现在网上很多的 WordPress 主题都含有恶意代码,这些恶意代码要么含有后门,要么会直接窃取你的信息,甚至有的还有感染功能,一个带恶意代码的主题被启用,网站所有的主题都会被感染上,删干净非常麻烦。
这些垃圾代码大多来自一些所谓的破解付费主题,在一些下载网站 (比如网盘) 分享,因为借着高权重网站分享,排名很容易在前,让人随手就下载到。
一般主题作者都不会主动在自己的主题里添加垃圾代码,因为这无疑是砸自己的招牌,得不偿失,所以,最好在知名的主题下载网站或者作者的博客上下载主题,比较安全。
但是,即使遵循上边的做法,也不能保证主题一定就是安全的。下载好主题最好检测一下再使用,对于普通小白来说,检测主题是否安全实在是不可能,即使对于高手来说,如果代码藏得深也很麻烦。
考虑到这里,有个大神开发了一个主题安全性一键检测插件 Theme Authenticity Checker(简称 TAC),可以帮助你一键检测主题是否安全、是否含有恶意代码。
Theme Authenticity Checker
安装并启用 Theme Authenticity Checker 插件,进入后台的 「外观」 → 「TAC」 。
这里就可以看到所有主题的安全情况了,提示 「Theme OK!」 证明是安全的。
不安全的主题则会有一个红色的提示框告诉你 「Encrypted Code Found!」 。
不安全的文件还可以一键使用编辑器打开,方便你修改。
误报
这个插件误报情况比较严重,因为机器现在还不能像人一样智能。
比如我的主题使用了 base64 作为后台设置的导入导出代码的加密方法,然而用 base64 相关的函数在 Theme Authenticity Checker 插件看来是不安全的。
插件主页
插件主页:https://WordPress.org/plugins/tac/