Правила по обеспечению безопасности тем WordPress
Безопасность темы WordPress – это первое, чему следует уделять внимание при выборе шаблона на свой сайт. Халатное отношение к ней может сделать ваш блог или интернет-магазин легко уязвимым для взлома. Самое меньшее, чем он грозит – потеря трафика. Не исключена также полная потеря контроля над веб-ресурсом и использование взломщиками ваших личных данных. Из статьи вы узнаете правила, благодаря соблюдению которых этого получится избежать.
Выбирайте шаблоны с регулярными обновлениями
Они — показатель номер один безопасной темы. Если команда, создающая тему, активна, когда дело доходит до обновлений, скорее всего, они работают не только над добавлением новых функций, но и над исправлением ошибок, устранением уязвимостей, повышением безопасности своей темы WordPres. Большинство репозиториев тем позволяют вам быть в курсе обновлений разработки. Например, если вы проверите тему на WordPress.org , вы увидите, когда она в последний раз обновлялась, прямо под её номером версии.
Для получения дополнительной информации вы можете прокрутить немного дальше и нажать «Журнал разработки» кнопку в разделе «Просмотр кода» . На следующем экране вы увидите список всех обновлений темы за всю её историю.
Если вы нажмёте на последнее число в столбце «Редакция» , вы увидите список папок, представляющих каждую версию темы.
На этом экране вы можете открыть каталог любой версии темы и найти внутри неё файл журнала изменений. Вы можете открыть файл прямо из браузера, что позволит вам увидеть подробную разбивку изменений от одной версии к другой.
К сожалению, не каждая тема на WordPress.org включает полные файлы журнала изменений, но они достаточно распространены для большинства популярных вариантов. Аналогичным образом, репозитории тем премиум-класса также имеют привычку сообщать вам, когда темы обновлялись в последний раз и какие изменения есть в каждой версии.
Проверьте доступность информации о том, кто работает над темой
Прозрачность — одна из вещей, которая отличает успешные темы WordPress. Когда вы знаете, кто работает над шаблоном, риск безопасности шаблона значительно меньше. В большинстве случаев достаточно легко узнать основную информацию о разработчике(ах) темы. Например, когда вы используете WordPress.org, вы можете увидеть, кто создал тему, прямо рядом с её названием в верхней части экрана.
Если вы нажмете на их пользователя, вы увидите список всех созданных им проектов.
Зачастую этой информации недостаточно. Мы рекомендуем поискать сайт, на котором разработчики включают дополнительную информацию, например, членов команды, юридический адрес и т. д. Речь идёт не о преследовании разработчиков вашей темы, а об ответственности. Если вы используете тему, созданную командой, ведущей законный бизнес, скорее всего, они будут более активны в разработке своих продуктов.
Узнайте, есть ли прямая поддержка со стороны разработчиков
Не имеет значения, сколько удивительных функций предлагает тема, если у вас нет возможности связаться с разработчиками, когда вам понадобится их поддержка. Тщательная документация часто помогает решить проблемы, но это не то же самое, что возможность обратиться к человеку за помощью по конкретным вопросам.
Конечно, популярные темы часто имеют настолько большие сообщества, что другие пользователи смогут вам помочь, но даже их может быть недостаточно для обеспечения безопасности темы WordPress. Наконец, если у вас нет способов связаться с кем-то, кто работает над этой темой, это означает, что его могут не волновать отчёты пользователей об ошибках и безопасность их творения, что является серьёзным тревожным сигналом.
На WordPress.org под обзорами каждой темы. Если вы нажмёте «Просмотреть форум поддержки», вы найдёте раздел, где вы можете задавать вопросы и ждать ответов от разработчиков тем.
Когда вопрос решён, рядом с ним вы увидите зелёную галочку. Чем больше галочек и ответов вы увидите на форуме, тем больше шансов, что вы используете тему с разработчиками, которые будут рады предоставить поддержку и гарантировать безопасность своего шаблона.
Посмотрите, есть ли на сайте Theme представлены объективные обзоры
В наши дни найти авторитетные онлайн-продукты (включая темы WordPress) несложно, если вы потратите время на чтение обзоров. Большинство авторитетных репозиториев тем демонстрируют объективные и подробные обзоры от реальных пользователей.
Например, на WordPress.org они находятся в разделе «Рейтинги» справа от экрана. Там вы найдете средний балл темы, который варьируется от одного до пяти.
По нашему опыту, большинство тем ниже среднего уровня в четыре звезды не стоят вашего времени. Тем не менее стоит прочитать любые обзоры с одной, двумя или тремя звёздами, которые может иметь ваша тема, независимо от её общего балла, чтобы вы могли проверить, сталкиваются ли пользователи с распространёнными ошибками или чем-то ещё, что может вас отпугнуть. Чтобы перейти к этим обзорам, просто нажмите на ссылки рядом с рейтингами.
На следующем экране вы найдёте список всех доступных обзоров для каждого звёздного рейтинга. Вы можете нажать на любой из них, чтобы прочитать полную версию. Когда дело доходит до премиальных репозиториев, таких как ThemeForest, вы также сможете найти средний рейтинг и прочитать отдельные отзывы пользователей.
Обратите внимание на популярность темы среди пользователей
Мнение народа – это не то, на что всегда можно положиться. Однако, пользователи, как правило, проделывают большую работу по созданию безопасных и мощных тем, популярных в экосистеме WordPress. В большинстве случаев небезопасные или посредственные темы никогда не заходят слишком далеко, тогда как хорошие распространяются быстро.
Конечно, размер пользовательской базы темы — это то, что вам следует принимать во внимание только в том случае, если вас впечатляют другие критерии, которые мы упоминали до сих пор. Чтобы узнать, сколько людей используют определённую тему WordPress, вы можете посетить ее страницу WordPress.org и просмотреть раздел «Активные установки» под кнопкой «Download».
Вообще говоря, любая тема с более чем 10 000 одновременных установок, как правило, довольно хороша. В конце концов, пользователи часто не задерживаются надолго, если тема не соответствует их требованиям.
Берите темы WordPress только с проверенных площадок
Вне конкуренции WordPress.org. Перед добавлением темы в каталог wordpress.org/themes (ru.wordpress.org/themes) она проходит несколько проверок, в том числе проверку на безопасность, а именно:
- Тема не должна изменять настройки сервера PHP;
- Коды base64_decode(), base64_encode(), uudecode(), str_rot13() запрещены;
- Поисковый код Google и рекламный код Google eval() не допустимы;
- Системные вызовы PHP не должны быть в теме.
Если вам нужны премиум опции, скорее всего, вам придётся просмотреть такие площадки, как ThemeForest . Это самый популярный репозиторий тем премиум-класса в Интернете, и их темы, как правило, безопасны.
Также существует множество тематических магазинов, которые предлагают только свои собственные продукты, но в них за безопасность тем WordPress не всегда можно ручаться.
Проведите дополнительную самостоятельную проверку темы
Это легко сделать на антивирусных онлайн сервисах, например, https://www.virustotal.com/ru/ или на онлайн проверках антивирусных программ, например, https://vms.drweb.ru/sendvirus/.
Также можно пролистать файлы приглянувшейся темы на предмет наличия слов base64, decode, encode, uudecode, str, rot13 и посмотреть, что стоит после данных кодов в скобках. Если будет длинный, непонятный код, то возможно это вирус. Для проверки данного предположения раскодируйте код на сервисах ddecode.com/hexdecoder или malwaredecoder.com.
О плагинах WordPress, которые нужны сайту, также как компьютеру антивирус, можно прочитать https://andrej21.ru/7-luchshih-plaginov-bezopasnosti-wordpress-dlya-zashhity-vashego-sajta/
Какие темы точно не безопасны
WordPress – одна из лучших платформ, которые можно использовать для создания сайта. Она проста в работе и предлагает множество возможностей настройки с помощью плагинов и тем. Проблема в том, что та же самая популярность сделала её мишенью для злоумышленников. Они активно используют все известные слабые места как платформы, так и её расширений. Безопасность темы WordPress может быть нарушена по следующим причинам:
- Не обновляющиеся темы очень часто имеют уязвимости. Если ваша тема не обновлялась более шести месяцев, злоумышленники с большей вероятностью найдут дыры в безопасности и воспользуются ими;
- Пиратские темы WordPress могут быть заражены вредоносным ПО. Некоторые люди загружают пиратские версии премиальных тем WordPress, чтобы сэкономить деньги. Не редко это приводит к заражению сайта;
- Старые темы могут вызвать проблемы с совместимостью. Даже если устаревшую тему безопасно использовать, она может вызвать проблемы с другими плагинами или самим WordPress, что также может привести к проблемам с безопасностью.
В завершение статьи предлагаем посмотреть видео о защите от вредоносного ПО сайта на WordPress.