我还记得2008年我第一次发现WordPress时的兴奋之情(我知道这是一个后来者)。让我印象特别深刻的是,我可以用最小的努力来改变我的WordPress网站的设计。于是,寻找完美主题的工作开始了!
据我所知,当时并没有那么多付费/付费主题。说实话,我甚至都没有考虑到为主题付费的可能性(因为手头有点紧),所以默认情况下我只能选择免费主题。有一段时间一切都很好。
我的测试地点个人博客运行得很好,直到有一天,我注意到页脚上有一些奇怪的链接。这些不寻常的链接不仅指向主题创作者的网站,还指向一些有问题的网站,这些网站的锚文本包括“发薪日贷款”、“廉价房屋保险”、“搜索引擎优化服务等等。没问题,我想,移除这些只需要一分钟。但是,令我惊讶的是,这些链接既不在主题的Widgets屏幕上,也不在主题源代码的任何地方。
我用源代码编辑器批量搜索了所有主题文件,寻找那些锚文本。我甚至用SQL语句查看了数据库选择声明。什么都没有。
那么,这些联系是如何不被发现的呢?事实证明,这是我第一次在WordPress主题中遇到加密代码的故事。
不可靠的WordPress主题实践
加密代码只是谜题的一部分;还有其他令人不快的WordPress主题开发实践。
指向可疑网站的静态链接
WordPress主题中并不是所有的静态链接(或嵌入式链接)都不好。很多时候,它们只是确认主题开发者的链接。
只要链接是体面的,并且假定主题用户被告知链接将显示在他们的站点上,那么它们可能是正确的。然而,在某些情况下,他们可能会去垃圾网站。当链接开始指向赌场网站、在线药店或一些可疑的商业产品时,所有这些都是在网站所有者不知情的情况下进行的,那么情况就不同了。
搜索引擎不会乐意发现你的网站链接到互联网的黑暗面,他们可能会因此惩罚你,即使你是一个不知情的参与者。
Theme-locking
一些WordPress主题中的链接和代码块是用JavaScript和/或PHP“锁定”的。删除这些链接或代码块将使整个WordPress站点变成空白,取而代之的是一条消息,告诉你需要把链接/代码块放回原位,才能从你的网站上删除这条消息。
加密代码
加密代码是WordPress社区中的一个术语,指的是故意对主题用户进行混淆的代码片段。加密代码的目的是隐藏主题源代码的一部分,并使这些部分难以删除。
加密代码可以做很多事情,比如生成到第三方网站的链接和干扰用户体验。
为什么会发生这些事情
有些公司特意在WordPress主题中加入有害元素。他们为什么要这么做?你可能会问。因为WordPress主题是一个很棒的在线营销工具。
主题市场每年都在增长。据报道18.9%所有的网站都是用WordPress建立的。而且,在某一时刻,所有的网站所有者都会出去寻找好的主题。
有些人利用这个机会的方法是创建一个漂亮的WordPress主题,然后在主题中包含隐藏的链接和模糊的代码。想象一下,如果他们甚至有几百个域名安装他们的主题,他们的影响力会是什么样子。
如何确保你使用的主题值得信赖
如果你正在考虑使用一个新的WordPress主题,下面的一些步骤可以帮助你远离麻烦。当然,第一个最佳选择是使用从有信誉的来源获得的主题,并由值得信赖的主题开发人员创建,这两种方法都可以显著减少这些可疑做法的潜在使用。
尽管您的候选主题名声不好,但执行这些步骤也无妨。
步骤1:安装主题检查插件
通过查看每个主题的文件,手工调查每个主题是很有可能的。但是用一个值得信赖的插件这样做要快得多,而且可能更彻底。这一步需要两个插件。
- TAC扫描所有已安装的WordPress主题以寻找潜在的恶意代码。
- Theme-Check测试你的主题是否符合最新的WordPress标准和最佳实践。
步骤2:测试主题的加密代码
在激活WordPress主题之前,您应该首先在安全的开发环境中测试它。
其中一个环境是在你的电脑上.但是,如果您没有时间这样做,只要在运行测试之前不激活主题,应该仍然没问题。要查看TAC插件对您的新主题的说明,在WordPress管理界面,请转到外观> TAC.
向下滚动到您的主题,查看是否有任何问题。
如果TAC说一切正常(并且您正在使用来自可信来源的主题),那么很可能就是这样。但是,如果它表明存在任何加密代码,则需要谨慎。
建议永远不要使用包含加密代码的主题。这样做的主要原因是您完全无法控制加密代码块中的内容。它可以是任何东西:第三方脚本、数据挖掘、广告、链接构建方案等等。
一些与加密代码相关的PHP和JavaScript函数旨在帮助开发人员执行困难但无害的过程,例如数据编码转换或解析。但是在错误的人手中,在WordPress主题开发的环境中,它们经常被用来隐藏可疑的源代码。如果您想自己进行一些搜索,可以使用notepad++这样的文本编辑器批量搜索主题文件。
查找关键字“base64_decode”。的base64_decode ()函数,以及eval ()函数,通常用于执行加密代码。例如,如果你发现的加密代码看起来像这样(只是一个例子,不是真正的代码),请远离:
o =美元“eHQvamF2YXNjcmlwdCI + PC9zY3JpcHQ +”;eval (base64_decode(“PHNjcmlwdCBzcmM9Ii8vYS1zaGFkeS1zaXRlLmNvbS9qcy9zcGFtbGlua3MuanMiIHR5cGU9InRl”。o)美元);
步骤3:评估所有静态链接
当TAC无意中发现主题中的任何静态链接时,它也会通知您。
当你点击细节按钮,您将看到发生这些链接的确切文件和行。
静态链接在免费的WordPress主题中很常见,而且它们并不坏。例如,有些主题需要属性。
你应该做的第一件事是决定你是否同意这些链接出现在你的网站上。最后,如果你对任何链接都不满意,你就不应该使用主题。当涉及到静态链接时,大多数时候聚会都在进行中footer。php文件。
例如,我在为这篇文章做研究时检查的主题链接指向一个名为“Botox Tel Aviv”的网站,锚文本完全由非拉丁字符组成:
出于测试目的,您可以检查删除嵌入链接时会发生什么。有时,您会发现整个站点将因为此操作而停止工作。这正是发生在我的试验点上的情况;当我删除链接时,网站停止工作,内容被以下信息所取代:
如果你想研究更多,这就是另一个插件Theme-Check发挥作用的地方。
去外观>主题检查对主题进行测试。最有可能的是,插件会报告很多东西,所以你必须浏览一段时间才能找到可能导致问题的原因。的第124行中找到的说明显然也文件是罪魁祸首:
结论
这个故事的寓意是你应该仔细选择WordPress主题。
在使用任何主题之前,最好对其进行一些研究和测试。
