檢測 WordPress 網站模板主題是否含有惡意代碼

現在網上很多的主題都含有惡意代碼，這些惡意代碼要麼含有後門，要麼會直接竊取你的信息，甚至有的還有感染功能，一個帶惡意代碼的主題被啓用，網站所有的主題都會被感染上，刪乾淨非常麻煩。

這些垃圾代碼大多來自一些所謂的破解付費 WordPress 主題，在一些下載網站（比如網盤）分享，因為藉着高權重網站分享，排名很容易在前，讓人隨手就下載到。

一般主題作者都不會主動在自己的主題裏添加垃圾代碼，因為這無疑是砸自己的招牌，得不償失，所以，最好在知名的主題下載網站或者作者的博客上下載主題，比較安全。

但是，即使遵循上邊的做法，也不能保證主題一定就是安全的。下載好主題最好檢測一下再使用，對於普通小白來説，檢測主題是否安全實在是不可能，即使對於高手來説，如果代碼藏得深也很麻煩。

考慮到這裏，有個大神開發了一個主題安全性一鍵檢測插件 Theme Authenticity Checker（簡稱 TAC），可以幫助你一鍵檢測主題是否安全、是否含有惡意代碼。

安裝並啓用 Theme Authenticity Checker 插件，進入後台的「外觀」 → 「TAC」。

這裏就可以看到所有主題的安全情況了，提示「Theme OK！」證明是安全的。

不安全的主題則會有一個紅色的提示框告訴你「Encrypted Code Found!」。

不安全的文件還可以一鍵使用編輯器打開，方便你修改。

這個插件誤報情況比較嚴重，因為機器現在還不能像人一樣智能。

比如我的主題使用了 base64 作為後台設置的導入導出代碼的加密方法，然而用 base64 相關的函數在 Theme Authenticity Checker 插件看來是不安全的。

園長2013-11-15T13:49:03+08:00發表於：2013-11-15|WordPress|