чендлера на точно такой же плагин (который был достаточно хорош, чтобы упомянуть Тематическая лаборатория как хороший источник бесплатных тем WordPress).

Это будет включать в себя фактическую установку WordPress, и, как я уже говорил в видео, вы должны действительно проверить темы перед загрузкой. Если вы знаете, как, вероятно, было бы лучше настроить его на местный полигон, а не живая производственная площадка.

Как расшифровать код

Как я уже упоминал в видео, если вы нашли тему с зашифрованным кодом, это обычно лучше всего избегать этого. Может быть, вы можете покопаться и найти ту же тему на сайте автора оригинала (который, я надеюсь, тоже не будет иметь зашифрованный код).

Однако иногда вы действительно хотите использовать тему и не можете найти другой вариант, чтобы получить ее из источника. Можно расшифровать код, если вам действительно нужно. Взгляните на это сообщение на форуме поддержки WordPress.org под названием Зашифрованная тема? Вот как это расшифровать.. В посте, Otto42 перебирает способы расшифровки нескольких типов зашифрованного кода.

  • Для кода, который выглядит как $ o = что угодно: вы можете использовать этот инструмент для его расшифровки: http://ottodestruct.com/decoder.php
  • Для кода, который выглядит как $ _F = __ FILE__: вы можете использовать следующий инструмент для его расшифровки: http://www.tareeinternet.com/scripts/byterun.php
  • Для кода, который выглядит как eval (gzinflate (base64_decode (‘…’))) ;: вы можете использовать следующий инструмент для его расшифровки: http://www.tareeinternet.com/scripts/decrypt.php

Теперь, я думаю, я заметил, что некоторые сайты используют несколько методов для шифрования своего кода, что может быть немного сложнее. Я бы предложил расшифровать каждую часть по одной, а затем собрать все части вместе, если это так.

Список доверенных тематических сайтов

В следующем списке сайтов вы можете быть уверены, что не получите зашифрованный код при загрузке их тем..

  • WordPress.org – Темы из WordPress.org должны пройти ряд автоматических проверок, включая проверки зашифрованного кода, перед загрузкой. Прежде чем они начнут жить, они также модерируются настоящий человек просто дважды проверьте, что ваша тема полностью функциональна и не содержит грязного кода.
  • ThemeShaper – Хотя у них было немного взломать напугать В последнее время я все еще считаю этот сайт очень надежным, когда речь идет о темах WP. Если все еще сомневаетесь, вы всегда можете получить темы Яна Стюарта на WordPress.org.
  • Тема Гибрид – Сайт от Джастина Тэдлока, дом фреймворка гибридных тем и множество замечательных детских тем, разработанных поверх этого..
  • StudioPress – Сайт от Брайана Гарднера и дом нескольких хорошо спроектированных платных тем WordPress. Поскольку большинство тем, доступных в StudioPress, платные, будьте осторожны, если вы найдете одну из их тем, доступных для бесплатного скачивания на каком-либо другом сайте..
  • Премиум мод – сайт, который предлагает бесплатные модифицированные версии премиум тем. Хотя я и сказал, что вам следует с осторожностью относиться к загрузке бесплатных тем, которые обычно оплачиваются, есть (очень редкие) исключения из этого правила. Я лично проверил все выпуски тем Премиум Мод, и я не могу найти зашифрованный код. ОБНОВИТЬ: Сайт больше не активен.

Очевидно, что существует гораздо больше «доверенных» сайтов, но я не могу перечислить их все. Пожалуйста, сделайте свое исследование и убедитесь, что вы получаете темы от авторитетных сайтов и компаний, если не от WordPress.org. Также проверьте эти магазины WordPress темы, чтобы купить премиальные темы.

Вывод

Я уже давно хотел написать пост, подобный этому, но он действительно ударил близко к дому, когда кто-то написал мне о теме из Theme Lab который они встретили зашифрованный код в нижнем колонтитуле.

Я знаю, что это не совсем новые новости, но я надеюсь, что это принесет больше осведомленности о проблеме, которая все еще остается большой проблемой сегодня. Большинство людей в последнее время говорят о проблема с зашифрованным кодом в премиум темах но я бы сказал, что проблема в том, гораздо более распространенный когда дело доходит до бесплатных тем.

Подумайте об этом на секунду, если кто-то скачивает платную тему с торрент-сайта, он собирается полностью из их пути сделать это и иметь некоторый опыт использования торрент-клиентов, сайтов обмена файлами и т. д., чтобы сэкономить несколько долларов. Они, вероятно, уже знают о рисках, связанных с такими вещами.

Люди, которые ищут бесплатные темы в Google, вероятно, имеют более «невинный» образ мышления и, возможно, даже не осознают ошибку, которую они совершают, когда используют темы с этих случайных сайтов. подобно кто-то упомянул в Твиттере для меня: большинство пользователей никогда не читают, только увидеть кнопку загрузки. Это печальный факт, с которым я, к сожалению, должен согласиться. Единственное, что мы можем сделать, – это распространять больше информации и информировать пользователей об опасностях использования тем из мошеннических сайтов..

Я хотел бы услышать ваши мысли в комментариях. Собираюсь попросить всех в комментариях не упоминать «GPL» вообще, потому что это не имеет никакого отношения к лицензированию темы или если у темы есть ценник или нет. Это связано с мошенническими сайтами, использующими в своих интересах ничего не подозревающих пользователей WordPress..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me