Любой код используемый на сайте должен контролироваться и проверятся. Не исключение темы WordPress. Как делается проверка темы WordPress на безопасность в этой статье.
Ваш сайт ещё не взламывали? Чтобы этого не происходило в дальнейшем, послушайте следующие рекомендации.
Во-первых, никогда не берите темы из непонятных источников, если не знаете, как их проверить на вирусы, спам и прочую заразу.
Во-вторых, не ставьте «левые» темы на рабочие проекты, без их предварительной проверки или тестировании на локальном или нерабочем сайте.
В-третьих, темы скачанные с официальных источников и с сайтов разработчиков априори считаются безопасными, однако и их нужно проверять.
В-четвёртых, всегда имейте под рукой свежую резервную копию своего сайта.
Распространение тем WordPress по лицензии GLUv2 и v3, позволяет пользователям делать изменения в коде темы и делится темой с «друзьями». Как следствие распространители тем могут внедрить в тему свой код и отдать её в цепочку распространителей.
Не факт, что внедрённый код будет простой безобидной ссылкой на сторонний сайт. Возможно внедрение в тему вредоносного кода и это очень опасно для вашего сайта.
Тема это набор файлов, а внедрение кода это вставка в эти файлы вредоносного или потенциально опасного кода. Зная опасные ключевые фразы в коде вы может сами выявить опасный код в теме. Например, открываете файлы темы в редакторе Notepad++ и поиском ищите такие запрещённые коды по словам:
Кроме этого запрещены:
Опасны скрипты:
wshell\.php
Этот скрипт, может использоваться хакерами для получения контроля над вашим сервером!
ShellBOT
Этот скрипт, может использоваться хакерами для получения контроля над вашим сервером!
uname -a
Сообщает хакеру, в какой операционной системе работает ваш сервер.
themecheck.org: Можно анализировать подозрительные файлы и URL-адреса для обнаружения типов вредоносных программ, автоматически делиться ими с сообществом безопасности
sitecheck.sucuri.net: Бесплатная проверка безопасности сайта и сканер вредоносных программ
Введите URL-адрес (например, sucuri.net), и сканер Sucuri SiteCheck проверит веб-сайт на наличие известных вредоносных программ, вирусов, статуса в черном списке, ошибок веб-сайта, устаревшего программного обеспечения и вредоносного кода.
sitesecure.ru: SiteSecure предоставляет надежное решение для мониторинга безопасности и защиты сайта от заражения вирусами, взлома и перенаправления трафика, предотвращая блокировку сайта поисковыми системами и антивирусами, потерю клиентов и падение эффективности продвижения сайта.
antivirus-alarm.ru/proverka: проверить сайт на вирусы онлайн
Для информации есть следующие антивирусные базы, которые постоянно пополняются и используются антивирусниками:
Чтобы их использовать, например, вбираю из списка одну «DrWeb». Ищу в сети «DrWeb для сайтов» и работаю с этим антивирусом проверяя ядро темы на вирусы.
Так же можно работать почти с любым антивируcником.
Возможна проверка темы WordPress специальными плагинами. Вот несколько из них:
Theme Check: проверка темы WordPress на соответствие правилам WordPress репозитория тем. Правила репозитория тем довольно строги и априори, темы из репозитория тем, безопасны.
Обязательно используйте на сайте плагин безопасности. Вот лучшие из них:
Все перечисленные плагины безопасности имеют более 100 000 активных установок и постоянно обновляются. Вы их легко найдёте в хранилище планов по названию.
Проверка темы WordPress должна стать обязательным действием перед её использованием на сайте.
©wpkupi.ru
Как установить брандмауэр firewall на Wordpress сайте.
В этой статье вы найдете лучшие плагин безопасности и комплексной защиты WordPress сайта.
Общая ознакомительная информация про редактор Gutenberg WordPress.
Не спешите назначать новых администраторов сайта WordPress. Почти эту статью и подумайте.
Как администратору отключить автоматическое обновление WordPress.
Сервисы, чтобы проверить SSL сертификат сайта администратором.