Wordpress. Есть ли темы с сюрпризами?

Question

[kstyle]

Здравствуйте. Когда-то на хабре видел статью, в которой анализировались русские темы, доступные с неофициальных сайтов. Цитата оттуда:

Темы и шаблоны для Wordpress мы скачивали с популярных сайтов-каталогов, предлагающих русскоязычные премиум и тематические шаблоны:
best-wordpress-templates.ru (99% зараженных или уязвимых тем)
wordpress-ru.ru (99% зараженных или уязвимых тем)
wpfree.ru (97% зараженных или уязвимых тем)
wpfreethemes.ru (16% уязвимых тем)
bestwordpress.ru (7% уязвимых тем)
wordpreso.ru (3% зараженных тем)

Вопрос: если брать темы непосредственно через админку wordpress, то можно ли доверять этим темам (банально проверить на ссылки посторонние) или надо серьезнее? Вообще, подскажите алгоритм проверки темы (плагины и т.д.).

Answer 1

[Appp Zooo]

Ставьте последнюю официальную и редактируйте ее под себя через child theme.
Темы еще пол беды, плагины вот в чем беда может быть посерьезнее.
А так что бы проверить как вариант использовать скрипт - айболит.
Он очень хорошо помогает найти уязвимости/вирусы/заражения на живом сайте, аналогов пока не нашел) кто найдет поделитесь.
Проверка 1 и проверка 2 тем wordpress на совместимость еще может пригодиться.

Comments

[kstyle]

спасибо. только все-таки были ли случаи в админке установить такие темы?

[Appp Zooo]

kstyle: Я думаю будут такие случаи если ставить все подряд), лучше ставить проверяя тему + смотреть отзывы + смотреть исходный код.

Answer 2

[Елена]

Даже при скачивании темы с "проверенного" сайта, всегда нужно её проверять. Но уделяйте больше внимания подбору плагинов. Так как они больше всего могут принести беды (могут сломать сайт).

Comments

[kstyle]

спасибо. только все-таки были ли случаи в админке установить такие темы?

[Елена]

kstyle: были. Лично у меня проблем не было, если не было плагинов.

Answer 3

[Natan]

если брать темы непосредственно через админку wordpress, то можно ли доверять этим темам

Темы которые Вы видите в админке берутся из официального репозитория https://wordpress.org/themes/ Доверять стоит только темам от известных авторов и скачивать только с проверенных сайтов, вроде оф сайта и themeforest.

Есть ли темы с сюрпризами?

Есть, но если Вы не ищите возможность нахаляву скачать платную тему и качаете темы только с оф сайта, то шансы поймать сюрприз достаточно малы.

Вообще, подскажите алгоритм проверки темы (плагины и т.д.).

Качаем тему, поочередно открываем ее файлы в notepad++ и изучаем код, на наличие вызова левых скриптов/непонятных ссылок/лишних, подозрительных запросов и банально зашифрованных кусков кода.

Плагины частично автоматизирующую подобную проверку тоже есть, AntiVirus, Theme Authenticity Checker, Acunetix WP Security, если в теме особых сомнений нет, на постоянной основе можете держать включенным какой-нибудь простенький плагин для мониторинга изменений в файлах и папках, что-то вроде WordPress File Monitor (давно не обновлялся, но до сих пор исправно работает).

Comments

[kstyle]

спасибо. помню случай, когда скрипт был в файлах формата jpg

Answer 4

[Пума Тайланд]

Да все что угодно можно там найти, логично делать автоматический аудит через любой сканер малваре и антивирус и делать ручной аудит, так как самописный бекдор сканер не определит.

Answer 5

[Игорь Воротнёв]

Ваши эти "неофициальные источники" - это тупо стыренные и/или хакнутые платные шаблоны и плагины. Неужели вы наивно думаете, что есть какой-то добрый робингуд, который покупает их за свои деньги, а потом раздает всем желающим бесплатно, просто так? Нет, этот робингуд вшивает туда бекдоры и прочую ерунду, чтобы потом на таких наивных людях зарабатывать. Качать темы и плагины можно с родного сайта, с известных площадок с надежной проверкой кода перед публикацией продуктов (envato, creativemarket и тому подобные), а также у тех авторов, кто имеет хорошую репутацию и точно не станет заниматься подобной чепухой. В остальном - на свой страх и риск, проверять код вручную.

Comments

[kstyle]

прочтите, пожалуйста, вопрос, который я задавал

[Игорь Воротнёв]

kstyle: внимательно прочтите ответ :) "Качать темы и плагины можно с родного сайта" - означает, что через админку их можно устанавливать не заморачиваясь. Зараженная тема в официальный репозиторий не попадет.

Answer 6

[tamsq]

Ребята скажу я вам отгреб я по самые не балуй с этой халявой. Ничем хорошим не кончиться использование беспалтных вордпресс тем и плагинов, скачанных с подобных сайтов. Еще кстати сайт wpnull.org тоже советую обходить стороной. Я в итоге лишился 2х сайтов из-за уязвимостей.

Comments

[WPNULL]

Приветствуем, специально зарегались на хабре, чтобы ответить вам на комментарий. Вы, конечно, можете не доверять нам, но уверяем вас, у нас абсолютно все продукты куплены официально у разработчиков, уже активированные версии мы создаём самостоятельно, файлы не проходят через "третьи руки". Вредоносного кода в файлах, скачанных с WPNULL быть не может. На счёт бесплатных сайтов - вы правы, там качают друг у друга всё что попало в надежде заработать на рекламе и специально внедряют вредоносный код в файлы.
На счёт уязвимостей - вы и сами прекрасно понимаете, что разработчики, особенно на themeforest, бывают разные, и даже покупая продукт официально, никто вам не гарантирует, что продукт создан по всем канонам безопасности. Уязвимости есть в любых продуктах, даже в самом WordPress из коробки, мы никак не можем на это повлиять.
Однако, мы всегда помогаем разобраться с любыми техническими проблемами бесплатно, вы можете обратиться к нам по любому техническому вопросу и мы вам поможем.

[tamsq]

WPNULL, вернулся спустя много лет, чтобы извиниться за обвинения. С течением времени опытным путем проверил, что все темы и плагины представленные на вашем сайте действительно безопасны. Моя проблема оказалась в безопасности на стороне хостинга, а не в продукции представленной на вашем сайте. Приношу свои извенения ребята. Вам действительно можно доверять. Проверенно в течении нескольких лет. ) Пока ни одного инцидента.