Kontrola tématu. Jak odstranit virus nebo škodlivý kód z WordPressu? Zkontrolujte téma wordpress

Než přijdete na to, jak vyčistit web WordPress, musíte pochopit, s čím se ve skutečnosti budeme zabývat. V širokém slova smyslu se termín "virus" týká škodlivého software, schopné způsobit tu či onu škodu vlastníkovi webového zdroje. Tato kategorie tedy zahrnuje téměř jakýkoli kód vložený kyberzločinci do motorových skriptů. Mohou to být skryté odkazy vedoucí k pesimizaci ve výsledcích vyhledávání, zadní vrátka, která poskytují hackerovi přístup pro správce, nebo složité struktury, které promění web v zombie síťový uzel, a dokonce i těžař bitcoinů. Povíme si, jak identifikovat a eliminovat viry různého kalibru a také jak se jim bránit.

Mnoho tipů zmíněných v předchozích článcích může zabránit infekci vašeho webu. Například „infekci“ lze nalézt v pirátských šablonách a pluginech, úplné odmítnutí takových komponent je důležitým krokem z hlediska bezpečnosti. Existuje však řada specifičtějších nuancí.

1. Nainstalujte si spolehlivý antivirus

Škodlivý program může být zaveden nejen zvenčí – zdrojem infekce může být klidně i počítač, ze kterého je projekt spravován. Moderní trojské koně dokážou nejen ukrást heslo FTP, ale také si sami stáhnout spustitelný kód nebo jej upravit soubory CMS, což znamená, že bezpečnost webového zdroje přímo závisí na zabezpečení vašeho pracovního stroje.

IT trh nabízí řadu antivirových řešení. Nejchytřejší volbou jsou však produkty velkých společností:
● Mezi domácími zaujímají přední místa návrhy Kaspersky Lab a Dr. Web.
● Ze zahraničních komerčních řešení lze vyzdvihnout řadu Norton od korporace Symantek a oblíbený ESET NOD;
● Pokud mluvíme o bezplatné možnosti, pak zde bezpodmínečně vede Avast a Comodo.

2. Procházejte web pomocí online služeb

Když je detekována podezřelá aktivita (chyby motoru, brzdy, vyskakovací okna a bannery třetích stran), nejjednodušší věc, kterou můžete myslet, je spustit zdroj prostřednictvím online skeneru, který dokáže určit skutečnost infekce. Nesporným lídrem je zde VirusTotal se sídlem na virustotal.com. Chcete-li jej použít, přejděte na kartu "URL", vložte odkaz, který vás zajímá, a klikněte na tlačítko "Zkontrolovat!"

Po chvíli systém vydá zprávu s následujícím obsahem:

Je třeba upřesnit: VirusTotal není nezávislý projekt, ale jakýsi agregátor antivirových skenerů. V tomto ohledu je možné skenovat WordPress na viry současně na 67 systémech. Nespornou výhodou je podrobný report, který poskytuje data o všech podporovaných službách. Koneckonců, antiviry mají velmi rády falešné poplachy, takže i když se míra detekce liší od ideální (například 3/64), neznamená to, že je zdroj infikován. Zaměřte se především na velké hráče (Kaspersky, McAfee, Symantec NOD32 a další), malé kanceláře často identifikují určité části kódu jako nebezpečné – neberte to vážně!

3. Použijte Yandex.Webmaster

Pravděpodobně jste si všimli, že některé odkazy ve výsledcích vyhledávání jsou opatřeny varovnou zprávou: „Stránky mohou ohrozit váš počítač nebo mobilní zařízení“. Faktem je, že vyhledávač má své vlastní detekční algoritmy. Škodlivý kód upozornit uživatele na možná rizika. Abyste věděli, co se děje a byli první, kdo bude dostávat upozornění, stačí se zaregistrovat ve službě Webmaster. Všechny potřebné informace si můžete prohlédnout na záložce „Zabezpečení“:

Pokud je detekována hrozba, zobrazí se zde informace o infikovaných stránkách. Selektivní skenování WordPressu na viry je bohužel nemožné - Yandex kontroluje sám sebe a kromě toho nejsou ve vzorku zahrnuty všechny nahrané webové dokumenty, ale pouze část z nich, určená náhodně.

4. Zkontrolujte přehledy Google

Nejpopulárnější vyhledávací systém na světě nabízí ještě jednodušší způsob monitorování – stačí přejít na odkaz google.com/transparencyreport/safebrowsing/diagnostic/?hl=ru a zadat adresu místa zájmu do příslušného pole. Obdržíte komplexní údaje o zdroji a uvidíte, zda má společnost Google nějaké nároky, pokud jde o detekci škodlivých skriptů:

Jak vyčistit web Vodpress od virálních odkazů?

Pojďme od obecných doporučení ke konkrétním. Začněme běžnými variantami škodlivého kódu – vkládání cizích adres URL a přesměrování na cílový webový zdroj. Bohužel, černý CEO je stále populární, což znamená, že hackeři nesedí nečinně, protože tento úkol je jedním z nejjednodušších. Pojďme to seřadit po pořádku.

1. Přesměrujte na zdroje třetích stran

Představte si situaci: jdete na svou vlastní webovou stránku, ale okamžitě jste převedeni na další katalog „volného času“ nebo na vstupní stránku nabízející vydělávání peněz na Forexu. To téměř jistě znamená, že webový zdroj byl hacknut a v .htaccess se objevilo několik nových řádků. Léčba je jednoduchá: otevřete soubor, najděte direktivy obsahující adresu, na kterou přesměrování směřuje, a poté je smažte. Takže pro podmíněný malwaresite.com mohou být požadované konstrukce následující:

< IfModule mod_alias. c>Přesměrování 301 https: // stránky / http://malwaresite.com/

< IfModule mod_rewrite. c>RewriteEngine On RewriteBase / RewriteCond% (HTTP_HOST)! ^ tekseo \. su [NC] RewriteRule ^ (. *) http: //malwaresite.com/$1

RewriteEngine On RewriteBase / RewriteCond% (HTTP_HOST)! ^ Tekseo \ .su RewriteRule ^ (. *) Http://malwaresite.com/$1

Sofistikovanější možností je trvalé přesměrování napsané v PHP. Pokud jste zkontrolovali a nenašli nic podezřelého, problém je s největší pravděpodobností v souboru index.php. Přesměrování se zde provádí odesláním požadovaných hlaviček návštěvníkovi:

include ("redirect.php"); exit ();

Pamatujte - v původním index.php žádné takové fragmenty nejsou, takže je můžete bezpečně všechny smazat. Také najděte a odstraňte soubor include (v našem příkladu to bude redirect.php umístěný v kořenové složce).

Chytřejším krokem je přesměrování pro mobilní gadgety. Přístup ke zdroji pomocí osobní počítač, fakt infekce nikdy neodhalíte, nicméně uživatelé chytrých telefonů a tabletů budou nepříjemně překvapeni, když se dostanou na jinou stránku. Takové přesměrování lze implementovat:

1. .htaccess
Nejjednodušší způsob, který se snadno spočítá. Zařízení je určeno předloženým User Agent... Může to vypadat takto:

< IfModule mod_rewrite. c>RewriteEngine na RewriteBase / RewriteCond% (HTTP_USER_AGENT) ^. * (Ipod | iphone | android). * [NC] RewriteRule ^ (. *) $ Http: //malwaresite.com/

RewriteEngine na RewriteBase / RewriteCond% (HTTP_USER_AGENT) ^. * (Ipod | iphone | android). * RewriteRule ^ (. *) $ Http://malwaresite.com/

2. PHP
Podobně je v PHP implementováno přesměrování. Níže uvedený konstrukt lze nalézt v indexovém souboru. Opět nezapomeňte na všudypřítomné zahrnuje:

3. JavaScript
Zde se kontroluje rozlišení obrazovky, pokud je šířka 480 pixelů nebo méně, je návštěvník přesměrován na škodlivý web. Pokud váš projekt používá podobnou metodu, nezapomeňte zkontrolovat tento blok, zda nedošlo ke změně adresy.

< script type= "text/javascript" >if (screen. width<= 480 ) { window. location = "http://malwaresite.com" ; }

2. Kontrola odchozích odkazů

Přesměrování je však příliš hrubé a explicitní. Mnohem běžnější je najít vložení URL skryté pomocí CSS a dalších metod. S tím, co nevidíte, je prakticky zbytečné bojovat. K hodnocení svého odkazového profilu WordPress však můžete použít úžasný nástroj Xenu Link Sleuth. Nejnovější verze programu byla vydána v roce 2010, přesto je aktuální dodnes a funguje skvěle i pod Windows 10.

S nainstalovaným a spuštěným Xenu klikněte na Soubor – Zkontrolovat URL. Uvidíte okno:

Zde stačí zadat doménu projektu a kliknout na OK. Je také možné přidat filtry podle masky:
● Považujte adresy URL začínající tímto za „interní“ – adresy URL obsahující daný fragment považujte za interní;
● Nekontrolovat žádné URL začínající tímto – umožňuje vyloučit určité odkazy z kontroly (např. pokud chcete vidět pouze odchozí odkazy, zadejte zde doménu webu).

Po dokončení postupu nástroj nabídne kontrolu WordPressu na přítomnost takzvaných sirotčích souborů – webových dokumentů, ke kterým neexistuje jediná URL.

Pokud odpovíte kladně, objeví se okno pro zadání údajů pro FTP autorizaci:

Tato funkce může být užitečná, pokud je stránka stará a za dobu své existence prošla mnoha změnami: můžete ji použít k vymazání adresářů z „odpadků“. Nás však více zajímají výsledky skenování:

Pokud se tedy na WordPressu vyskytují viry, které způsobují zobrazení skrytých adres URL, Xenu pomůže identifikovat skutečnost, že jsou přítomny. Jedinou otázkou je, jak postupovat.

3. Hledejte a ničte

Představte si, že Xenu našel aktivní odkazy na podmíněnou malwaresite.com. Jak je mohu najít a odstranit? Někdy je úkol velmi jednoduchý. Neprofesionálové jednají hrubě, omezují se na skrytí URL před zvědavýma očima, ale samotná adresa může být výslovně zapsána v kódu. Jsou možné následující možnosti:
1. Umístění adresy URL do zápatí namísto autorských práv;
2. Použití výše popsaných osiřelých souborů (např. html dokument se načte do adresáře s obrázky – vyhledávače jej mohou také indexovat);
3. Manipulace s kaskádovými styly:
● odsazení textu: -9999999999px / pozice: absolutní; vlevo: -9999999999px - přesunout odkaz mimo displej;
● zobrazení: žádné / viditelnost: skryté - zneviditelní text;
● velikost písma: 1px; – jednopixelové adresy URL, které nelze zobrazit.

Chcete-li najít a odstranit virus z webu WordPress, vše, co musíte udělat, je prohledat celý engine, zda neobsahuje řádek obsahující „malware.com“. V systému Windows to lze provést pomocí bezplatného správce souborů Unreal Commander:

1. Stáhněte si všechny soubory projektu do místní složky ve vašem počítači pomocí FileZilla, jak je popsáno v předchozím článku;
2. Spusťte Unreal Commander a kliknutím na ikonu dalekohledu přejděte do vyhledávacího rozhraní;

3. Vyberte požadovanou složku, zaškrtněte políčko „S textem“, zadejte „malwaresite.com“, zadejte všechna kódování a klikněte na „Zahájit vyhledávání“.

Výsledkem bude seznam souborů, ve kterých byla fráze nalezena. Nyní je zbývá upravit odstraněním řádků kódu odpovědných za zobrazení odkazu.

Použití PHP Antivirus pro WordPress

Výše popsané případy jsou jen špičkou ledovce. Profesionální hacker dokáže najít nestandardní přístup i k tak jednoduchému úkolu, jako je umístění skrytého zpětného odkazu. Bez pomoci příslušného softwaru zpravidla sami nic nenajdete. Naštěstí existují taková řešení a mnoho z nich je také zdarma. Pojďme se podívat na ty nejúčinnější.

1. Ai-Bolit

Pravděpodobně nejoblíbenější antivirový produkt od Revisium. K dispozici ve dvou verzích: pro práci přímo na hostingu a místním počítači se systémem Windows (kompatibilní s 10, nevyžaduje instalaci). Verze * nix bohužel nemá webové rozhraní a je vhodná pouze pro VDS nebo Dedicated server, proto si rozebereme, jak s nástrojem pracovat na PC.

1. Stáhněte si nástroj z odkazu revisium.com/kb/scan_site_windows.html a rozbalte jej na libovolné vhodné místo ve vašem počítači. Upozornění: cesta k adresáři by neměla obsahovat ruská písmena, takže nejjednodušší je umístit ji do kořenového adresáře disku;
2. Uvnitř archivu uvidíte následující: složku se samotným antivirem „aibolit“, „site“ (zde musíte zkopírovat naskenované webové dokumenty, budou skenovány všechny, bez ohledu na úroveň vnoření), také jako tři bat soubory:
● start - pro rychlou kontrolu;
● start_paranoic – hloubkové skenování k identifikaci všech podezřelých fragmentů kódu;
● scan_and_quarantine - skript umístí všechny nebezpečné soubory do archivu.
3. Chcete-li začít, poklepejte na kterýkoli z poskytnutých souborů bat, podle toho, jaký výsledek chcete získat. Spustí se skenování, podle jehož výsledků se vygeneruje sestava AI-BOLIT-REPORT.html (lze zobrazit v libovolném prohlížeči). V režimu karantény bude archivován s podezřelými skripty

Samozřejmě ve skutečnosti neexistuje žádný malware. A jak můžete vidět na snímku obrazovky, sami vývojáři varují před pravděpodobností chyb.

2. Manul

Kromě monitorování zve Yandex všechny k použití bezplatného proprietárního antivirového řešení. Nástroj Manul napsaný v PHP lze spustit téměř na jakémkoli webovém serveru a je kompatibilní s většinou populárních CMS. Skript navíc dokáže nebezpečný kód nejen detekovat, ale také odstranit. Níže je uveden podrobný průvodce pro detekci a léčbu virů.

1. Stáhněte si program na https://download.cdn.yandex.net/manul/manul.zip;
2. Rozbalte archiv do kořenového adresáře vašeho webu;
3. Následujte odkaz site_name / manul / index..php);
4. Vymyslete heslo. Skript má vážné bezpečnostní požadavky: přístupová fráze musí mít alespoň 8 znaků, obsahovat velká písmena, čísla a speciální znaky.
5. Nyní můžete zahájit skenování kliknutím na stejnojmenné tlačítko. Skript lze také přizpůsobit nastavením intervalu požadavku. Čím větší je tato hodnota (v sekundách), tím déle bude kontrola trvat. Koeficient lze nastavit na nulu, ale na hostingu s nízkou spotřebou to může vést k výraznému prodloužení doby odezvy až k nedostupnosti zdroje.
6. Poté se spustí kontrola – kartu nezavírejte, dokud nebude dokončena!
7. Po dokončení skenování se zobrazí okno s tlačítkem pro stažení zprávy. Kliknutím na něj stáhnete scan_log.xml.zip.

8. Na jiné kartě prohlížeče otevřete analyzátor na adrese https://antimalware.github.io/manul/. Klikněte na tlačítko "Nahrát soubor" a odešlete výsledný archiv k ověření.

9. V této fázi přistoupíme přímo k odstranění virů z webu WordPress. Zobrazí se okno, ve kterém můžete vybrat operace s nebezpečnými soubory (v závislosti na stupni ohrožení jsou označeny červenou, žlutou nebo zelenou vlaječkou). Tlačítko "Karanténa" umožňuje archivovat podezřelé soubory a tlačítko "Smazat" - zbavit se jich navždy.

10. Po dokončení požadovaných akcí přejděte na stránku dolů a zkopírujte kód, který se zobrazí v poli „Předpis“

11. Nyní se vraťte na záložku Manul, přejděte do sekce "Léčba", vložte přijatý kód do zobrazeného pole a klikněte na "Provést".

Https: = "" líný = "" líný-skrytý = "">

13. Po dokončení všech postupů se na obrazovce objeví okno protokolu. Můžete si také stáhnout soubory v karanténě, pokud existují

3. Santi

Relativně mladý projekt určený k detekci a likvidaci virů na webu WordPress. Produkt je aktuálně v beta testování a je zdarma, jedinou placenou službou je SMS upozornění majitele na zjištěné hrozby. Kromě samotného monitorovacího modulu nabízí skript spotřebitelům mnoho nástrojů k eliminaci následků kyberzločinců. Ale o nich - později, nejprve se budeme zabývat instalací.

1. Stáhněte si distribuční sadu z oficiální stránky santivi.com. Rozbalte obsah archivu do složky dříve vytvořené na hostingu v kořenovém adresáři, například: / var / www / site / public_html / santi_av

Výše uvedený název je jednoduchý, ale nejlepší je použít náhodnou sekvenci malých latinských písmen a číslic.

2. Přejděte na stránku antiviru. V našem příkladu bude adresa vypadat takto: https: // site / public_html / santi_av

4. Při prvním spuštění musíte nakonfigurovat skript kontrolou automaticky nastavených parametrů a provedením případných úprav. Nezapomeňte také změnit autorizační údaje:

5. Zaregistrujte se na webové stránce produktu, poté vyplňte sekci „Osobní údaje“, zadejte přijaté SANTI ID, e-mailovou adresu a mobilní telefon (nepovinné – potřebné pro zasílání SMS). Následně si na záložce „Informace“ můžete zapnout preferované způsoby upozornění.

6. Na záložce "Files and DB" byste měli zadat informace pro připojení k MySQL a také vybrat metodu pro zálohování souborů webového zdroje. Jsou podporovány následující možnosti:

● vytvoření místní kopie;
● Použití serveru FTP;
● Yagdeks.Disk;
● Google.Drive;
● Dropbox.

7. Po dokončení výše uvedených manipulací klikněte na tlačítko "Dokončit". Pokud vše proběhlo v pořádku, na obrazovce se objeví následující:

Nastavení můžete změnit ve stejnojmenné části programu.

Santi má intuitivní rozhraní a obsahuje vše, co potřebujete k efektivnímu odstranění virů z vašeho webu WordPress. Nástroje jsou rozděleny do tematických sekcí. Podívejme se na každý z nich:

1. Domů.

Zde najdete nejdůležitější informace o stavu ochrany. V části oznámení můžete vydávat příkazy o akcích, které mají být provedeny s detekovanými hrozbami.

2. Autopilot

Umožňuje přizpůsobit akce prováděné skriptem v automatickém režimu. Mezi nimi:
● File Monitor – kontroluje integritu webových dokumentů, s výjimkou dynamických (logy přístupu, chyby atd.). Kontroluje datum úpravy, součet hash, vzhled nových adresářů a souborů.
● Database Monitoring – zaznamenává podezřelou aktivitu v MySQL.
● Zálohování – kompletně archivuje web v pravidelných intervalech a ukládá kopii na server nebo do cloudového úložiště. Parametry můžete konfigurovat pomocí příslušného nástroje v sekci "Utilities" (je zde možnost selektivního výběru adresářů a souborů). Výsledkem je, že obdržíte archiv ve specifickém formátu .sabu – zpracovat jej může pouze Santi, stejně jako proprietární PC program pro Windows.
● Skenování webových stránek očima vyhledávačů – využívá informace od Yandex a Google o hrozbách zjištěných na zdroji.
● Skenování webových stránek očima desktopových antivirů – skenování na základě signatur poskytovaných největšími společnostmi vyvíjejícími řešení v oblasti kybernetické bezpečnosti pro PC.

3. Utility.

Zde je sada pomocných nástrojů navržených tak, aby vám pomohly udržovat vaše stránky a udržovat je v bezpečí. Podívejme se na to nejzajímavější:
● Vyhledávání podle data. Bude se hodit, pokud je přibližně známá doba infekce. Pomocí filtrů můžete nastavit časový rozsah a také vypsat přípony souborů a určit, jak je zpracovat (vyloučit z vyhledávání nebo kontroly).
● Configurator.ftpaccess. Používá se ke konfiguraci FTP serverů založených na ProFTPD a Pure-FTP.
● Odstranění škodlivých vložek. Bude se hodit, pokud je váš WordPress web napaden virem a jeho kód bezpečně znáte. Můžete zadat začátek a konec nebezpečného fragmentu, uvést typy souborů, které je třeba zpracovat / vyloučit, oddělit je čárkami a vybrat akci „vyhledat“ nebo „vyhledat a ošetřit“. V druhém případě bude zadaná sekvence po detekci automaticky odstraněna.
● Editor souborů. Podporovaná práce v několika kódováních, číslování řádků, zvýraznění elementární syntaxe.

Specializované avtiviry pro WordPress

Kromě výše uvedeného existují úžeji zaměřená řešení vyrobená formou pluginů pro CMS. Pojďme analyzovat ty nejúčinnější.

1. Antivirus

Jak zkontrolovat šablony WordPress na viry? Odpověď spočívá v malém modulu s extrémně nekomplikovaným názvem a velmi asketickým rozhraním. Okno nastavení nás zve ke spuštění ruční kontroly malwaru nebo povolení automatického sledování projektu (Zkontrolujte, zda šablony motivů neobsahují malware). Druhé zaškrtávací políčko umožňuje propojit databáze Bezpečného prohlížení Google. Je také možné zadat e-mailovou adresu – v tomto případě vám budou zprávy zasílány na váš e-mail.

Pokud kliknete na tlačítko „Skenovat šablony motivů nyní“, budou okamžitě naskenovány všechny šablony nainstalované v systému. Objeví se stránka:

Nástroj zvýrazní podezřelé fragmenty červeným rámečkem. Samozřejmě jsou možné i falešné poplachy – v tomto případě AntiVirus přidělil blok kódu, který je zodpovědný za zákaz zobrazování zpráv o chybné autorizaci. V takových případech stačí kliknout na tlačítko „Neexistuje žádný virus“.

2. TAC

Dalším vysoce cíleným modulem je Kontrola autenticity tématu. Po instalaci se objeví v sekci "Vzhled" na panelu administrátora. Zde není potřeba nic konfigurovat a spouštět – plugin provede plně automatickou kontrolu a vydá závěr bez jakýchkoli podrobností:

3. Quttera

Pokročilejší modul, který skenuje celý motor. K dispozici jsou dva typy ověření: externí – pomocí online služby:

a interní – pomocí skriptu samotného pluginu. Chcete-li je spustit, stačí kliknout na tlačítko "Skenovat nyní".

Výsledkem kontroly bude následující zpráva:

Jak vidíte, antivirus rozděluje všechny nalezené soubory na potenciálně nebezpečné, podezřelé a škodlivé. Tato klasifikace je do značné míry svévolná – stejně jako její protějšky má Quttera tendenci vyvolávat falešné poplachy. Nejlépe je umístit plugin na známý čistý web a spustit primární monitoring, podle jehož výsledků budou všechny „odmítnuté“ soubory přidány na whitelist. Chcete-li to provést, přejděte na kartu „Detected Threats“ a klikněte na „WhiteList File“ pod každým upozorněním.

4. Zabezpečení Sucuri

Tento plugin je nejpokročilejší ze specializovaných. Mezi nevýhody patří povinná registrace na oficiálním vývojářském zdroji a získání API klíče, jinak bude funkčnost omezena. Odpovídající varování se objeví ihned po aktivaci.

Kliknutím na tlačítko se zobrazí následující okno:

Název domény a e-mail správce jsou určeny automaticky, ale e-mail lze změnit. Zaškrtávací políčko DNS Lookups by mělo být zaškrtnuté pouze v případě, že používáte CloudProxy.

Než přijdete na to, jak chránit WordPress před viry, musíte rozšíření správně nakonfigurovat v sekci Nastavení. Zde uvidíte několik záložek najednou. V Obecné můžete nastavit hlavní parametry:
● Plugin API Key – umožňuje zadat API klíč;
● Cesta úložiště dat – označuje cestu k adresáři, kam Sucuri Security ukládá protokoly, seznam naskenovaných souborů a další servisní informace (ve výchozím nastavení - / uploads / sucuri;
● Reverse Proxy a IP Address a IP Address Discoverer – aktivujte, pokud jsou připojeny externí proxy služby nebo firewall;
● Failed Login Password Collector – umožňuje sledování neúspěšných pokusů o přihlášení na stránce;
● Monitor komentářů uživatelů – kontrola obsahu komentářů přidaných uživateli. Pomáhá chránit před spamem a škodlivými vložkami;
● XML HTTP Request Monitor – filtruje požadavky Ajax, může negativně ovlivnit dobu odezvy webu;
● Audit Log Statistics - zobrazení statistik událostí, zde lze nastavit počet analyzovaných záznamů (standardně - 500);
● Datum a čas – umožňuje změnit čas a datum, pokud jsou definovány nesprávně;
● Obnovit možnosti – obnoví výchozí nastavení (užitečné, pokud po instalaci pluginu začnete mít problémy s výkonem stránky nebo s prací skriptů, ale nerozumíte tomu, co je špatně).

Karta „Skener“ vám umožňuje:
● Spusťte vynucené skenování pomocí tlačítka „Fast Scan“;
● Vyberte si jeden ze tří algoritmů (SPL – nejrychlejší, Global – nejpomalejší a nejdůkladnější nebo OpenDir – zlatá střední cesta);
● Nastavte frekvenci kontrol (ve výchozím nastavení - 2krát denně);
● Povolit a spravovat skener souborového systému (FS Scanner);
● Nakonfigurujte analyzátor zpráv a vymažte protokoly.

Na záložce „Upozornění“ můžete zadat e-mailovou adresu pro zasílání upozornění a také nastavit šablonu zprávy výběrem z navržených nebo zadáním vlastní do pole „Vlastní“.

Také zde můžete nastavit frekvenci zasílání dopisů a parametry pro detekci útoků hrubou silou.

Níže je možnost doladit upozornění. Kromě výchozích zaškrtávacích políček se vyplatí aktivovat všechna zaškrtávací políčka související s akcemi uživatele - pomůže to úspěšně zachytit spammery a brutální lesníky.

Vyplatí se také zahrnout všechny položky související se stavem pluginů (označené zástrčkou) a šablon (označené štětcem). Tím se nenačte systém, ale pomůže to identifikovat akce útočníka, který získal přístup k projektu a provedl změny v jeho konfiguraci.

Sekce "Ignorovat skenování" umožňuje zadat adresáře, které není třeba kontrolovat (je třeba zadat absolutní cestu ke složce). Zde stojí za to přidat umístění video a audio souborů: jejich kontrola je zbytečná, zatímco to spotřebuje spoustu serverových zdrojů, což negativně ovlivní výkon.

„Ignorovat upozornění“ vám umožňuje vyloučit z upozornění změny obsahu určitého typu (typy příspěvků).

Záložka "Trust IP" umožňuje nastavit rozsahy IP adres, akce, ze kterých systém nebude registrovat. Je vhodné, když práci s projektem provádí skupina lidí ze stejné podsítě.

„Hearbeat“ pomáhá konfigurovat stejnojmenné API, které se používá pro obousměrnou komunikaci server-prohlížeč. Používá se hlavně v pracovních skupinách, a pokud jste jediným vlastníkem webu, je nejlepší ho úplně zakázat. To odstraní další zranitelnosti a zlepší výkon motoru.

Po provedení všech úprav můžete zahájit skenování v části Kontrola malwaru pomocí odpovídajícího tlačítka:

Kromě samotného skeneru obsahuje Sucury Securyti řadu užitečných nástrojů, které pomáhají chránit WordPress před viry ještě před napadením webu. Všechny jsou shromážděny v sekci Kalení. Uvedu možnosti:
● Ověřit verzi WordPressu – sleduje relevanci jádra enginu a umožňuje spustit vynucenou aktualizaci;
● Ochrana webové stránky Firewallem – připojení CloudProxy (WAF musí být předkonfigurováno na příslušné záložce);
● Odebrat verzi WordPressu – odstraní zobrazení verze CMS;
● Blokovat soubory PHP – blokuje přístup k souborům služeb přes .htaccess (pro Apache) nebo nabízí doporučení pro konfiguraci Nginx;
● Ověřit verzi PHP – zkontroluje aktuální verzi nainstalovaného interpretu;
● Bezpečnostní klíč – upozorní vás, pokud jste zapomněli aktualizovat bezpečnostní klíče ve wp-config.php;
● Únik informací (readme.html) – odstraní soubor Readme obsahující informace potenciálně užitečné pro hackera;
● Výchozí účet správce – kontroluje, zda je pro účet superadministrátora použito přihlašovací jméno správce;
● Plugin & Theme editor – blokuje vestavěný editor šablon jedním kliknutím;
● Předpona databázové tabulky – připomíná nutnost nahradit předponu tabulky MySQL jedinečným, namísto výchozího wp_.

Sekce Post-Hack se hodí poté, co vyčistíte svůj WordPress web od virů. Zde jsou uvedeny tři nástroje:
● Bezpečnostní klíče – umožňuje vytvořit novou sadu bezpečnostních klíčů a nahradit ty narušené;
● Obnovit heslo uživatele - pomůže vám provést hromadný reset hesel registrovaných uživatelů dle vašeho výběru;
● Resetovat pluginy – vrátí všechny nainstalované pluginy zpět na známé bezpečné verze, s výjimkou prémiových doplňků.

Pojďme si to shrnout

Po přečtení článku jste se přesvědčili, že boj proti malwaru není ničím výjimečným. Díky dostupnosti specializovaných řešení může operace jako kontrola WordPress šablony na viry, sledování jádra CMS a čištění webu v případě infekce provádět i neprofesionál. Ale stejně jako v medicíně, ani v IT není klíčem k úspěchu léčba, ale prevence. Pamatujte – hackeři představují hrozbu nejen pro vás a vaše duchovní dítě, ale také pro návštěvníky webu. Často jsou to právě oni, kdo jsou napadeni návštěvou infikovaných stránek. To je plné ztráty toho nejdůležitějšího - důvěry ze strany uživatelů, což nevyhnutelně povede ke ztrátě pravidelných čtenářů, a dokonce i zákazníků. Proto je velmi důležité věnovat se bezpečnostním otázkám co nejdříve a minimalizovat tak pravděpodobnost narušení.

Jedním z nejdůležitějších kroků při tvorbě blogu je výběr kvalitní šablony. Existuje mnoho stránek, bezplatných i placených. Zde však musíte být opatrní, protože existuje vysoká pravděpodobnost získání virů, škodlivých skriptů a skrytých odkazů spolu se souborem.

Ale i když je šablona z hlediska bezpečnosti čistá a její design, použitelnost a funkčnost vám naprosto vyhovují, neznamená to, že je vše v pořádku. Motiv musí mít platný HTML a CSS kód a musí splňovat všechny standardy WordPress CMS. S tím druhým mají problémy i placená témata a šablony na míru.

Vývojáři enginu neustále vyvíjejí a autoři šablon s nimi ne vždy drží krok, při tvorbě využívají zastaralé funkce.

Dnes vám ukážu 2 způsoby, jak zkontrolovat, zda jsou témata WordPress v souladu se standardy. Tyto nástroje se používají při jejich přidávání do oficiálního adresáře https://wordpress.org/themes/

Služba pro kontrolu WordPress témat a šablon Joomla pro dodržování standardů

ThemeCheck.org je bezplatná služba, která vám umožňuje zkontrolovat bezpečnost a kvalitu šablon pro CMS WordPress a Joomla před instalací na web.

Chcete-li téma zkontrolovat, stáhněte si jeho archiv ze svého počítače kliknutím na tlačítko „Vybrat soubor“ na webu themecheck.org. Pokud nechcete, aby byly výsledky skenování uloženy ve službě a zpřístupněny ostatním uživatelům, zaškrtněte políčko „ Zapomeňte nahraná data po výsledcích“. Nyní klikněte na tlačítko "Odeslat".

Například jsem si vzal téma Rozhraní který jsem si stáhl z oficiálních stránek. 99 ze 100 - 0 kritických chyb a 1 varování. To je velmi dobrý výsledek.

V porovnání s tím má šablona blogu skóre 0 (14 chyb a 23 varování). Myslím, že pro mnohé se výsledky nebudou příliš lišit, zvláště pokud jsou témata již zastaralá. Všechny komentáře s vysvětlením, které označují soubory a řádky, kde byly nalezeny, jsou umístěny na stejné stránce níže.

Abych pravdu řekl, moc jsem tomu nerozuměl, spíš by se to hodilo autorům a je pro mě jednodušší změnit šablonu, než vše opravovat. Jen nevím, kdy to udělám.

Domov má velký výběr dříve testovaných webových témat WordPress a Joomla, seřazených podle času přidání nebo hodnocení. Když na ně kliknete, zobrazí se vám podrobné informace a odkazy na web autora a stránku ke stažení.

Pokud jste vývojář a váš motiv je 100% platný, můžete o něm uživatele informovat tím, že na něj nainstalujete speciální odznak hodnocení.

Hodnota služby ThemeCheck.org spočívá v tom, že pomocí ní může každý webmaster vybrat kvalitní téma ještě před instalací na blog.

Plugin pro kontrolu motivu

Kompatibilitu již nainstalované šablony s nejnovějšími standardy WordPress můžete zkontrolovat pomocí pluginu Theme Check. Odkaz ke stažení nejnovější verze: https://wordpress.org/plugins/theme-check/

Funkčnost pluginu je podobná službě, kterou jsem popsal výše. Po standardní instalaci a aktivaci nemusíte provádět žádné úpravy. Postup kontroly:

Přejděte na stránku nabídky "Vzhled" - "Kontrola tématu" na panelu administrátora.
Vyberte požadovaný motiv z rozevíracího seznamu, pokud je jich nainstalováno několik.
Nechcete-li odesílat informace, zaškrtněte políčko „Suppress INFO“.
Klikněte na tlačítko „Zkontrolovat“.

Výsledky se zobrazí na stejné stránce.

Jak vidíte, standardní téma Dvacet deset také není dokonalý, ale např. Dvacet čtrnáct nemá žádné chyby.

Po kontrole lze plugin zakázat, nebo je lepší jej do příště úplně smazat.

Výstup. Před instalací nové WordPress šablony zkontrolujte nejen skryté odkazy a škodlivý kód pomocí pluginu TAC, ale také pomocí služby ThemeCheck.org nebo pluginu Theme Check, zda jsou v souladu s nejnovějšími standardy CMS.

P.S. Nedávno jsem při pohledu na TopSape Reader viděl nový SEO blog zenpr.ru, který se drží na 1. místě mezi blogery v počtu kliknutí za měsíc. Vzhledem k tomu, že jeho věk je něco málo přes měsíc, je výsledek hodný respektu. Design je ve stylu minimalismu, ne-li řečeno, že vůbec neexistuje, ale autor píše - přečtete si to. Vše pracovně a bez vody. Stejně jako v názvu blogu – „nula znaků navíc“. Doporučuji přečíst, najdete tam spoustu užitečných informací.

WordPress je nejoblíbenější engine pro vytváření různých informačních webů a blogů. Zabezpečení vašeho webu je více než jen bezpečnost vašich dat. To je mnohem důležitější, protože jde také o bezpečnost všech uživatelů, kteří čtou váš zdroj a důvěřují mu. Proto je tak důležité, aby stránka nebyla infikována viry nebo jiným škodlivým kódem.

Na to, jak ochránit WordPress před hackováním, se podíváme v jednom z následujících článků a nyní vám chci říct, jak prohledat web WordPress na viry a škodlivý kód, abyste se ujistili, že je vše v bezpečí.

Úplně první možnost, která vás napadne, je, že vás napadli hackeři a vložili jejich zadní vrátka do kódu vašeho webu, abyste mohli rozesílat spam, vkládat odkazy a další špatné věci. To se občas stává, ale je to velmi vzácné, pokud aktualizujete software včas.

Existují tisíce bezplatných témat a pluginů WordPress, a to je místo, kde spočívá hrozba. Jedna věc je, když si stáhnete šablonu z webu WordPress, a úplně jiná, když ji najdete na levém webu. Bezohlední vývojáři mohou do svých produktů vkládat různé škodlivé kódy. Riziko je ještě větší, pokud si zdarma stáhnete prémiové šablony, kam hackeři mohou bezpečně přidat jakousi bezpečnostní díru, kterou pak mohou proniknout a udělat si, co potřebují. To je důvod, proč je tak důležité zkontrolovat web wordpress na viry.

Kontrola webu wordpress na viry

První věcí, na kterou je třeba se obrátit při kontrole webu na přítomnost virů, jsou pluginy WordPress. Rychle a snadno můžete procházet svůj web a najít podezřelé části kódu, které stojí za to hledat, ať už se jedná o téma, plugin nebo samotné jádro Wodpressu. Pojďme se podívat na některé z nejpopulárnějších pluginů:

1. TOC

Tento velmi jednoduchý plugin kontroluje, zda všechna témata nainstalovaná na vašem webu neobsahují škodlivý kód. Plugin detekuje skryté odkazy zašifrované vložením kódu base64 a také zobrazuje podrobné informace o nalezených problémech. Nalezené části kódu většinou nejsou viry, ale mohou být potenciálně nebezpečné, takže byste jim měli věnovat pozornost.

Otevřít "Vzhled" -> "TAC" pak počkejte na ověření všech vláken.

2. VIP skener

Velmi podobný skeneru témat TOC, ale zobrazuje podrobnější informace. Stejné možnosti pro detekci odkazů, skrytého kódu a dalších škodlivých vložení. Stačí otevřít položku VIP Scaner v sekci nástrojů a analyzovat výsledek.

Možná bude stačit smazat extra soubory např. desktop.ini. Nebo se musíte podrobněji podívat na to, co se děje v souborech pomocí base64.

3. Anti-Malware z GOTMLS.NET

Tento plugin umožňuje nejen skenovat témata a jádro webu na viry, ale také chránit web před hesly hrubou silou a různými XSS, SQLInj útoky. Vyhledávání se provádí na základě známých signatur a zranitelností. Některé zranitelnosti lze opravit na místě. Chcete-li zahájit skenování souborů, otevřete "Anti-malvare" v postranní nabídce a klikněte "Spustit skenování":

Před spuštěním kontroly je nutné aktualizovat databáze signatur.

4. Wordfence

Je to jeden z nejpopulárnějších pluginů pro ochranu WordPress a skenování malwaru. Kromě skeneru, který dokáže najít většinu záložek v kódu WordPressu, disponuje neustálou ochranou proti různým typům útoků a brutálnímu vynucení hesel. Plugin během vyhledávání najde možné problémy s různými pluginy a tématy, informuje vás o nutnosti aktualizace WordPressu.

Otevřete kartu "WPDefence" v postranní nabídce a poté přejděte na kartu "Skenovat" a stiskněte "Začni skenovat":

Skenování může nějakou dobu trvat, ale po dokončení uvidíte podrobnou zprávu o nalezených problémech.

5. Antivirus

Toto je další jednoduchý plugin, který prohledá šablonu vašeho webu na škodlivý kód. Nevýhodou je, že se naskenuje pouze aktuální šablona, ale informace se zobrazí dostatečně podrobně. Uvidíte všechny nebezpečné funkce, které jsou v tématu a následně můžete podrobně rozebrat, zda nepředstavují nějaké nebezpečí. Najděte položku "antivir" v nastavení a poté klikněte "Skenovat šablony motivů nyní":

6. Kontrola integrity

Je také vhodné zkontrolovat integritu souborů WordPress, v případě, že se virus již někde zaregistroval. K tomu můžete použít plugin Integrity Checker. Kontroluje změny všech souborů jádra, pluginů a šablon. Na konci skenování se zobrazí informace o změněných souborech.

Online služby

Existuje také několik online služeb, které vám umožňují zkontrolovat, zda váš web wordpress neobsahuje viry, nebo zkontrolovat pouze šablonu. Zde jsou některé z nich:

themecheck.org- stáhnete si archiv motivů a můžete sledovat všechna upozornění na možné škodlivé funkce, které se v něm používají. Můžete vidět nejen informace o svém motivu, ale také o dalších motivech nahraných jinými uživateli a také o různých verzích motivu. Cokoli, co pluginy najdou, může najít i tento web. Ověření vašeho wordpress tématu je také velmi důležité.

virustotal.com je známý zdroj, kde můžete zkontrolovat svůj web nebo soubor šablony, zda neobsahuje viry.

ReScan.pro- Kontrola webu WordPress na přítomnost virů pomocí této služby je bezplatná, provádí se statická a dynamická analýza pro zjištění případných přesměrování, skener otevře stránky webu. Kontroluje web proti různým blacklistům.

sitecheck.sucuri.net- jednoduchá služba pro skenování webu a motivů na výskyt virů. Existuje plugin pro WordPress. Detekuje nebezpečné odkazy a skripty.

Ruční kontrola

Nic nemůže být lepší než ruční ověření. Linux má tak skvělou utilitu, grep, která vám umožňuje vyhledávat výskyty libovolných řádků ve složce se soubory. Zbývá pochopit, co budeme hledat:

eval - tato funkce umožňuje provádět libovolné php kód, nepoužívají ho seberespektující produkty, pokud některý z pluginů nebo motiv tuto funkci používá s téměř stoprocentní pravděpodobností, můžeme říci, že existuje virus;

base64_decode- šifrovací funkce lze použít ve spojení s eval ke skrytí škodlivého kódu, ale lze je použít i pro mírové účely, takže buďte opatrní;
sha1- další způsob šifrování škodlivého kódu;
gzinflate- kompresní funkce, stejné cíle, společně s eval, např. gzinflate (base64_decode (kód);
strrev- převrátí řetězec dozadu ne dopředu, jako možnost lze použít pro primitivní šifrování;
tisk- výstup informací do prohlížeče je spolu s gzinflate nebo base64_decode nebezpečný;
file_put_contents- WordPress sám nebo pluginy mohou stále vytvářet soubory v systému souborů, ale pokud to dělá téma, měli byste být ve střehu a zkontrolovat, proč to potřebuje, aby bylo možné nainstalovat viry;
file_get_contents- ve většině případů se používá pro mírové účely, ale lze jej použít ke stažení škodlivého kódu nebo čtení informací ze souborů;
kučera- stejný příběh;
fopen- otevře soubor pro zápis, nikdy nevíte proč;
Systém- funkce provede příkaz in Linuxový systém pokud to dělá samotné téma, plugin nebo wordpress, s největší pravděpodobností je tam virus;
symbolický odkaz- vytváří v systému symbolické odkazy, je možné, že se virus pokouší vytvořit ten hlavní souborový systém přístupné zvenčí;
kopírovat- zkopíruje soubor z jednoho umístění do druhého;
getcwd- vrátí název aktuálního pracovního adresáře;
cwd- změní aktuální pracovní složku;
ini_get- přijímá informace o nastavení PHP, často pro mírové účely, ale nikdy nevíte;
chybové hlášení (0)- zakáže výstup jakýchkoli chybových zpráv;
window.top.location.href - funkce javascript používá se pro přesměrování na jiné stránky;
hacknutý- takže, pro případ, zkontrolujeme, najednou se nám to hacker rozhodl říct.

Každé jednotlivé slovo můžete v příkazu nahradit takto:

grep -R "hacknut" / var / www / cesta / k / soubory / wordpress / wp-content /

Případně použijte jednoduchý skript, který vyhledá všechna slova najednou:

hodnoty = "base64_decode (
eval (base64_decode
gzinflate (base64_decode (
getcwd ();
strrev (
chr (ord (
cwd
ini_get
window.top.location.href
kopírovat (
eval (
Systém (
symbolický odkaz (
chybové hlášení (0)
tisk
file_get_contents (
file_put_contents (
fopen (
hacknutý"

cd / var / www / cesta / k / souborům / wordpress / wp-content /
$ fgrep -nr --include \ *. php "$ values" *

Přemýšleli jste někdy o tom, jaké téma designu konkrétní web používá?

Často se při hledání dokonalého tématu podíváme na jiné dokončené projekty, abychom našli něco podobného nebo vytvořili vlastní web na stejné téma, pouze s vlastním individuálním designem.

V tomto tutoriálu vám ukážeme, jaké nástroje a triky můžete použít, abyste zjistili, jaké téma tento web WordPress používá.

Metoda 1. Kontrolní web IsItWP

Nejjednodušší způsob je přejít na stránku isitwp.com a zkontrolovat stránku, která vás tam zajímá.

Jedná se o online nástroj, který vám ukáže, jaké téma WordPress používá a zda se na tomto webu vůbec používá.

Pokud na webu běží WordPress, IsItWP se pokusí zjistit název aktuálního vzhledu.

Pokusí se také zjistit, jaké aktivní pluginy se na webu používají:

Pokud budete mít štěstí a nejedná se o vlastní nebo dětské téma, pak vám IsItWP dá své jméno a poté můžete toto téma najít ve vyhledávačích.

Metoda 2. Určete ručně

Někdy majitelé stránek nebo vývojáři změní název nativního Témata WordPress... Pokud tomu tak je, nástroje jako IsItWP vám nebudou moci pomoci.

Ale i tak mohou být v kódu webu stále různé rady, které vám pomohou zjistit, jaký druh motivu je nainstalován.

Uvidíme.

Každé téma WordPress musí mít soubor styl.css... Tento soubor obsahuje uvnitř hlavičku, která zpravidla obsahuje název motivu, autora motivu, verzi a web vývojáře motivu. Také určuje další šablony ve stylu css, které motiv používá.

Chcete-li tento soubor najít, musíte nejprve přejít na samotný web. Klikněte pravým tlačítkem někam na hlavní stránku a přejděte k zobrazení zdrojového kódu ( Zobrazit zdroj stránky).

Zdrojový kód hlavní stránky webu se otevře v prohlížeči na nové kartě.

Nyní musíte najít řádek kódu, který vypadá nějak takto:

Pro usnadnění můžete na této kartě vyhledávat pomocí kódu po úryvku " témata". Toto je část adresáře, kde je styl.css.

Zjistíte tedy cestu, kde se nachází soubor style.css a tento soubor můžete otevřít přímo v prohlížeči na nové záložce.

V horní části style.css bude záhlaví s nadpisem (o kterém jsme mluvili výše). Toto jsou servisní informace k tématu. Vypadá to takto:

/ * Název motivu: Název motivu URI tématu: https://example.com Autor: ThemeAuthorName Autor URI: https://example.com Popis: Moje téma je flexibilní téma WordPress určené pro weby s portfoliem Verze: 1.1.47 Licence: GNU General Public License v2 nebo novější URI licence: http://www.gnu.org/licenses/gpl-2.0.html Textová doména: hestia Tagy: blog, vlastní-logo, portfolio, e-commerce, rtl-language-support , post-formáty, rozvržení mřížky, jeden sloupec, dva sloupce, vlastní pozadí, vlastní barvy, vlastní záhlaví, vlastní nabídka, hlavička hlavního obrázku, hlavní obrázky, flexibilní záhlaví, plná šířka -template, sticky-post, theme-options, threaded-comments, translation-ready * /

Z tohoto bloku můžete zjistit název tématu a adresu vývojáře. Pak už zbývá jen najít toto téma na internetu.

Metoda 3. Jak najít nadřazené téma

Mnoho webů používá k přizpůsobení vzhledu podřízené motivy. A to je naprosto správný přístup.

V tomto případě, pokud jste našli soubor styl.css z podřízeného motivu bude jeho záhlaví obsahovat informace o nadřazeném motivu:

/ * Název tématu: My Child Theme Popis: Jen dětské téma Autor: Peter Smith URL autora: Sem napište adresu URL blogu nebo webové stránky autora Šablona: hestia Verze: 1.0 Licence: GNU General Public License v2 nebo novější URI licence: http : //www.gnu.org/licenses/gpl-2.0.html Textová doména: my-child-theme * /

Ve výše uvedeném příkladu „ Šablona", to znamená, že rodičovské téma" Hestia "je použito pro toto podřízené téma.

O nadřazeném motivu se také můžete dozvědět ze zdrojového kódu popsaného v Metodě 2. V kódu najdete odkaz na soubor style.css nejen z podřízeného motivu, ale také z nadřazeného motivu.

Ale nezapomeňte, že vývojář mohl vyzkoušet a změnit všechny hlavičky pro style.css na své vlastní, v takovém případě bude velmi obtížné určit původní téma.

Plugin pro kontrolu motivu je snadný způsob, jak otestovat motiv a ujistit se, že odpovídá nejnovějším standardům pro kontrolu motivů. S ním můžete na svém motivu spouštět všechny stejné automatizované testovací nástroje, které WordPress.org používá pro odesílání motivů.

Testy se spouštějí přes jednoduché admin menu a všechny výsledky se zobrazují najednou. To je velmi užitečné pro vývojáře témat nebo kohokoli, kdo se chce ujistit, že jejich téma podporuje nejnovější standardy a postupy pro témata WordPress.

Jak aktivovat formátování Trac

Tým Theme Review používá tento plugin při kontrole motivů a kopírování/vkládání výstupů do tiketů trace, systém trace má svůj vlastní značkovací jazyk.
Chcete-li povolit formátování tras v Theme-Check, musíte definovat několik proměnných v wp-config.php:
TC_PRE a TC_POST se používají jako záhlaví a zápatí lístku.
Příklady:
definovat („TC_PRE“, „Recenze tématu: []
- Témata by měla být přezkoumána pomocí "define (\ 'WP_DEBUG \', true);" v wp-config.php []
- Témata by měla být přezkoumána pomocí testovacích dat z kontrolních seznamů témat (TC)
——
‘);

Define ("TC_POST", "Neváhejte použít níže uvedené kontaktní údaje, pokud máte nějaké dotazy, komentáře nebo zpětnou vazbu: [] [] * Zanechte komentář k tomuto tiketu [] * Pošlete e-mail na e-mail s recenzí tématu seznam [] * Použijte # wordpress-themes IRC kanál na Freenode. ");

Li buď z těchto dvou proměnných jsou definovány, vedle zaškrtávacího políčka se objeví nové zaškrtávací políčko Zkontroluj to! knoflík.

FAQ

Jak je to s čísly verzí?

Číslo verze je datum revize pokynů použitých k jejímu vytvoření.

Proč označuje něco jako špatné?

Není to označování „špatných“ věcí jako takových. Kontrola motivu je navržena jako nedokonalý způsob testování souladu s pokyny pro kontrolu motivu. Ne všechna témata musí splňovat tyto pokyny. Účelem nástroje pro kontrolu je zajistit, aby témata nahraná do centrálního úložiště témat WordPress.org splňovala nejnovější standardy témat WordPress a fungovala na široké škále webů.

Mnoho webů používá přizpůsobená témata, a to je naprosto v pořádku. Ale témata, která jsou určena pro použití na mnoha různých typech webů veřejností, musí mít určitou minimální úroveň schopností, aby bylo zajištěno správné fungování v mnoha různých prostředích. Pokyny k přezkoumání tématu jsou vytvořeny s ohledem na tento cíl.

Tato kontrola témat není dokonalá a nikdy nebude. Je to pouze nástroj, který má pomoci autorům témat nebo komukoli jinému, kdo chce své téma zdokonalit. Všechna témata odeslaná na WordPress.org jsou ručně zkontrolována týmem odborníků. Automatizovaná kontrola témat má být pouze užitečným nástrojem, nikoli absolutním systémem měření.

Tento plugin nerozhoduje o použitých pokynech. Jakékoli problémy s pokyny pro kontrolu konkrétních témat by měly být prodiskutovány na webu Make Themes.

Recenze

Toto je skvělý plugin pro každého, kdo opravdu rád vyvíjí téma WordPress a úspěšně testuje základní standardy WordPress. Chyby jsou odděleny v "Povinné", "Varování", "Doporučeno" a "Informace". Poskytněte také základní informace o této chybě a umožní vám pochopit, kde je problém.

Přispěvatelé a vývojáři

Theme Checker je projekt s otevřeným zdrojovým kódem. Na vývoji pluginu přispěli následující přispěvatelé:

Účastníci

Změnit protokol

20190801.1

Opravte chybějící kontrolu nonce a kontrolu nonce na stránce správce. podporuje Stevena Sterna za nahlášení problému týmu pluginů. Ačkoli se technicky jedná o CSRF, nevyplývá z něj žádná zranitelnost, protože jediná věc, kterou lze s formulářem udělat, je naskenovat téma.

20190208.1

Přidejte nové styly pro editor bloků. Viz https://meta.trac.wordpress.org/ticket/3921

20160523.1

Oprava názvů témat s pomlčkami
Komentáře odstraňují změny
Mnoho změn provedených týmem pro kontrolu tématu a dalšími. Úplný seznam změn najdete na Github.

20151211.1

Plná synchronizace s Githubem a všemi změnami, které se tam staly.
Vydání pro zastaralé funkce 4.4.

20140929.1

Přidány nové kontroly a aktualizace od Franka Kleina ve společnosti Automattic. Díky Franku!
Aktualizované seznamy zastaralých funkcí
Kontrola přizpůsobení: Všechna nastavení add_settings musí kvůli bezpečnosti používat zpětná volání dezinfekce
Kontrola území pluginu: Motivy nesmí registrovat typy příspěvků nebo taxonomie ani přidávat krátké kódy pro obsah příspěvku
Widgety: Volání na register_sidebar musí být voláno z akčního háku widgets_init
Title: tagy musí existovat a nesmí v nich být nic jiného než volání wp_title ()
CDN: Kontroluje použití běžných CDN (pouze doporučeno)
Poznámka: Změněny identifikátory URI pluginu a autora, protože staré identifikátory URI jsou neplatné. Ty se mohou v budoucnu znovu změnit, URI mého vlastního webu jsou pouze dočasně.

20131213.1

Opravené chyby, které plugin nezobrazuje, a nesprávně dává všemu výsledek „pass“.

20131212.1

Aktualizováno na 3.8
Většina souborů se změnila pro lepší podporu I18N, takže jazykové soubory byly dočasně odstraněny, dokud nebude možné překlad zopakovat.

20121211.1

Aktualizováno na 3.5
Tlačítko Odebrat Paypal.

20110805.1

Kontroly TimThumb odstraněny.
Snímek obrazovky je nyní zobrazen ve výsledcích, s velikostí souborů a rozměry.

20110602.2

Nové funkce seznamu souborů skryté složky nyní detekovatelné.
Lepší fopen kontroly.
Náraz verze TimThumb

20110602.1

Kontrola stylu zakončení řádků DOS / UNIX je nyní požadavkem pro správné nahrání motivu.
Timthumb verze bump
Několik oprav hlášených GaryJ
3.2 přidány zastaralé funkce

20110412.1

Opravte regulární výrazy
Přidána kontrola nejnovějšího hacku vložení zápatí.
Opravte kontrolu značek, abyste správně používali novou funkci obsahu
Synchronizace všech změn provedených pro kontrolu tématu wporg uploader.
Aktualizovaný příspěvek šeků 3.1. přidána kontrola snímku obrazovky do svn.
Opravit kontrolu odkazů, aby v některých případech nevrátila falešné selhání
rm jedna z kontrol, která způsobuje problémy na wporg uploaderu (a která je také zbytečná)
Přesuňte nepotřebné funkce z checkbase do main.php.
Pouze drobné změny formátování (mezery a podobně)
Přidat kontrolu pro wp_link_pages () + kontrolu vyhodnocení opravy ().

20110219.2

Sloučené nové rekvizity uživatelského rozhraní Gua Bob
Poslední testovaný motiv je vždy předem vybrán v seznamu motivů.
Opravena chyba php v admin_menu.php

20110219.1

Změny naleznete v protokolu odevzdání.

20110201.2

Opravy chyb uživatelského rozhraní pro příspěvky na fóru Mamaduka.
Textová doména kontroluje dvacet a žádnou doménu.
Opravte div nezavírající rekvizity Mamaduka.

20110201.1

i18n funguje
sr_RS de_DE ro_RO langs rekvizity Daniel Tara a Emil Uzelac.
Přidána podpora podřízeného motivu, kontroly provedené proti nadřazenému A podřízenému za běhu.
Pro recenzenty bylo přidáno tlačítko pro formátování sledování.

20101228.3

Poslední revize pro 3.1 (doufejme)
Návrh čipů na kontrolu zahrnutí searchform.php (ne
perfektní, ale je třeba hledat další příklady).
add_theme_page je povinný, všechny ostatní označeny a zobrazeny s řádkem
čísla.
Většinou internacionalizované, nyní potřebuje překlady.
Oprava chyb.

20101228.2

Přidána kontrola menu.
ThemeURI AuthourURI přidán do výsledků.
Spousta malých oprav.
Zahájen překlad.

20101228.1

Opravte kontrolu filtru embed_defaults a kontrolu dat souboru šablony stylů.

20101226.1

Celý systém je přepracován tak, aby umožňoval snadnější synchronizaci s WordPress.org uploaderem. Mnoho dalších sčítání / odečítání / změn také.
Byly přidány pokyny pro WordPress 3.1, které pomáhají autorům motivů zajistit kompatibilitu pro nadcházející vydání.