检测WordPress主题是否含有恶意代码的方法

2019年08月20日15:53:33 发表评论 热度749 ℃

现在网上很多的 WordPress 主题都含有恶意代码,这些恶意代码要么含有后门,要么会直接窃取你的信息,甚至有的还有感染功能,一个带恶意代码的主题被启用,网站所有的主题都会被感染上,删干净非常麻烦。这些垃圾代码大多来自一些所谓的破解付费主题,在一些下载网站(比如网盘)分享,因为借着高权重网站分享,排名很容易在前,让人随手就能下载到。

一般主题作者都不会主动在自己的主题里添加垃圾代码,因为这无疑是砸自己的招牌,得不偿失,所以,最好在知名的主题下载网站或者作者的官方博客上下载主题,比较安全

但是,即使遵循上述的做法,也不能保证主题一定就是安全的。下载主题之后最好检测一下再使用,对于普通小白来说,检测主题是否安全实在是不可能,即使对于高手来说,如果代码藏得深也很麻烦。

考虑到这里,有个大神开发了一个wordpress主题安全性一键检测插件 Theme Authenticity Checker(简称 TAC),可以帮助你一键检测主题是否安全、是否含有恶意代码。

wordpress插件:Theme Authenticity Checker

安装并启用 Theme Authenticity Checker 插件,进入后台的 “外观” → “TAC”。

检测WordPress主题是否含有恶意代码的方法

这里就可以看到所有主题的安全情况了,提示 “Theme OK!” 证明是安全的。

不安全的主题则会有一个红色的提示框告诉你 “Encrypted Code Found!”。

检测WordPress主题是否含有恶意代码的方法

不安全的文件还可以一键使用编辑器打开,方便你修改。

误报

这个插件误报情况比较严重,因为机器现在还不能像人一样智能。

比如有些主题使用了 base64 作为后台设置的导入导出代码的加密方法,然而用 base64 相关的函数在 Theme Authenticity Checker 插件看来是不安全的。

插件主页:https://wordpress.org/plugins/tac/

插件安装:后台/插件/安装插件/搜索:Theme Authenticity Checker(直接搜索TAC更好!)

瓜皮猪

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: