Как убедиться, что вы не пользуетесь сомнительной темой WordPress

До сих пор помню, как я был восхищён, когда в 2008 году впервые познакомился с WordPress. Что конкретно меня впечатлило, так это возможность изменения дизайна сайта с минимальными усилиями. Так началась охота за идеальной темой. В статье я расскажу, как проверить тему WordPress.





Насколько я помню, тогда не было такого количества платных тем, и, если честно, в то время я даже не рассматривал возможность покупки темы, так как со средствами было туго. В итоге я застрял на бесплатных темах.

И какое-то время всё было хорошо: мои экспериментальные сайты и персональный блог работали стабильно, пока однажды я не обнаружил в футере странные ссылки. Эти ссылки вели не только на сайт автора темы, но и на сомнительные сайты, предлагавшие «кредиты до зарплаты», «аренда квартиры», «продвижение сайтов» и так далее.

«Без проблем! — подумал я. — Чтобы их убрать понадобится лишь пара минут».

Но, к моему удивлению, я нигде не мог найти эти ссылки в исходном коде. Я искал во всех файлах темы, я искал в базе данных, но безрезультатно...

Как же получилось так, что эти ссылки остались необнаруженными? Оказалось, это было моим первым столкновением с зашифрованным кодом в темах WordPress.

Сомнительные приёмы в темах WordPress

Зашифрованный код — это всего лишь часть общей картины. Некоторые разработчики тем для WordPress используют и другие отвратительные приёмы.

  • Статические ссылки на подозрительные сайты

Не все статические ссылки в теме WordPress плохие. Во множестве случаев это всего лишь ссылки на разработчика данной темы. Пока такие ссылки не ведут на сомнительные сайты и их пользователь проинформирован, что они будут отображаться, я не вижу особой проблемы в их присутствии.

Однако в некоторых случаях ссылки могут вести на спамерские сайты - сайты казино, пирамид, нелегальных лекарств, причём без ведома пользователя темы.

Поисковые системы наверняка обнаружат на вашем сайте размещены ссылки на сайты с «тёмной стороны Интернета», и накажут вас, хотя вы, скорее всего, непричастны к этому.

  • Блокировка тем

Некоторые ссылки и код в «серых» темах WordPress завязаны на JavaScript и/или PHP. Удаление таких ссылок или блоков кода приведёт к тому, что весь ваш сайт будет отображаться как белая страница, на которой будет размещено сообщение, что вам необходимо вернуть ссылки и код в исходное состояние, чтобы снова получить доступ к своему сайту.

  • Зашифрованный код

Зашифрованным кодом в сообществе разработчиков и пользователей WordPress называются небольшие блоки кода, намеренно спрятанные от пользователя темы за кашей из символов. Цель таких блоков кода — скрыть от пользователя некоторые части темы и сделать практически невозможным их удаление.

Зашифрованный код может выполнять различные действия, такие как генерация ссылок на другие сайты.

Почему это происходит

Некоторые компании прилагают максимум усилий для того, чтобы поместить вредоносные элементы в своих темах WordPress.

— Зачем им это надо?! — возможно, спросите вы.

Затем, что темы WordPress — это отличный маркетинговый инструмент. Год за годом рынок тем растёт. В 2013 году основатель WordPress заявил, что на данной платформе создано 18.9% всех сайтов в Интернете. В какой-то момент каждый владелец такого сайта начнёт искать красивую тему.

Некоторые люди наживаются на этом, создавая красивые темы и помещая в них скрытые ссылки и зашифрованный код. Вы только представьте себе, какого охвата аудитории они достигнут, если их тема будет установлена хотя бы на нескольких сотнях сайтов!

Как убедиться, что вы используете надёжную тему

Если вы размышляете о выборе новой темы для своего сайта на WordPress, выполните три простых шага, приведенных ниже, чтобы не попасть в переплёт.

Конечно, самый лучший вариант — использовать тему из надёжного источника, созданную известным дизайнером, что существенно снизит вероятность того, что в темах будут использованы какие-то махинации. Но проверить даже такую тему не помешает.

  • Шаг 1: Установите плагины, проверяющие темы

Можно проверить тему вручную просто просматривая её файлы. Но проверка темы с помощью надёжного плагина пройдёт гораздо быстрее и, потенциально, гораздо тщательнее.

Вам понадобится два плагина:

  1. TAC (http://wordpress.org/plugins/tac/) сканирует все установленные на вашем сайте темы на предмет наличия вредоносного кода.
  2. Theme-Check (http://wordpress.org/plugins/theme-check/) проверяет все ваши темы на совместимость с последними стандартами WordPress
  • Шаг 2: Проверьте тему на наличие зашифрованного кода

Перед активацией темы, сначала следует проверить её в безопасной среде, например, на вашем компьютере. Для того, чтобы ознакомиться с результатом проверки темы плагином TAC, зайдите на страницу администратора сайта, Appearance › TAC:

Если TAC считает, что с темой всё в порядке, и вы хотите установить тему из проверенного источника, скорее всего так и есть.

Однако если плагин обнаружил зашифрованный код, вам следует насторожиться.

Лучше никогда не использовать темы с зашифрованным кодом. Главная причина — у вас абсолютно нет контроля над ним. Это может быть что угодно: скрипты, добыча данных, реклама и т.д.

Некоторые функции PHP и JavaScript, обращающиеся к зашифрованному коду, созданы с целью помочь разработчикам выполнять сложные, но неопасные задачи, такие как конвертирование данных между форматами, парсинг и т.д. Однако в плохих руках и в контексте тем WordPress, зашифрованный код используется для сокрытия теневых махинаций.

Если вы хотите заняться проверкой вручную, вооружитесь текстовым редактором наподобие Notepad++ и ищите текст base64_decode.

base64_decode() — это функция PHP, которая вместе с функцией eval() часто используется для выполнения зашифрованного кода.

Например, если найденный вами зашифрованный код выглядит наподобие этого, держитесь от этой темы подальше:

$o="eHQvamF2YXNjcmlwdCI+PC9zY3JpcHQ+";

eval(base64_decode("PHNjcmlwdCBzcmM9Ii8vYS1zaGFkeS1zaXRlLmNvbS9qcy9zcGFtbGlua3MuanMiIHR5cGU9InRl" . $o));

(блок важно)

  • Шаг 3: Проверьте все статические ссылки

Кроме всего прочего, плагин TAC сообщит вам о найденных в теме статичных ссылках. Когда вы кликните на кнопке «Подробнее», то увидите, в каких файлах они встречаются.

Статические ссылки — обычное дело для бесплатных тем WordPress, и они не обязательно плохие. Например, некоторые темы требуют, чтобы обязательно была ссылка на сайт её автора. Вы должны решить, согласны ли вы с тем, что такая ссылка будет постоянно присутствовать у вас на сайте. Если вы с этим не согласны, просто не используйте такую тему.

Обычно статические ссылки располагаются в файле подвала сайта — footer.php.

Например, когда я проводил исследование для этой статьи, я проверил одну тему и нашёл ссылку на сайт Botox Tel Aviv с текстом на иврите:

В тестовых целях вы можете убрать статическую ссылку и посмотреть, что получится. Обычно весь ваш сайт перестаёт работать.

Если вы хотите копнуть глубже, используйте плагин Theme-Check. Перейдите в Appearance › Theme Check и запустите проверку подозрительной темы. Скорее всего, плагин предоставит отчёт по многим параметрам, и вам придётся приложить усилия, чтобы определить, где обнаружена проблема.

В моём случае виновницей была команда на странице 124:

Заключение

Мораль этой статьи — внимательно выбирайте темы для сайта на WordPress. Перед использованием любой темы обязательно проверяйте её.

Автор: sixrevisions.com





Автор: Перевод: Константин Войцеховский

Забавное видео

Этот 5-ти летний малыш удивит вас своими баскетбольными навыками!


Нужны деньги до зарплаты?

более 30 сервисов

Кредиты онлайн на карту за 15 минут

от 0,01%

ставка

до 180 дней

макс срок

до 20 000 грн.

макс сумма