WordPress为朋友们建站提供了很多便利,丰富的应用插件,漂亮的主题提供给我们很多选择。但你想过是否所有的网站提供的Wordpress主题和插件都值得信任?答案是否定的,除了官方 WordPress存储库中有成千上万主题和插件。

现在,越来越多的商业盗版主题被分享,或是被某一些人盗卖。也许绝大多少主题可能存在一些恶意代码,且这些代码隐藏较深,不是太容易能找出来。
首先你问,分享者为啥要植入一些恶意代码呢?我想可能存在以下几种原因:

The WordPress Toolbox
Unlimited Downloads: 500,000+ WordPress Themes, Plugins, Templates & Design Assets

如何删除免费下载的WordPress主题或插件中的恶意代码

DOWNLOAD NOW

1、在不知不觉中从您的博客获取反向链接,危害指数:★;
2、获取你的博客管理权限,危害指数:★★★★;
3、把你的博客作为垃圾邮件的链接定向,危害指数:★★;
4、当然也可能添加广告或是横幅,危害指数:★★★;
5、最严重的是可能直接下载你的站点,危害指数:★★★★★。

所以说,任何非官方下载的主题和插件都有可能存在恶意代码,如何防范这些恶意代码呢?
下面推荐几种方法:

1、恶意代码扫描

在下载完主题和插件后,你应该做的第一件事情就是检查是否有病毒,木马或是其它蠕虫代码。在下载完主题和插件后,你应该做的第一件事情就是检查是否有病毒,木马或是其它蠕虫代码。

用浏览器打开VirusTotal.com ,上传你下载的主题或是插件压缩包。如果出现下面的结果,说明你下载的主题或插件包是安全的,如出现红色警告。那你就得考量下是否必须用这个主题或是插件了。

如何删除免费下载的WordPress主题或插件中的恶意代码

2、检查是否存在不明代码

这里我们用到了一个插件来监测,它的名字叫Exploit Scanner。通过此插件,我们能检测出一些可能的不知名代码,使用方法:安装插件,在控制面板>>工具>>Exploit Scanner进行检测,扫描结果如下:

如何删除免费下载的WordPress主题或插件中的恶意代码

注意:该插件扫描的结果只能作为参考,

3、内部链接扫描

这里我们同样使用的是一个插件,Theme Authenticity Checker (TAC)

使用方法同上,主要的区别在于插件出现的位置,它位于在控制面板>>外观>>TAC。扫描结果如下:

如何删除免费下载的WordPress主题或插件中的恶意代码

同样的,扫描结果也只能做参考,你需要逐一进行辨识。某些汉化主题可能会加入汉化者的网址,这些是无害的。它主要的作用是增加外链。如果是免费分享的汉化作品,这些外链是可以接受的。如果是收费作品,我们将另当别论。

4、手工检查

一般的严重性恶意代码出现在functions.php或是类是的文件里面。打开这些插件看是否有各类异样的代码。一般的函数代码早code.wordpress.org上面都能查询到。你可以仔细检查下这些文件的代码。

例子:如果你的主题的functions.php或是其它页面存在下面的代码。你必须删除它。

如何删除免费下载的WordPress主题或插件中的恶意代码

5、反病毒插件:AntiVirus

wordpress反病毒插件是最简单易用的插件,下载地址http://wordpress.org/plugins/antivirus/

如何删除免费下载的WordPress主题或插件中的恶意代码

当然,你在本站下载的主题和插件你完全可以放心使用,我们坚持每个主题都进行VirusTotal.com 病毒扫描,你可以放心使用。如果你不放心使用的话。你可以使用上面介绍的几种方法进行检查。

发表回复