检测wordpress网站模板主题是否含有恶意代码

现在网上很多的 主题都含有恶意代码,这些恶意代码要么含有后门,要么会直接窃取你的信息,甚至有的还有感染功能,一个带恶意代码的主题被启用,网站所有的主题都会被感染上,删干净非常麻烦。 这些垃圾代码大多来自一些所谓的破解付费 wordpress主题 ,在一
现在网上很多的 主题都含有恶意代码,这些恶意代码要么含有后门,要么会直接窃取你的信息,甚至有的还有感染功能,一个带恶意代码的主题被启用,网站所有的主题都会被感染上,删干净非常麻烦。
这些垃圾代码大多来自一些所谓的破解付费wordpress主题,在一些下载网站(比如网盘)分享,因为借着高权重网站分享,排名很容易在前,让人随手就下载到。
一般主题作者都不会主动在自己的主题里添加垃圾代码,因为这无疑是砸自己的招牌,得不偿失,所以,最好在知名的主题下载网站或者作者的博客上下载主题,比较安全。
但是,即使遵循上边的做法,也不能保证主题一定就是安全的。下载好主题最好检测一下再使用,对于普通小白来说,检测主题是否安全实在是不可能,即使对于高手来说,如果代码藏得深也很麻烦。
考虑到这里,有个大神开发了一个主题安全性一键检测插件 Theme Authenticity Checker(简称 TAC),可以帮助你一键检测主题是否安全、是否含有恶意代码。
Theme Authenticity Checker
安装并启用 Theme Authenticity Checker 插件,进入后台的 “外观” → “TAC”。
这里就可以看到所有主题的安全情况了,提示 “Theme OK!” 证明是安全的。
不安全的主题则会有一个红色的提示框告诉你 “Encrypted Code Found!”。
不安全的文件还可以一键使用编辑器打开,方便你修改。
误报
这个插件误报情况比较严重,因为机器现在还不能像人一样智能。
比如我的主题使用了 base64 作为后台设置的导入导出代码的加密方法,然而用 base64 相关的函数在 Theme Authenticity Checker 插件看来是不安全的。
本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

上一篇、下一篇文章代码: ?php previous_post_link(%link,) ??php next_post_link(%link,) ? 该代码解析出来的代码大概如下: a href= rel=external nofollow rel=external nofollow /aa href= rel=external nofollow rel=external nofollow /a 通过 get_pr
WordPress目前在最近的版本中为所有需要新窗口打开的链接都自动添加了新的 noopener noreferrer 属性。noopener noreferrer 属性并不是新发布的标准,但 WordPress 4.7.4 版开始的编辑器默认都会添加该属性。新窗口打开超链接的属性 target=_blank 增加 rel=
NAS已经把玩差不多半个月了,基本的download,DLNA,都已搞定。因为一直都是博客的忠实支持者,所以必须把自己的博客也搬到NAS上,老是跟大家都混在新浪上岂不是很没面子。于是开始购入域名,研究DDNS,找博客平台。很快锁定wordpress,看了别人建站效果,感
尊敬的百度站长平台用户您好: 百度搜索自推出MIP移动网页加速器以来反响良好,截至目前超过10.2亿个页面完成MIP化改造。 为了降低站点MIP改造难度,在MIP技术研究小组的辛勤工作下,wordpress、帝国CMS、织梦DEDECMS标准模板已编写完成供大家使用,欢迎大家
WordPress全站伪静态应该怎么做?主机的操作系统不同,设置方法也不同: 一、linux主机下的WordPress全站伪静态设置起来比较容易,只需要在WP的后台设置固定链接更改为自定义格式:/%post_id%.html 设置更改后,文章的网址就会变成形如:http://www.XXX.com/
帝国网站管理系统的代码严谨,默认配置就很安全,本文将介绍如何使您的系统安全设置达到最优化: 首先我们来认识一下帝国CMS安全认证特性: 帝国登录六重安全验证: 第一重:密码采用三重MD5+多重SALT加密,超强加密,密码不可破解,假如数据库被下载,也无