7 правил по обеспечению безопасности тем WordPress

Безопасность – это первое, чему следует уделять внимание при установке и использовании темы WordPress. Халатное отношение к ней может сделать ваш сайт легко уязвимым для взлома. Самое меньшее, чем он грозит – потеря трафика. Не исключена также полная потеря контроля над веб-ресурсом и использование взломщиками ваших личных данных. Из статьи вы узнаете правила, благодаря соблюдению которых этого получится избежать.

Правило №1. Выбирайте шаблоны с регулярными обновлениями

Они — показатель номер один безопасной темы. Если команда, создающая тему, активна, когда дело доходит до обновлений, скорее всего, они работают не только над добавлением новых функций, но и над исправлением ошибок, устранением уязвимостей, повышением безопасности. Большинство репозиториев тем позволяют вам быть в курсе обновлений разработки. Например, если вы проверите тему на WordPress.org , вы увидите, когда она в последний раз обновлялась, прямо под её номером версии.

Безопасность тем WordPress


Для получения дополнительной информации вы можете прокрутить немного дальше и нажать «Журнал разработки» кнопку в разделе «Просмотр кода» . На следующем экране вы увидите список всех обновлений темы за всю её историю.

Какие темы WorDPress безопасны

Если вы нажмёте на последнее число в столбце «Редакция» , вы увидите список папок, представляющих каждую версию темы.

Безопасность шаблонов WordPress

На этом экране вы можете открыть каталог любой версии темы и найти внутри неё файл журнала изменений. Вы можете открыть файл прямо из браузера, что позволит вам увидеть подробную разбивку изменений от одной версии к другой.

 Подробный показ изменений от одной версии к другой.

К сожалению, не каждая тема на WordPress.org включает полные файлы журнала изменений, но они достаточно распространены для большинства популярных вариантов. Аналогичным образом, репозитории тем премиум-класса также имеют привычку сообщать вам, когда темы обновлялись в последний раз и какие изменения есть в каждой версии.

Правило №2. Проверьте доступность информации о том, кто работает над темой

Прозрачность — одна из вещей, которая отличает успешные темы WordPress. Когда вы знаете, кто работает над шаблоном, риск безопасности шаблона значительно меньше. В большинстве случаев достаточно легко узнать основную информацию о разработчике(ах) темы. Например, когда вы используете WordPress.org, вы можете увидеть, кто создал тему, прямо рядом с её названием в верхней части экрана.

Пример шаблона

Если вы нажмете на их пользователя, вы увидите список всех созданных им проектов.

Показ проектов

Зачастую этой информации недостаточно. Мы рекомендуем поискать сайт, на котором разработчики включают дополнительную информацию, например, членов команды, юридический адрес и т. д. Речь идёт не о преследовании разработчиков вашей темы, а об ответственности. Если вы используете тему, созданную командой, ведущей законный бизнес, скорее всего, они будут более активны в разработке своих продуктов.

Правило №3. Узнайте, есть ли прямая поддержка со стороны разработчиков

Не имеет значения, сколько удивительных функций предлагает тема, если у вас нет возможности связаться с разработчиками, когда вам понадобится их поддержка. Тщательная документация часто помогает решить проблемы, но это не то же самое, что возможность обратиться к человеку за помощью по конкретным вопросам.  

Конечно, популярные темы часто имеют настолько большие сообщества, что другие пользователи смогут вам помочь, но даже их может быть недостаточно. Наконец, если у вас нет способов связаться с кем-то, кто работает над этой темой, это означает, что его могут не волновать отчёты пользователей об ошибках и безопасность их творения, что является серьёзным тревожным сигналом.

На WordPress.org под обзорами каждой темы. Если вы нажмёте «Просмотреть форум поддержки», вы найдёте раздел, где вы можете задавать вопросы и ждать ответов от разработчиков тем.

Поддержка шаблона

Когда вопрос решён, рядом с ним вы увидите зелёную галочку. Чем больше галочек и ответов вы увидите на форуме, тем больше шансов, что вы используете тему с разработчиками, которые будут рады предоставить поддержку и гарантировать безопасность своего шаблона.

Правило №4. Посмотрите, есть ли на сайте Theme представлены объективные обзоры

В наши дни найти авторитетные онлайн-продукты (включая темы WordPress) несложно, если вы потратите время на чтение обзоров. Большинство авторитетных репозиториев тем демонстрируют объективные и подробные обзоры от реальных пользователей.  

Например, на WordPress.org они находятся в разделе «Рейтинги» справа от экрана. Там вы найдете средний балл темы, который варьируется от одного до пяти.

Рейтинги шаблона WordPress

По нашему опыту, большинство тем ниже среднего уровня в четыре звезды не стоят вашего времени. Тем не менее стоит прочитать любые обзоры с одной, двумя или тремя звёздами, которые может иметь ваша тема, независимо от её общего балла, чтобы вы могли проверить, сталкиваются ли пользователи с распространёнными ошибками или чем-то ещё, что может вас отпугнуть. Чтобы перейти к этим обзорам, просто нажмите на ссылки рядом с рейтингами.

На что смотреть рядом

Просматриваю отдельные обзоры тем на WordPress.org.
На следующем экране вы найдёте список всех доступных обзоров для каждого звёздного рейтинга. Вы можете нажать на любой из них, чтобы прочитать полную версию. Когда дело доходит до премиальных репозиториев, таких как ThemeForest, вы также сможете найти средний рейтинг и прочитать отдельные отзывы пользователей.

Где посмотреть отзывы

Правило №5. Обратите внимание на популярность темы среди пользователей

Мнение народа – это не то, на что всегда можно положиться. Однако, пользователи, как правило, проделывают большую работу по созданию безопасных и мощных тем, популярных в экосистеме WordPress. В большинстве случаев небезопасные или посредственные темы никогда не заходят слишком далеко, тогда как хорошие распространяются быстро.

Конечно, размер пользовательской базы темы — это то, что вам следует принимать во внимание только в том случае, если вас впечатляют другие критерии, которые мы упоминали до сих пор. Чтобы узнать, сколько людей используют определённую тему, вы можете посетить ее страницу WordPress.org и просмотреть раздел «Активные установки» под кнопкой «Download».

Что рядом с изображением темы

Вообще говоря, любая тема с более чем 10 000 одновременных установок, как правило, довольно хороша. В конце концов, пользователи часто не задерживаются надолго, если тема не соответствует их требованиям.

Правило №6. Берите темы WordPress только с проверенных площадок

Вне конкуренции WordPress.org. Перед добавлением темы в каталог wordpress.org/themes (ru.wordpress.org/themes) она проходит несколько проверок, в том числе проверку на безопасность, а именно:

  • Тема не должна изменять настройки сервера PHP;
  • Коды base64_decode(), base64_encode(), uudecode(), str_rot13() запрещены;
  • Поисковый код Google и рекламный код Google eval() не допустимы;
  • Системные вызовы PHP не должны быть в теме.

Если вам нужны премиум опции, скорее всего, вам придётся просмотреть такие площадки, как ThemeForest . Это самый популярный репозиторий тем премиум-класса в Интернете, и их темы, как правило, безопасны.

Также существует множество тематических магазинов, которые предлагают только свои собственные продукты, но в них за безопасность тем WordPress не всегда можно ручаться.

Правило №7. Проведите дополнительную самостоятельную проверку темы

Это легко сделать на антивирусных онлайн сервисах, например, https://www.virustotal.com/ru/ или на онлайн проверках антивирусных программ, например, https://vms.drweb.ru/sendvirus/.

Также можно пролистать файлы приглянувшейся темы на предмет наличия слов base64, decode, encode, uudecode, str, rot13 и посмотреть, что стоит после данных кодов в скобках. Если будет длинный, непонятный код, то возможно это вирус. Для проверки данного предположения раскодируйте код на сервисах ddecode.com/hexdecoder или malwaredecoder.com.

О плагинах WordPress, которые нужны сайту, также как компьютеру антивирус, можно прочитать https://andrej21.ru/7-luchshih-plaginov-bezopasnosti-wordpress-dlya-zashhity-vashego-sajta/

Какие темы точно не безопасны

WordPress – одна из лучших платформ, которые можно использовать для создания сайта. Она проста в работе и предлагает множество возможностей настройки с помощью плагинов и тем. Проблема в том, что та же самая популярность сделала её мишенью для злоумышленников. Они активно используют все известные слабые места как платформы, так и её расширений. Темы WordPress могут быть небезопасны по следующим причинам:

  • Не обновляющиеся темы очень часто имеют уязвимости. Если ваша тема не обновлялась более шести месяцев, злоумышленники с большей вероятностью найдут дыры в безопасности и воспользуются ими;
  • Пиратские темы WordPress могут быть заражены вредоносным ПО. Некоторые люди загружают пиратские версии премиальных тем WordPress, чтобы сэкономить деньги. Не редко это приводит к заражению сайта;
  • Старые темы могут вызвать проблемы с совместимостью. Даже если устаревшую тему безопасно использовать, она может вызвать проблемы с другими плагинами или самим WordPress, что также может привести к проблемам с безопасностью.

В завершение статьи предлагаем посмотреть видео о защите от вредоносного ПО сайта на WordPress.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *