نصب و پیکربندی

بررسی تم وردپرس. بررسی اینکه آیا یک پست به یک دسته خاص در وردپرس تعلق دارد با استفاده از تابع in_category (). یافتن کد مخرب تعبیه شده در پرونده های اصلی وردپرس

بررسی دوره ای سایت برای ویروس های مخرب ضروری است ، این اولین دستور هر مدیر وب سایت محترم است. حتی اگر از تم تمیز بیست و یازده استفاده می کنید ، این یک واقعیت نیست که با گذشت زمان نیز آلوده نشده است. این پدیده می تواند رخ دهد (و اغلب اتفاق می افتد) به این دلیل که موتور وردپرس در اصل برای انتشار آنلاین در نظر گرفته شده بود. بنابراین بررسی مجدد و تهیه کپی از سایت و پایگاه داده هرگز ضرری ندارد.

به عنوان مثال ، من (البته بعد از مدتی) برای خودم یک نتیجه گیری کردم - شما فقط به یک مهماندار خوب نیاز دارید ، و مشکلات رزرو شما به خودی خود برطرف می شود. من نیازی به تهیه نسخه پشتیبان از پایگاه داده یا وب سایت ندارم - میزبان همه کارها را برای من و در حالت خودکار انجام می دهد. در هر زمان ، در صورت تمایل ، می توانید یک نسخه از هر قسمتی از وبلاگ خود (و نه تنها) را سفارش دهید ، این نسخه را بارگیری کرده یا وبلاگ را مستقیماً از کنترل پنل بازیابی کنید. یعنی نیازی به بارگیری نسخه پشتیبان ندارم ، همه چیز به طور خودکار اتفاق می افتد - پشتیبان گیری ، بازیابی و غیره. این بسیار راحت است زیرا من می توانم نه تنها در روز ، بلکه در هر ساعت ، زمان بروز ویروس در وبلاگم را پیگیری کنم و بر این اساس ، اقدامات لازم را برای از بین بردن آن انجام دهم.

برای شروع ، خبر خوب این است که حداقل دو افزونه ای که من استفاده کرده ام نتایج خوبی در تشخیص و محلی سازی کدهای مخرب ارائه می دهند. اینها افزونه های AntiVirus و Exploit Scanner هستند. شما باور نمی کنید که چقدر کد مضر در وبلاگ شما وجود دارد! اما پس از بررسی اصول جزم ، تمام اطلاعات حاصله را نگیرید - بسیاری از خطوطی که این افزونه ها می بینند ، در واقع هیچ چیز بدی را در خود حمل نمی کنند. فقط این که افزونه برخی خطوط را زیر سال می برد ، همین. برای تأیید این امر ، قطعاتی را که افزونه به عنوان مخرب تشخیص داده است ، به صورت دستی بررسی کنید. بنابراین ، هنگام بررسی افزونه آنتی ویروسمعلوم شد که حتی یک تماس ساده برای عملکرد get_cache_file () افزونه را مشکوک می داند. بنابراین همه نتایج چک ها باید به صورت دستی کنترل شوند. اما برای مثال ، این یک پیوند واقعاً آلوده است و باید حذف شود:

چگونه می توانید بفهمید که این ویروس است یا باید باشد؟ این بسیار ساده است - الگوی تمیز خود را (در صورت وجود) مقایسه کنید و آن را (فایل به فایل) با الگویی که نصب شده و قبلاً تغییراتی در آن ایجاد شده است ، مقایسه کنید. لازم نیست مقایسه را به این معنی انجام دهید ، فقط جستجو کنید تا ببینید آیا قالب خالی شما دارای خطی است که افزونه آن را مشخص کرده است. اگر چنین است ، روی دکمه "این یک ویروس نیست" کلیک کنید ، و این خط در اسکن بعدی در نظر گرفته نمی شود.

و در اینجا نمونه ای از افزونه دوم است که من سعی کردم - اسکنر بهره برداری

همانطور که می بینید ، همه چیز در اینجا بسیار نادیده گرفته شده است. برای من این نتیجه تکان دهنده بود. اما این همه ماجرا نیست. یک عملکرد در افزونه مانند اعتبار سنجی وجود دارد. بنابراین ، اگر آن را فعال کنید ، معلوم می شود که وبلاگ باید شامل متن و حداکثر چند جدول CSS باشد. بنابراین ، به نظر من نویسنده افزونه به وضوح در امنیت در اینجا زیاده روی کرده است. خبر خوب این است که افزونه فقط قطعات آلوده شده را نشان می دهد و آنها را تمیز نمی کند.

پس از تجزیه و تحلیل تمام خطوط برجسته شده با رنگ زرد ، می توانید بدافزارها (کد مخرب) را به راحتی تشخیص دهید ، اما بعد از آن چه کاری باید انجام دهید - خودتان تصمیم بگیرید. روش تمیز کردن هنوز یکسان است - شما کد برجسته شده را با نسخه پشتیبان سایت مقایسه می کنید (مشاهده کنید) و در صورت مشاهده مغایرت ، تشخیص دهید که آیا خودتان آن را انجام داده اید یا شخص دیگری آن را برای شما انجام داده است ، به این معنی که این دیگر خوب نیست و ممکن است ویروسی باشد حتی توسعه دهندگان وردپرس توصیه می کنند که سایت را از نظر وجود کد مخرب با این افزونه خاص بررسی کنید. اما چنین درجهای بی ضرری وجود دارد ، به عنوان مثال ، در بدنه iframe ، که افزونه همچنین می تواند آنها را به عنوان کد آلوده تشخیص دهد. اما در حقیقت ، بدون این خطوط ، این بخش از وبلاگ شما به درستی کار نخواهد کرد.

چگونه بدافزار وارد پرونده های وبلاگ می شود و طبق تعریف آن چیست؟ کلمه بدافزار در لغت به معنی - بد افزار، از نرم افزار مخرب انگلیسی. این نرم افزاری است که می تواند برای دسترسی غیر مجاز به سایت و محتوای آن استفاده شود. احتمالاً می توانید تصور کنید که برای یک هکر با آموزش متوسط ​​دشوار نباشد که یک وب سایت را هک کند ، به ویژه پس از ثبت نام. پس از آن ، می توانید محتوای وبلاگ را همانطور که دوست دارید تغییر دهید - این آموزش است.

بدافزار مخرب را می توان هم در افزونه هایی که از منبع ناشناخته نصب می کنید ، و هم در اسکریپت هایی که گاهی بدون بررسی ، اما با اعتماد به نویسنده ، از آنها استفاده می کنید ، وارد کرد. بی خطرترین بدافزار پیوند به نویسنده ماژولی است که در سایت نصب کرده اید. و اگر خود نویسنده به شما هشدار نداده است که چنین پیوندی وجود دارد ، این فقط یک ویروس است.

بنابراین ، من یک موضوع جدید را در یک وبلاگ آزمایشی نصب کردم و پس از حذف یک پیوند بی ضرر به نوعی باشگاه مردان در زیرزمین سایت ، باز شدن آن به طور کلی متوقف شد ، و روی اصلی آن یک کتیبه وجود داشت - "شما هیچ حق حذف پیوندها " در اینجا یک تم رایگان برای شما وجود دارد. می توانید نحوه پاره کردن چنین پیوندهای چپ را بخوانید.

پایگاه داده شما همچنین می تواند برای اجرای کد حاوی ویروس استفاده شود. پیوندهای ناخواسته نیز اغلب به پست ها یا نظرات اضافه می شوند. چنین پیوندهایی معمولاً با CSS پنهان می شوند تا مدیر بی تجربه نتواند آنها را ببیند ، اما موتور جستجو می تواند آنها را بلافاصله تشخیص دهد. البته ، هر ضد اسپم در اینجا به کار می افتد ، به عنوان مثال ، همان آنتی مجاری که بارها مجوز ، آزمایش و بررسی مجدد شده است. یک هکر می تواند فایلهای دارای پسوند فایل تصویری را بارگیری کرده و آنها را به کد افزونه های فعال شده شما اضافه کند. بنابراین ، حتی اگر فایل دارای پسوند php نباشد ، می توان کد موجود در این فایل را اجرا کرد.

یک ابزار ساده دیگر نیز وجود دارد که من با بدافزار آشنا شدم - افزونه Theme Authenticity Checker (TAC). بسیار سبک و قدرتمند است ، اما فقط تم های شما را بررسی می کند ، حتی موضوعات غیر فعال. بقیه دایرکتوری ها را لمس نمی کند ، و این نقطه ضعف آن است. این چیزی است که بررسی موضوع فعلی من با این افزونه به من داد:

دو هشدار در موضوع فعال ، و هیچ چیز دیگر. بدون کد مخرب به هر حال ، این پیوندهایی است که من خودم به توصیه Google در آن قرار داده ام - برای بهبود کیفیت قطعه (نمایش داده های شخصی ، آدرس سازمان و غیره). اما این فقط بررسی پرونده های تم است و آنچه در سایر فهرستها انجام می شود ، باید با کمک افزونه های دیگر یا خدمات آنلاین آن را دریابید. برای مثال ، چنین سرویسی (واقعاً قابل اعتماد است) ، مانند Yandex Webmaster یا مشابه آن در Google. آنها وظیفه بررسی هر منبع وب را برای موارد مخرب دارند و این کار را به طور م doثر انجام می دهند. اما اگر این برای شما کافی نیست ، نتایج را با نتایج سایر خدمات مقایسه کنید و نتیجه گیری کنید.

به دلایلی می خواهم به Yandex اعتماد کنم ، نه افزونه ها. منبع خوب دیگر http://2ip.ru/site-virus-scaner/ است. پس از بررسی یکی از وبلاگم ، موارد زیر را پیدا کردم:

در صورت وجود چنین تردیدهایی ، می توانید فایل های فردی را برای کد مخرب بررسی کنید. به طور کلی خدمات خوب است.

از مجموع مطالبی که گفته شد ، به نتایج زیر می رسم:

1. به منظور جلوگیری از ظاهر شدن کد مخرب ، قبل از هر چیز باید از خدمات اثبات شده برای بارگیری فایل ها - افزونه ها ، تم ها و غیره استفاده کنید.

2. به طور منظم از همه مواردی که سایت شامل آنها است - از پایگاه داده ها ، محتوا ، پنل مدیریت ، فایل های شخص ثالث بارگذاری شده از جمله تهیه نسخه پشتیبان تهیه کنید.

3. از به روزرسانی هایی که وردپرس ارائه می دهد استفاده کنید. آنها حداقل حاوی ویروس نیستند ، اگرچه همیشه از نظر عملکرد توجیه نمی شوند. اما با به روزرسانی ، در نتیجه ویروس های احتمالی موجود را حذف می کنید.

4. تم ها ، افزونه ها ، تصاویر و فایل های بلااستفاده را بدون پشیمانی حذف کنید - این یکی دیگر از ورودی های جایگزین بدافزار است که ممکن است هرگز در مورد آن حدس نزنید.

5. یک رمز عبور خوب برای دسترسی FTP ، ورود phpAdmin ، پنل مدیریت و به طور کلی جایی که هیچکس نباید دسترسی داشته باشد ، ایجاد کنید.

6. سعی کنید (حتی اگر به اندازه بهشت ​​این آرزو را دارید) فایل های اصلی وردپرس را تغییر ندهید یا جایگزین نکنید - توسعه دهندگان بهتر می دانند که چگونه و چگونه باید کار کنند.

7. پس از شناسایی و حذف ویروس ها ، همه گذرواژه ها را تغییر دهید. من فکر می کنم شما تمایل زیادی برای ایجاد رمز عبور 148 نویسه در ثبت های مختلف و با نویسه های خاص خواهید داشت. اما با گذرواژه های بسیار پیچیده خود را درگیر نکنید ، ممکن است آن را از دست بدهید ، و سپس باید همه چیز را بازیابی کنید ، که چندان خوشایند نیست.

همه این روشها و م componentsلفه هایی که توضیح دادم و به شما کمک می کند تا از شر ویروس ها خلاص شوید ، البته رایگان هستند ، البته تقریباً خانگی هستند و البته 100 guarantee تضمین نمی دهند که سایت شما پاک شود درج های مخرب بنابراین ، اگر قبلاً به تمیز کردن وبلاگ خود رسیدگی کرده اید ، بهتر است با متخصصان ، به عنوان مثال ، از خدمات تماس بگیرید سوکوری(http://sucuri.net/). در اینجا سایت شما به درستی نظارت می شود ، آنها توصیه های عملی را ارائه می دهند که با نامه برای شما ارسال می شود ، و اگر نمی خواهید خودتان با یک سایت تمیز برخورد کنید ، متخصصانی در خدمت شما هستند که همه کارها را به بهترین نحو انجام خواهند داد. راه ظرف 4 ساعت:

خوب ، وبلاگ تست من پس از نظارت به نظر می رسد ، و این علیرغم این واقعیت است که روش های دیگر (homebrew) همیشه نتایج متفاوتی را نشان می دهند. همانطور که می بینید ، این آزمایش رایگان است ، اما در صورت یافتن ویروس ها ، باید هزینه ای را برای از بین بردن آنها بدون آسیب رساندن به سایت پرداخت کنید (البته اگر شما در پاکسازی وبلاگ خود از بدافزارها متخصص نیستید).

من بار دیگر تأکید می کنم - هکرها در خواب نیستند ، ویروس ها دائماً در حال مدرن شدن هستند و غیرممکن است که همه چیز را به تنهایی پیگیری کنید. همه نوآوری ها آنقدر با دقت پنهان و مخفی شده اند که فقط یک تیم می تواند آنها را آشکار کند! حرفه ای ، نه وبلاگ نویس خودآموز که بسیاری از آنها هستند. بنابراین ، تشخیص دستی و حذف بدافزارها بسیار مctiveثر است: بدون تجربه - بدون نتیجه ، اما ویروس وجود دارد. از برنامه های مجاز استفاده کنید و رفع خطر را به متخصصان بسپارید

در جایی که وب سایت وجود دارد ، ممکن است ویروس وجود داشته باشد. این حقیقت ساده به شما اجازه آرامش نمی دهد و نیاز به نظارت مداوم بر "سلامت" سایت دارد. سایت های وردپرس نیز از این قاعده مستثنی نیستند و اگر محبوبیت CMS وردپرس را در نظر بگیرید ، قابل درک است که چرا این سایت ها بیشتر از سایت های دیگر سیستم ها آلوده می شوند. ابزارهای زیادی برای بررسی آنتی ویروس سایت ها وجود دارد. در این مقاله ، من در مورد یک جنگنده عالی برای سایت های وردپرس - افزونه AntiVirus ، نحوه پیدا کردن و حذف ویروس در وردپرس با افزونه Antivirus به شما می گویم.

منظور ما از ویروس در سایت چیست

ویروس در سایت به معنای هر برنامه شخص ثالثی است که سایت را مجبور به کار می کند ، نه مانند برنامه های سیستم. تعریف ویروس شامل موارد زیر است:

  • ذکر شده در سایت ؛
  • توابع اجرایی رمزگذاری شده که با افزونه ها و موضوعات وارد سایت می شوند.
  • هر گونه اسکریپت php و کدهای جاوا که اقداماتی را انجام می دهد که برای صاحب سایت مشخص نیست.

نتایج عملکرد ویروس ها در سایت می تواند بسیار متنوع باشد:

  • پیوند به منابع شخص ثالث ؛
  • هدایت خودکار به منابع دیگران ؛
  • خواندن نشریات جدید و تکرار انتشار آنها در منابع شخص ثالث ؛
  • تبلیغات غیر مجاز در سایت ؛
  • تخریب کد سایت و در نتیجه خرابی سایت.

نصب و پیکربندی افزونه آنتی ویروس

یک ابزار عالی برای بررسی وب سایت از نظر ویروس است افزونه آنتی ویروس... افزونه دارای بیش از 90،000 بارگیری است ، آخرین بار در وردپرس 4.6.11 آزمایش شده است.

با استفاده از فرم جستجوی نام افزونه ، می توانید افزونه ای را از کنسول سایت در برگه افزونه → افزودن جدید نصب کنید.

نصب افزونه آنتی ویروس از پنل مدیریت

نحوه حذف ویروس بر روی افزونه آنتی ویروس وردپرس

مهم! قبل از کار با افزونه.

افزونه بدون هیچ گونه پیچیدگی کار می کند. آن طرف تنظیمات → آنتی ویروسیا افزونه ها -> آنتی ویروس -> تنظیماتوارد صفحه افزونه فعال شده می شویم.

روی "اسکن قالبهای تم" کلیک کنید و نتیجه بررسی را ببینید. همه فهرستهای موضوع کار در صفحه منعکس می شود. رنگ سبز به معنی عدم وجود ویروس ، قرمز به معنی عفونت است.


راه اندازی اسکن با افزونه AntiVirus

بررسی می کند که آیا صفحه "صفحه دائمی" نمایش داده می شود یا خیر. برای بررسی می توانید یک شناسه ، برچسب یا عنوان صفحه تعیین کنید. برچسب شرطی

هنگام ارسال مقادیر خالی true برمی گردد

مراقب باشید زیرا فراخوانی های زیر به این تابع درست برمی گردد:

is_page ("") is_page (0) is_page ("0") is_page (null) is_page (false) is_page (array ())

در داخل حلقه وردپرس قابل استفاده نیست

با توجه به اینکه برخی از متغیرهای جهانی در طول حلقه بازنویسی می شوند ، is_page () نمی تواند در داخل حلقه استفاده شود. با این حال ، این ضروری نیست. برای استفاده از این برچسب الگو پس از یک حلقه ، یک حلقه دلخواه (درخواست بازیابی سوابق) باید با عملکرد بازنشانی شود: wp_reset_query ()

time 1 زمان = 0.000012 ثانیه = خیلی سریع| 50،000 بار = 0.02 ثانیه = سرعت نور| PHP 7.0.8 ، WP 4.6.1

قلاب وجود ندارد.

برمی گردد

درست غلط. true اگر نوع صفحه نمایش داده شود: صفحه دائمی و در صورت نمایش هر نوع صفحه دیگر false است.

استفاده

if (is_page ($ page)) (// code) $ page (رشته / شماره / شی)

شناسه ، برچسب ، عنوان صفحه برای بررسی. شما می توانید یک آرایه از هر یک از این مقادیر را مشخص کنید تا چندین صفحه مختلف در معرض بررسی قرار گیرد.

پیش فرض: خیر

نمونه هایی از

# 1 عملکرد در عمل

موارد استفاده مختلف - مواردی که تابع true (آتش) را برمی گرداند:

Is_page ()؛ // هنگامی که هر صفحه مداوم نمایش داده می شود. is_page (42)؛ // هنگامی که صفحه با شناسه 42 نمایش داده می شود. is_page ("درباره سایت") ؛ // وقتی صفحه ای با عنوان "درباره این سایت" نمایش داده می شود. is_page ("o-saite")؛ // وقتی صفحه ای با slug "o-saite" نمایش داده می شود. is_page (آرایه (42 ، "o-saite" ، "درباره سایت")) ؛ // پارامترها قابل ترکیب هستند. اضافه شده در نسخه 2.5 is_page (آرایه ("نمونه صفحه" ، "مخاطبین" ، 23 ، 34)) ؛ // می توانید چندین صفحه را به طور همزمان بررسی کنید. همه این صفحات متفاوت هستند ...

شماره 2 یادداشتی در مورد خط سیریلیک و میانبر (slug)

اگر در سایت شما الفبای سیریلیک به الفبای لاتین تغییر نمی کند -هیچ افزونه Cyr -To -Lat یا مشابه آن وجود ندارد ، پس از ایجاد ورودی ، برچسب آن تغییر می کند و الفبای سیریلیک به نویسه های خاص تبدیل می شود (مخاطبین -٪ d0 ٪ ba٪ d0٪٪ d0٪ bd٪ d1٪ 82٪ d0٪ b0٪ d0٪ ba٪ d1٪ 82٪ d1٪ 8b) ، بنابراین هنگام بررسی باید به آن توجه شود. آن ها اگر عنوان بررسی نشده است ، اما برچسب (post_name) ، این کار را انجام دهید:

Is_page ("درباره سایت") ؛ // صفحه اشتباه است (sanitize_title ("about-site"))؛ // درست

شماره 3 بررسی کنید آیا در صفحه کودک یک صفحه دائمی هستیم

هیچ تابع is_subpage () در وردپرس وجود ندارد. اما چنین بررسی می تواند با کد زیر انجام شود:

پست جهانی $ ؛ // اگر خارج از حلقه if (is_page () && $ post-> post_parent) (// این یک صفحه کودک است) دیگری (// این یک صفحه کودک نیست)

شما می توانید تابع is_subpage () خود را ایجاد کنید. این کد را به فایل functions.php تم خود اضافه کنید. این درست مانند مثال اول کار می کند: بررسی کنید آیا صفحه فعلی یک صفحه کودک است ، یعنی آیا اصلاً صفحه ای است و آیا صفحه اصلی دارد.

ایجاد چنین عملکردی مفید است هنگامی که سایت قرار است چندین بار مانند مثال 1 چک هایی را انجام دهد.

/ * * بررسی کنید آیا صفحه مداوم فعلی یک صفحه کودک است * درست یا غلط را برمی گرداند * / تابع is_subpage () (پست جهانی $ ؛ اگر (is_page () && $ post-> post_parent) ($ post-> post_parent؛) false false؛)

از این مثال برای تعریف صفحه درباره یا صفحه فرزند آن استفاده کنید. این مثال زمانی مفید است که نیاز به تعیین یک متغیر برای کل شاخه صفحه داشته باشید. در اینجا ما یک تصویر برای شعبه ارائه می دهیم:

if (is_page ("about") || "2" == $ post-> post_parent) (// این صفحه "درباره" یا صفحه فرزند آن $ bannerimg = "about.jpg"؛) elseif (is_page (" یادگیری ") ||" 56 "== $ post-> post_parent) ($ bannerimg = "aching.jpg"؛) elseif (is_page ("پذیرش") || "15" == $ post-> post_parent) ($ bannerimg = "admissions.jpg"؛) else ($ bannerimg = "home.jpg" ؛ // اگر در صفحه ای تعریف نشده هستیم ، تصویر پیش فرض را نمایش دهید)

بیایید یک تابع ایجاد کنیم که تمام سطوح تودرتو ، کل شاخه زیر صفحات را بررسی کند ، و اگر در یکی از صفحات شاخه قرار داشته باشیم ، تابع true و در غیر این صورت false برمی گردد. آن ها فرض کنید ما یک صفحه درباره ما داریم ، یک صفحه کودک خدمات ما دارد ، و این صفحه همچنین دارای صفحات کودک نقاشی و تکمیل است. ما شناسه صفحه "درباره ما" را به این عملکرد منتقل می کنیم و اگر در هر یک از صفحات مشخص شده قرار داشته باشیم ، درست برمی گردد.

/ * * بررسی صفحات کودک در تمام سطوح تودرتو * $ pid = شناسه صفحه ای که باید تمام سطوح صفحات کودک برای آن بررسی شود * / function is_tree ($ pid) (پست جهانی $ ؛ // در صورت خروج از قبل صفحه مشخص شده در صورتی که (is_page ($ pid)) true برگردد ؛ $ anc = get_post_ancestors ($ post-> ID)؛ foreach ($ anc به عنوان $father) (if (is_page () && $ fatheror == $ pid) (بازگشت درست ؛)) غلط برگردانید ؛)

شماره 4 بررسی تقسیم صفحه

از کد کوتاه می توان در ضبط ها استفاده کرد... این کد متن پست را به چندین صفحه تقسیم می کند. این مورد هنگامی مفید است که فقط نیاز به نمایش فراداده در صفحه اول داشته باشید ، که در چندین صفحه یک پست تقسیم شده است.

$ paged = $ wp_query-> دریافت ("صفحه بندی") ؛ if (! $ paged || $ paged< 2){ // Пост не разделен на страницы или это не первая страница. } else { // Это 2,3,4 ... страница разделенного поста. }

$ paged = get_query_var ("صفحه بندی")؟ get_query_var ("paged"): false؛ if ($ paged === false) (// پست به صفحات تقسیم نمی شود یا این صفحه اول نیست.) else (// این 2،3،4 است ... صفحه پست تقسیم شده.)

اگر (0 === get_query_var ("صفحه")) (// پست به صفحات تقسیم نشده یا این اولین صفحه نیست.) دیگر (// این 2،3،4 است ... صفحه پست تقسیم شده .)

یکی از مهمترین مراحل ایجاد وبلاگ ، انتخاب قالب با کیفیت است. سایتهای زیادی وجود دارد ، هم رایگان و هم پولی. با این حال ، در اینجا باید مراقب باشید ، زیرا احتمال زیاد ویروس ، اسکریپت های مخرب و پیوندهای مخفی به همراه فایل وجود دارد.

اما حتی اگر قالب از نظر امنیت تمیز باشد و طراحی ، قابلیت استفاده و عملکرد آن کاملاً رضایت بخش باشد ، این بدان معنا نیست که همه چیز مرتب است. موضوع باید دارای کد HTML و CSS معتبر و مطابق با تمام استانداردهای CMS وردپرس باشد.حتی تم های پولی و قالب های سفارشی با مورد دوم مشکل دارند.

توسعه دهندگان موتور دائماً آن را توسعه می دهند و نویسندگان قالب ها همیشه از آنها استفاده نمی کنند و هنگام ایجاد آنها از توابع قدیمی استفاده می کنند.

امروز 2 روش برای بررسی تم های وردپرس برای رعایت استانداردها به شما نشان خواهم داد. این ابزارها هنگام افزودن آنها به فهرست اصلی https://wordpress.org/themes/ استفاده می شوند

خدمات برای بررسی تم های وردپرس و قالب های جوملا برای رعایت استانداردها

ThemeCheck.org یک سرویس رایگان است که به شما امکان می دهد قبل از نصب در سایت ، ایمنی و کیفیت قالب ها را برای CMS WordPress و Joomla بررسی کنید.

برای بررسی موضوع ، بایگانی آن را از رایانه خود با کلیک روی دکمه "انتخاب فایل" در themecheck.org بارگیری کنید. اگر نمی خواهید نتایج اسکن در سرویس ذخیره شده و در اختیار سایر کاربران قرار گیرد ، گزینه " پس از نتایج ، داده های بارگذاری شده را فراموش کنید". اکنون روی دکمه "ارسال" کلیک کنید.

به عنوان مثال ، من موضوع را گرفتم رابطکه از وب سایت رسمی بارگیری کردم. 99 از 100 - 0 خطای مهم و 1 اخطار. این نتیجه بسیار خوبی است.

در مقایسه ، قالب وبلاگ من نمره 0 (14 خطا و 23 اخطار) دریافت کرد. من فکر می کنم که برای بسیاری ، نتایج چندان متفاوتی نخواهد بود ، به خصوص اگر موضوعات از قبل منسوخ شده باشند. همه نظرات همراه با توضیحات ، با ذکر فایلها و خطوطی که در آن پیدا شده اند ، در همان صفحه زیر قرار دارند.

صادقانه بگویم ، من آنجا چیز زیادی نمی فهمیدم ، برای نویسندگان مفیدتر خواهد بود ، و تغییر قالب برای من آسان تر از اصلاح همه چیز است. فقط نمی دانم کی قرار است این کار را انجام دهم.

Home دارای مجموعه بزرگی از تم های وب وردپرس و جوملا است که قبلاً آزمایش شده اند ، بر اساس زمان اضافه شده یا رتبه بندی شده. وقتی روی آنها کلیک می کنید ، می توانید اطلاعات دقیق و پیوندهایی به وب سایت نویسنده و صفحه بارگیری را مشاهده کنید.

اگر توسعه دهنده هستید و موضوع شما 100٪ معتبر است ، می توانید با نصب نشان رتبه بندی ویژه بر روی آن کاربران را در جریان آن قرار دهید.

ارزش سرویس ThemeCheck.org این است که هر مدیر وب سایت می تواند از آن برای انتخاب یک موضوع با کیفیت حتی قبل از نصب آن در یک وبلاگ استفاده کند.

افزونه بررسی تم

با استفاده از افزونه Theme Check ، می توانید یک الگوی قبلاً نصب شده را برای سازگاری با آخرین استانداردهای وردپرس بررسی کنید. پیوند بارگیری آخرین نسخه: https://wordpress.org/plugins/theme-check/

عملکرد افزونه مشابه سرویسی است که در بالا توضیح دادم. بعد از نصب و فعالسازی استاندارد نیازی به انجام هیچ گونه تنظیماتی ندارید. روش بررسی:

  1. به صفحه منوی "ظاهر" - "بررسی موضوع" در پنل مدیریت بروید.
  2. اگر چندین مورد نصب شده است ، موضوع مورد نظر را از لیست کشویی انتخاب کنید.
  3. اگر نمی خواهید اطلاعات را ارسال کنید ، "Suppress INFO" را علامت بزنید.
  4. روی دکمه "بررسی کنید" کلیک کنید.

نتایج در همان صفحه نشان داده می شود.

همانطور که مشاهده می کنید ، تم استاندارد است بیست و دههمچنین کامل نیست ، اما ، برای مثال ، دوهزار و چهاردههیچ خطایی ندارد

پس از بررسی ، می توانید افزونه را غیرفعال کنید ، یا بهتر است آن را تا دفعه بعدی به طور کامل حذف کنید.

نتیجه.قبل از نصب قالب وردپرس جدید ، نه تنها پیوندهای مخفی و کد مخرب توسط افزونه TAC را بررسی کنید ، بلکه از خدمات ThemeCheck.org یا افزونه Theme Check برای مطابقت با جدیدترین استانداردهای CMS نیز استفاده کنید.

P.S.اخیراً در TopSape Reader ، یک وبلاگ SEO جدید zenpr.ru دیدم که از نظر کلیک در ماه رتبه اول را در بین وبلاگ نویسان دارد. با توجه به اینکه سن او کمی بیشتر از یک ماه است ، نتیجه قابل احترام است. طراحی به سبک مینیمالیسم است ، اگر نگوییم که اصلاً وجود ندارد ، اما نویسنده می نویسد - شما آن را خواهید خواند. همه در تجارت و بدون آب. درست مانند عنوان وبلاگ - "هیچ کاراکتر اضافی". مطالعه را توصیه می کنم ، اطلاعات مفید زیادی پیدا خواهید کرد.

وردپرس محبوب ترین موتور برای ایجاد وب سایت ها و وبلاگ های مختلف اطلاعاتی است. امنیت وب سایت شما بیش از امنیت اطلاعات شما است. این بسیار مهمتر است ، زیرا ایمنی همه کاربرانی است که منابع شما را می خوانند و به آنها اعتماد دارند. به همین دلیل بسیار مهم است که سایت آلوده به ویروس یا هر کد مخرب دیگر نباشد.

ما در یکی از مقالات زیر نحوه محافظت از وردپرس در برابر هک را بررسی خواهیم کرد ، و اکنون می خواهم به شما بگویم که چگونه یک سایت وردپرس را برای ویروس ها و کدهای مخرب اسکن کنید تا مطمئن شوید همه چیز سالم است.

اولین گزینه ای که به ذهن می آید این است که شما توسط هکرها هک شده اید و درهای پشتی آنها را در کد سایت خود جاسازی کرده اید تا بتوانید هرزنامه ارسال کنید ، پیوندها و سایر موارد بد را ارسال کنید. گاهی اوقات این اتفاق می افتد ، اما اگر نرم افزار را به موقع به روز کنید ، بسیار نادر است.

هزاران قالب و افزونه رایگان وردپرس وجود دارد ، و این تهدید است. وقتی قالب را از سایت وردپرس بارگیری می کنید یک چیز است و وقتی آن را در سایت سمت چپ پیدا می کنید کاملاً متفاوت است. توسعه دهندگان بی پروا می توانند کدهای مخرب مختلف را در محصولات خود جاسازی کنند. اگر الگوهای برتر را به صورت رایگان بارگیری کنید ، خطر بیشتر است ، جایی که هکرها می توانند با خیال راحت نوعی حفره امنیتی را ایجاد کنند که از طریق آن می توانند نفوذ کرده و آنچه را که نیاز دارند انجام دهند. به همین دلیل است که بررسی سایت وردپرس برای وجود ویروس بسیار مهم است.

بررسی سایت وردپرس برای ویروس ها

اولین چیزی که هنگام بررسی وب سایت از نظر عدم ویروس به آن توجه می کنید ، افزونه های وردپرس است. به سرعت و به آسانی ، می توانید سایت خود را خزیده و بخش های مشکوکی از کد را پیدا کنید که ارزش توجه به آنها را دارد ، خواه در موضوع ، افزونه و هسته اصلی وودپرس باشد. بیایید نگاهی به برخی از محبوب ترین افزونه ها بیندازیم:

1. TOC

این افزونه بسیار ساده تمام موضوعات نصب شده در سایت شما را از نظر وجود کد مخرب بررسی می کند. این افزونه پیوندهای پنهان رمزگذاری شده با درج کد base64 را تشخیص می دهد و همچنین اطلاعات دقیق در مورد مشکلات پیدا شده را نمایش می دهد. بیشتر اوقات ، قطعات کد یافت شده ویروس نیستند ، اما به طور بالقوه می توانند خطرناک باشند ، بنابراین باید به آنها توجه کنید.

باز کن "ظاهر" -> "TAC"سپس منتظر بمانید تا همه تاپیک ها تأیید شوند.

2. اسکنر VIP

بسیار شبیه به اسکنر تم TOC است ، اما اطلاعات دقیق تری را نمایش می دهد. همان قابلیتها برای تشخیص پیوندها ، کد مخفی و سایر درجهای مخرب. فقط مورد VIP Scaner را در قسمت ابزار باز کرده و نتیجه را تجزیه و تحلیل کنید.

ممکن است حذف فایل های غیر ضروری ، به عنوان مثال ، desktop.ini کافی باشد. یا باید جزئیات بیشتری را در مورد آنچه در فایل ها با استفاده از base64 اتفاق می افتد بررسی کنید.

3. Anti-Malware از GOTMLS.NET

این افزونه به شما امکان می دهد نه تنها موضوعات و هسته اصلی سایت را برای ویروس ها اسکن کنید ، بلکه از سایت در برابر گذرواژه های بی رحم و حملات مختلف XSS ، SQLInj نیز محافظت کنید. جستجو بر اساس امضا و آسیب پذیری های شناخته شده انجام می شود. برخی از آسیب پذیری ها را می توان در محل برطرف کرد. برای شروع اسکن فایل ها را باز کنید "ضد مالور"در منوی کناری و کلیک کنید "اجرای اسکن":

قبل از اجرای اسکن ، پایگاه های داده امضا باید به روز شوند.

4. حصار کلمه

این یکی از محبوب ترین افزونه های محافظت از وردپرس و اسکن بدافزار است. علاوه بر اسکنر ، که می تواند بیشتر نشانک ها را در کد وردپرس پیدا کند ، از حفاظت مداوم در برابر انواع حملات و گذرواژه های اجباری استفاده می کند. در حین جستجو ، افزونه مشکلات احتمالی افزونه ها و موضوعات مختلف را پیدا می کند ، در مورد نیاز به روز رسانی وردپرس اطلاع می دهد.

برگه را باز کنید "WPDefence"در منوی کناری و سپس به برگه بروید "اسکن"و فشار دهید "شروع اسکن":

اسکن ممکن است مدتی طول بکشد ، اما پس از اتمام ، گزارش مفصلی از مشکلات پیدا شده را مشاهده خواهید کرد.

5. آنتی ویروس

این افزونه ساده دیگری است که الگوی وب سایت شما را برای کد مخرب اسکن می کند. عیب این است که فقط الگوی فعلی اسکن می شود ، اما اطلاعات با جزئیات کافی نمایش داده می شود. تمام عملکردهای خطرناک موجود در موضوع را مشاهده خواهید کرد و سپس می توانید جزئیات را تجزیه و تحلیل کنید که آیا آنها خطری ایجاد می کنند یا خیر. مورد را پیدا کنید "آنتی ویروس"در تنظیمات و سپس کلیک کنید "الگوهای تم را اکنون اسکن کنید":

6. بررسی صداقت

همچنین توصیه می شود یکپارچگی فایل های وردپرس را بررسی کنید ، در صورتی که ویروس قبلاً در جایی ثبت شده است. برای این کار می توانید از افزونه Integrity Checker استفاده کنید. همه فایلهای اصلی ، افزونه و قالب را برای تغییرات بررسی می کند. در پایان اسکن ، اطلاعات مربوط به فایل های تغییر یافته را مشاهده خواهید کرد.

سرویس های آنلاین

همچنین چندین سرویس آنلاین وجود دارد که به شما امکان می دهد سایت وردپرس خود را از نظر ویروس بررسی کنید یا فقط یک الگو را بررسی کنید. در اینجا برخی از آنها آمده است:

themecheck.org- یک آرشیو تم را بارگیری می کنید و می توانید همه هشدارها را در مورد عملکردهای مخرب احتمالی که در آن استفاده می شود تماشا کنید. شما می توانید نه تنها اطلاعات مربوط به موضوع خود ، بلکه سایر موضوعات بارگذاری شده توسط سایر کاربران و همچنین نسخه های مختلف تم را مشاهده کنید. هر چیزی که افزونه ها پیدا کنند می تواند این سایت را پیدا کند. تأیید موضوع وردپرس نیز بسیار مهم است.

virustotal.com- یک منبع شناخته شده که در آن می توانید وب سایت یا فایل الگوی خود را برای ویروس ها بررسی کنید.

ReScan.pro- بررسی سایت وردپرس برای ویروس ها با استفاده از این سرویس رایگان است ، تجزیه و تحلیل استاتیک و پویا برای تشخیص تغییر مسیرهای احتمالی انجام می شود ، اسکنر صفحات سایت را باز می کند. سایت را در برابر لیست های سیاه مختلف بررسی می کند.

sitecheck.sucuri.net- یک سرویس ساده برای اسکن سایت و موضوعات مربوط به ویروس ها. افزونه ای برای وردپرس وجود دارد. پیوندها و اسکریپت های خطرناک را تشخیص می دهد.

بررسی دستی

هیچ چیز بهتر از تأیید دستی نیست. لینوکس دارای یک ابزار عالی به نام grep است که به شما امکان می دهد تا خطوط دلخواه را در یک پوشه با فایلها جستجو کنید. باقی مانده است که بفهمیم به دنبال چه چیزی هستیم:

eval - این عملکرد به شما امکان می دهد کد php دلخواه را اجرا کنید ، توسط محصولات احترام به خود استفاده نمی شود ، اگر یکی از افزونه ها یا موضوعی تقریباً صد درصد از این عملکرد استفاده کند ، می توانیم بگوییم که ویروس وجود دارد.

  • base64_decode- توابع رمزگذاری را می توان همراه با eval برای مخفی کردن کد مخرب استفاده کرد ، اما می توان از آنها برای اهداف مسالمت آمیز نیز استفاده کرد ، بنابراین مراقب باشید.
  • sha1- روش دیگری برای رمزگذاری کد مخرب ؛
  • gzinflate- عملکرد فشرده سازی ، اهداف مشابه ، همراه با eval ، به عنوان مثال gzinflate (base64_decode (کد) ؛
  • strrev- رشته را به عقب برمی گرداند نه در جلو ، زیرا می توان از گزینه ای برای رمزنگاری اولیه استفاده کرد.
  • چاپ- خروجی اطلاعات به مرورگر ، همراه با gzinflate یا base64_decode خطرناک است ؛
  • file_put_contents- خود وردپرس یا افزونه ها هنوز هم می توانند فایل هایی را در سیستم فایل ایجاد کنند ، اما اگر موضوع این کار را انجام می دهد ، باید مراقب خود باشید و بررسی کنید که چرا به آن نیاز دارد ، بنابراین ویروس ها قابل نصب هستند.
  • file_get_contents- در بیشتر موارد برای اهداف صلح آمیز استفاده می شود ، اما می تواند برای بارگیری کد مخرب یا خواندن اطلاعات از پرونده ها استفاده شود.
  • حلقه- همان داستان ؛
  • باز کردن- یک فایل برای نوشتن باز می کند ، شما هرگز نمی دانید چرا ؛
  • سیستم- عملکرد یک فرمان را بر روی سیستم لینوکس اجرا می کند ، اگر توسط یک موضوع ، افزونه یا خود wordpress انجام شود ، به احتمال زیاد ویروسی وجود دارد.
  • پیوند symlink- ایجاد پیوندهای نمادین در سیستم ، ممکن است ویروس سعی کند سیستم فایل اصلی را از خارج قابل دسترسی کند.
  • کپی 🀄- کپی یک فایل از مکانی به مکان دیگر ؛
  • getcwd- نام فهرست فعلی کار را برمی گرداند.
  • cwd- پوشه فعلی کار را تغییر می دهد ؛
  • ini_get- اطلاعات مربوط به تنظیمات PHP را اغلب برای اهداف مسالمت آمیز دریافت می کند ، اما هرگز نمی دانید.
  • گزارش خطا (0)- خروجی پیام های خطا را غیرفعال می کند.
  • window.top.location.href- عملکرد جاوا اسکریپت برای هدایت به صفحات دیگر استفاده می شود.
  • هک شده- بنابراین ، در هر صورت ، ما چک می کنیم ، ناگهان خود هکر تصمیم گرفت به ما بگوید.

شما می توانید تک تک کلمات را در یک دستور مانند این جایگزین کنید:

grep -R "هک" شد / var / www / path / to / files / wordpress / wp -content /

از طرف دیگر ، از یک اسکریپت ساده استفاده کنید که همه کلمات را همزمان جستجو کند:

ارزش = "base64_decode (
eval (code64_decode
gzinflate (base64_decode (
getcwd ()؛
strrev (
chr (ord (
cwd
ini_get
window.top.location.href
کپی 🀄 (
ارزشیابی (
سیستم (
پیوند syml (
گزارش خطا (0)
چاپ
file_get_contents (
file_put_contents (
باز کردن (
هک شده "

cd / var / www / path / to / files / wordpress / wp-content /
$ fgrep -nr -شامل \ *. php "$ values" *