Безопасность шаблона WordPress

Вступление

Шаблоны WordPress распространяются и продаются всем кому не лень. Есть шаблоны и на этом сайте. Однако в отличие от других распространителей шаблонов, я не ставлю на них свои ссылки и гарантирую безопасность шаблона WordPress его предварительной проверкой.

Что такое безопасность сайта?

Нарушение безопасности сайта это прежде всего взлом сайта. Цель у взлома может быть самая разная, от простого хакерского хулиганства до кражи данных и контента сайта.

К сожалению, основная причина взлома это установка «зараженных» плагинов и шаблонов WordPress. Именно отсутствие вредоносного кода в шаблоне определяет безопасность шаблона WordPress.

Чтобы добавить свою тему в каталог wordpress.org/themes (ru.wordpress.org/themes) автор темы проходит несколько кругов проверок. Вернее не сам автор, а его тема. Помимо всего прочего, тема проверяется на безопасность, а именно:

Тема не должна изменять настройки сервера PHP;
Коды base64_decode(), base64_encode(), uudecode(), str_rot13() не допускаются;
Поисковый код Google и рекламный код Google eval() не допускается;
Системные вызовы PHP не должны быть в теме.

Это только малая толика проверок, которые члены сообщества делают с темой. Именно поэтому все темы в каталоге wordPress.org/themes (ru.wordpress.org/themes) можно априори считать безопасными.

Пожалуй, стоит напомнить, что в официальном каталоге темы разбиты на два раздела: бесплатные и коммерческие (ru.wordpress.org/themes/commercial/). Все темы распространяются по лицензии CPL 2+. В платных темах вы, якобы, платите не за саму тему, а за её поддержку в виде дополнительных платных услуг, за доступ к теме, её поддержку или членские взносы. Вот такое хитрое бесплатное распространение по лицензии CPL.

В чём опасность сторонних тем?

Темы, не вошедшие в официальный каталог, вы можете найти на десятках сторонних сайтов продавцов тем и авторов. Так как эти темы никем не проверяются, то все вышеперечисленные опасности безопасности в теме могут быть.

Читать: Что такое SSL сертификат и почему это важно для администратора сайта, урок 16

Самое опасное для безопасности сайта это внедренные коды base64_decode(), base64_encode(), uudecode(), str_rot13(), eval. Но эти коды не являются единственными обфусцированными кодами. Любой длинный непонятный код в любом файле темы может быть вирусным.

Стоит отметить, что перечисленные коды могут быть вполне безопасными (со скрытыми ссылками автора). Раскодировать такой подозрительный код можно тут (ddecode.com/hexdecoder) или тут (malwaredecoder.com).

В любом случае наличие непонятных кодов и функций в коде шаблона неприемлемо.

В таком закодированном коде злоумышленники могут внедрить хитрый скрип по сканированию нового контента или своей рекламе. Вариантов масса.

Как проверить шаблон?

Если вы нашли отличный для вас шаблон, которого нет в официальном каталоге, и этот шаблон распространяется бесплатно, его можно скачать и обязательно проверить на вирусы.

Сделать это можно на онлайн сервисах антивирусной проверки, например, тут (https://www.virustotal.com/ru/) или на онлайн проверках антивирусных программ, например, тут (https://vms.drweb.ru/sendvirus/).

Можно пролистать файлы скачанной темы на предмет наличия слов base64, decode, encode, uudecode, str, rot13 и посмотреть, что стоит после этих кодов в скобках. Если увидите длинный, непонятный код, это вероятнее всего вирус.

Для проверки своих редположений можно раскодировать код на сервисах «раскодировка кода» или «декодер онлайн».

Шаблон с подозрительными кодами или непонятными функциями лучше не использовать, хотя можно вручную очистить тему от подобных кодов.

Вывод

Безопасность шаблона WordPress это основа безопасности всего сайта. Рекомендации по безопасности шаблона следующие:

Забирайте шаблоны только с официального сайта;
Даже их проверяйте на заражение;
Следите за обновлением шаблонов и вовремя обновитесь;
Обязательно установите один из плагинов безопасности WordPress.

©WPkupi.ru

Еще статьи

Читать: Чем статья отличается от страницы WordPress