Плагин тас. Плагин TAC для wordpress (Theme Authenticity Checker)! Работа с плагином TAC: удаление статических ссылок

Привет, дорогие читатели! Уже второй день я катаюсь на сноуборде в Хибинах, тут снежно, солнечно и очень здорово! В конце отчета читайте подробности.

Если вы решили создать свой блог на WordPress и подыскиваете подходящую тему, то мой сегодняшний пост для вас. Но и тем, кто уже знаком с Вордпрессом, будет полезно ознакомиться с информацией этого обзора. Речь пойдет про плагин TAC (Theme Authenticity Checker). Он обеспечивает проверку шаблона на ссылки, которые могут быть встроены в скачанную вами тему.

Для чего нужен TAC?

С такой проблемой могут столкнуться те, кто скачал тему не с официального сайта WordPress — wordpress.org/themes, а с других сторонних источников. В такие шаблоны могут внедрять скрытые для вас, но открытые для индексации поисковиков ссылки. А лишние ссылки, т.е. не просто те, которые ведут на сайт разработчиков, а спамные, которые захламляют ваш сайт, никому не нужны. Здесь-то нам на помощь и приходит плагин TAC для WordPress.

Он очень простой в использовании и единственная его функция – отыскать в теме закодированные, либо обычные статические ссылки. Обычно их располагают в футере или в сайдбаре.

Работа с плагином TAC: удаление статических ссылок

Скачать Theme Authenticity Checker можно с официального сайта — wordpress.org/plugins/tac , либо найдите его в поиске раздела установки плагинов.

После установки активируем его и находим в админ-панели (Внешний вид – TAC). Он автоматически определяет все ли в порядке с вашей темой. На рисунке ниже приведен один из примеров того, что может показывать плагин TAC для WordPress-темы.

В данном случае мы видим, что он определил, что с темой все ОК. Однако есть 3 статические ссылки, просмотреть которые можно, нажав «Details».

Как видим, TAC определил, в какой части шаблона находятся ссылки – в footer.php. Оттуда нам предстоит их удалить.

Перед тем, как приступить к удалению, обязательно сделайте .

После того, как вы сделали бэкап, заходите в файл footer.php, находите все перечисленные выше ссылки и убирайте их от a> до .

Затем проверяете, как работает сайт. Если вдруг вы не можете зайти в админку, это значит, что в файле functions.php введены ограничения на удаление данных ссылок. В этом случае, замените измененные файлы шаблона на те, которые вы ранее сохранили. Зайдите в файл functions.php и найдите там такую строку: vs (fgecbf ($p,$y)==0 . В ней нужно заменить 0 на 1. После этого вновь удалите ссылки.

Как избавиться от зашифрованного кода?

Второй вид сообщения, которое может показать ТАС – это «». Вот пример:

В данном случае, кроме статической ссылки, есть также зашифрованный код методом base64. На картинке видно, что находится он в сайдбаре. Line 89 – указывает номер строки, где размещен код. Но для того, чтоб его удалить, для начала нужно его расшифровать. Вы можете попробовать сразу удалить его, но он может содержать и нужные элементы.

Находите по номеру строчки код в файле sidebar.php (в вашем случае он может также находиться в footer.php). Выглядеть он может примерно так:

Копируйте весь этот набор букв и цифр. Для его расшифровки понадобиться специальный сервис. Вот один из них: base64-encoder-online.waraxe.us

Вставляйте код в пустое поле и нажмите «Decode data»:

Сервис преобразует зашифрованный код в привычный нам. В нем нужно найти те части, которые отвечают за вывод ссылки (a href). Теперь мы видим обычный статический код, который находим в файле сайдбара и, по аналогии с вышеописанным способом, удаляем.

После этого еще раз проверьте тему с помощью плагина ТАС. В идеале он должен показать «Theme OK!» и отсутствие статических ссылок.

На этом работа с данным плагином окончена, и его нужно деактивировать, а лучше удалить, чтобы не хранить лишний мусор.

Смотрим видео о плагине, если остались вопросы:

Второй способ проверки шаблона на ссылки

Бывает, что плагин не находит всех ссылок. Поэтому рекомендую еще раз просмотреть код глазами. В браузере щелкните правой кнопкой мыши по рабочей области и выберите «Исходных код» (в разных браузерах название может отличаться). Глазами просмотрите html-код вашего сайта на наличие внешних ссылок. Можно воспользоваться поиском (Ctrl+F), введя в поле <а и просмотрев все найденные ссылки.

P.S. В этом году нас собралось шестеро для катания в Хибинах. Снимаем трехкомнатную квартиру за 400р. в сутки с человека недалеко от городского склона. Целыми днями катаемся по разным трассам, а вечерами развлекаемся дома. Сегодня я решила временно поменять сноуборд на лыжи, взяла их у подруги и начала учиться. Зацените фотки:

Так будку на вершине горы ветер облепил снегом:

С каталки прихожу обессиленная, поэтому разбираться с вопросами в комментариях пока времени не найду. Желаю и вам снежных зим, пока!

Доброго времени суток, посетители сайт! Сегодня я хочу рассмотреть следующий вопрос: защита блога на WordPress.
Это один из важных вопросов, о решении которого нужно позаботиться сразу же после создания блога на WordPress. Я постараюсь перечислить основные способы защиты блога на WordPress.

Защищаем вход в панель администратора

Данные для доступа в админку . Придумайте сложный пароль для доступа в админку, а также смените стандартное имя админ, на любое другое свое. Для этого создайте нового пользователя с новым именем и установите ему права доступа администратора. После этого выйдите из админки и зайдите под новыми данными. После этого удалите учетную запись админа. Сделав это Вы обезопасите блог от взлома.
Пароли . Не храните пароли от админ панели в браузере. Если Вы используете Total Commander для FTP-доступа к сайту, то тоже не рекомендуется хранить там пароль. позаботьтесь о защите своего компьютера - установите хороший антивирус и файерволл.
Ограничение на количество попыток входа в админку . Установите плагин Login LockDown, который автоматически настроен на ограничение неудачных попыток входа в админку. Дается 3 попытки для ввода данных, после этого доступ к странице будет заблокирован на час. Подробнее о защите админки
Последняя версия WordPress . Используйте последнюю версию движка WordPress, а также не забывайте обновлять плагины до последних версий. Как обновить движок WordPress написано .

Скрываем версию WordPress

Установите плагин, который скрывает версию WordPress при просмотре кода страницы. Этот плагин называется Replace WP-Version. Если не хотите создавать дополнительную нагрузку плагином, то тогда Вам нужно в файле header.php удалить следующую строчку кода:” />.

Как посмотреть версию движка, который установлен на Вашем сайте. Зайдите в админку и в самом верху перейдите в пункт меню Консоль - Главная. Если Вам предлагают обновиться до новой версии, то не игнорируйте это предложение и уделите пару минут обновлению.

А как узнать какая версия WordPress у любого другого блога? Нужно открыть исходный код страницы анализируемого сайта, нажав комбинацию клавиш CTRL+U и в самом верху найти мета тэг:

;

Есть два способа скрыть версию движка WordPress.

Установите плагин Replace WP-Version. Все что нужно - установить и активировать его. И он сам скроет информацию о версии вордпресс.
Добавить в файл functions.php небольшой код: remove_action("wp_head", "wp_generator");

Проверяем шаблон блога на уязвимости

На безопасность Вашего блога может повлиять тема, которую Вы скачали из интернета и в которой содержится зашифрованный код. Поэтому следует проверить установленную тему на наличие скрытых кодов плагином TAC.

В админке блога находим раздел Плагины - нажимаем Добавить новый - и в открывшемся окне вводим в строку поиска его название: TAC.

Устанавливаем плагин TAC и активируем его. Для открытия страницы плагина, найдите в разделе Внешний вид - нажмите TAC. Откроется страница на которой будут представлены результаты поиска закодированных ссылок по всем установленным темам на сайте. Вот пример темы, в которой найден зашифрованный код "base64_decode" в файле сайдбара.

Зашифровали эту ссылку для того, чтобы вы не смогли ее сразу удалить. Расчет идет на то, что вы как новичок, смиритесь с ее наличием. Предлагаю вам самостоятельно разобраться тем, как удалять подобные ссылки. Вопросу посвящена отдельная статья, прочтите ее.

Защита файлов сайта

WP-Security Scan . Данный плагин подскажет, какие уязвимости есть на Вашем блоге и что нужно исправить. Подробнее о плагине WP-Security Scan я напишу в отдельной статье. К примеру, он показывает какие права сейчас стоят на папках и какие должны быть, чтобы обеспечить защиту блога на WordPress.
Доступ к папкам . Введите в адресную строку по очереди эти адреса
http://ваш домен/wp-content/
http://ваш домен/wp-content/plugins/
По каждой из ссылок должна открыться чистая страница. Если же открывается список фалов или что-то другое, то Вам нужно поменять права доступа к папкам.
Хостинг . Какое отношение к безопасности блога имеет хостинг - скажете Вы. Да самое прямое. На форумах иногда можно встретить темы, в которых люди пишут, что их блог погиб из-за некачественного хостинга, который взломали. Выбирайте для своего сайта сразу , который обезопасит Ваш блог от подобных проблем в будущем.

Делайте бэкапы

Не поленитесь и установите плагин WordPress Database Backup, который автоматически делает резервные копии базы данных и отправляет на указанный имейл. Также, если Вы решили доработать стандартный шаблон и сделали кое-какие правки в файлах темы, то потратьте в минуты и скачайте на компьютер папку с обновленным шаблоном. В случае чего, у Вас будет под рукой и архив базы данных и темы, что позволит восстановить блог за пару минут.

Скачайте последнюю версию плагина WordPress Database Backup с сайта wordpress.org . Или через поиск плагинов найдите WP-DB-Backup.

После успешной установки и активации, зайдите в раздел Инструменты – Резервное копирование :

На странице настроек плагина WordPress Database Backup можно указать дополнительно какие таблицы базы данных сохранять, кроме основных. Сделать резервную копию базы данных и сохранить ее на компьютер или отправить на имейл. А также задать расписание автоматического создания резервной копии базы данных и отправки ее на имейл:

На установку и настройку плагина WordPress Database Backup у Вас уйдет пару минут, но зато в будущем в случае чего это сохранит Вам кучу нервов и времени.

Надеюсь эти советы помогут Вам сделать свой блог более безопасным. Защита блога на WordPress важна, если Вы не хотите в один день потерять результаты работы и начинать все с чистого листа.

Если Вам известны другие методы защиты блога на WordPress, которых нет в списке, то пишите их в комментариях.

Scan all of your theme files for potentially malicious or unwanted code.

What TAC Does

TAC stands for Theme Authenticity Checker. TAC searches the source files of every installed theme for signs of malicious code. If such code is found, TAC displays the path to the theme file, the line number, and a small snippet of the suspect code. As of v1.3 TAC also searches for and displays static links.

Then what do you do? Just because the code is there doesn’t mean it’s not supposed to be or even qualifies as a threat, but most theme authors don’t include code outside of the WordPress scope and have no reason to obfuscate the code they make freely available to the web. We recommend contacting the theme author with the code that the script finds, as well as where you downloaded the theme.
The real value of this plugin is that you can quickly determine where code cleanup is needed in order to safely enjoy your theme.

TAC got its start when we repeatedly found obfuscated malicious code in free WordPress themes available throughout the web. A quick way to scan a theme for undesirable code was needed, so we put together this plugin.

After Googling and exploring on our own we came upon the article by Derek from 5thiryOne regarding this very subject. The deal is that many 3rd party websites are providing free WordPress themes with encoded script slipped in – some even going as far as to claim that decoding the gibberish constitutes breaking copyright law. The encoded script may contain a variety of undesirable payloads, such as promoting third party sites or even hijack attempts.

Screenshots

Installation

Go to Appearance -> TAC in the WordPress Admin

FAQ

Installation Instructions

After downloading and extracting the latest version of TAC:

Upload tac.php to the /wp-content/plugins/ directory
Activate the plugin through the ‘Plugins’ menu in WordPress
Go to Appearance -> TAC in the WordPress Admin
The results of the scan will be displayed for each theme with the filename and line number of any threats.
You can click on the path to the theme file to edit in the WordPress Theme Editor

What if I find something?

Contact the theme’s original author to double check if that section of code is supposed to be in the theme in the first place – chances are it shouldn’t as there isn’t a logical reason have obfuscated code in a theme.

If something is malicious or simply unwanted, TAC tells you what file to edit, you can even just click on the file path to be taken straight to the WordPress Theme Editor.

Why does TAC list static links?

First of all, static links aren’t necessarily bad, TAC just lists them so you can quickly see where your theme is linking to.

What about future vulnerabilities?

As we find them we will add them to TAC . If you find one, PLEASE let us know:
Contact builtBackwards or post in the

Changelog

Version 1.5.2
* Compatible with WP 3.9.3

Version 1.5.1
* Compatible with 3.8

Version 1.5

Compatible with 3.4
Updated deprecated function calls to current
Updated visible display names for sanity
Capitalized all ‘P’s in WordPress 🙂
Fixed PHP warning messages from uninitiated variables

Version 1.4.1

Compatible with WordPress 2.9
Added alt tags to theme screenshots

Version 1.4

Compatible with WordPress 2.8!
Tested in Firefox 3.0.11 and Internet Explorer 8
JavaScript hiding/showing of theme details

Version 1.3 (Fixes + New Feature)

Changed title to “Theme Authenticity Checker”, same acronym, makes more sense
Compatible with WordPress 2.2 – 2.6.1
NEW! Checks for embedded Static Links
NEW! Direct links for editing suspicious files in the WordPress Theme Editor
Improved the CSS
Uses its own function to get theme file paths

Version 1.2 (Fixes)

Band-aid fixes to theme file paths that were altered by the update to get_themes() in WordPress 2.6
This release is only compatible with WordPress 2.6

Version 1.1 (Fixes)

Style sheet doesn’t explode any more when certain threats are detected
Modified code snippet output to prevent interfering with page structure
Improved styling for slightly more appealing output

Version 1.0 (First Release)

This is the initial release of TAC.

), которые ставятся в первую очередь, до того, как решили установить новую тему, бесплатно скаченную на просторах Интернет. Впрочем, и для платного скачивания он поможет убрать лишнее.

Скачать и установить можно двумя способами:

Черед админ. меню: Плагины -> Добавить новый -> Поиск: TAC , Theme Authenticity Checker (TAC), Установить, Активировать;
Или с оф. сайта WordPress: Theme Authenticity Checker (TAC) . Положить в папку, не забыв распаковать архив: ../wp-content/plugins.

Зачем устанавливать TAC ?

Проще, продемонстрировать, визуально …

Итак, решил сделать красоту у себя на сайте. Стандартные темы, впрочем, как и те, что можно поискать средствами самого ВП (Из админ. меню: Внешний вид -> Темы -> Избранные / Популярные / Свежие ) вызывают скуку. Или бедный функционал, нет простора для полета творческой мысли, да и, вообще …

В Интернет много бесплатный шаблонов для Вордпресс, много платных, много бесплатно платных. Особенно, вызывают интерес последние. Не так ли?

Ни один вэб мастер не устоит перед соблазном бесплатно скачать премиум темы для Вордпресс, и я не исключение. Правда, в оправдание себя скажу, я беру темы, чтоб их изучить, понять насколько они мне подходят, а если тема, действительно, стоящая — беру, не раздумывая.

Мне очень нравятся шаблоны молодой студии: mythemeshop.com (в рунете не засвечены, для сео очень хороши);
И старожил, премиум класса шаблоны: themeforest.net .

У меня есть опыт покупки платной темы, как «кота в мешке». После недельного обдумывания — решился, не пожалел. Получил, что хотел, но все же некоторые неприятные нюансы возникли.

Увлекся, еще раз, по этапам:

1 Скачали приглянувшийся шаблон Вордпресс к себе на ПК, затем его установили и активировали (). У меня это будет шаблон Sivex 1.2. 2 В меню администратора сайта: Внешний вид -> TAC

Возможны три варианта развития событий, см. рис:

Theme Ok! — с темой все в порядке, можно ни о чем беспокоится, использовать, как душе вэб мастера угодно.

Encrypted Code Found! (Зашифрованный код найден! ) — забудьте о ней, легче найти другую подобную тему. Уж, поверьте. Да, можно вырезать код или подменить футер. Но шкурка вычинки не стоит. Проще найти безопасную тему. А уж, если это «та самая» — то купите у разработчиков.

Но обратите на разницу между случаем (1) и случаем (3). Кстати, первый случай — платная тема, второй — платная тема .

Все прояснить кнопочка «Details »

1 — можно исправить, убрать ссылки. Или выбрав [Edit ] (может не получится), или через админ. часть: Внешний вид -> Редактор -> Выбрать тему для изменения , выбрать соответственный файл (который — синий). Или через файловый менеджер самого хостинга или через ФТП…

Но в любом случае, это «лечится», а некоторые ссылки не видны никому кроме вас, можно и не трогать.

3 После того, как проверили шаблон на «вшивость» — плагин можно деактивировать: Плагины -> Установленные -> ТАК, Деактивировать

Чем опасен Encrypted Code Found! (Зашифрованный код найден! «)

Вариантов несколько, но смысл один: ссылка на сторонний ресурс, никак более не связанная с вашим сайтом или блогом. Причем ссылка, от которой легко не избавиться. При попытка это сделать — сайт становиться не работоспособным (часто — белый экран, реже — дополнительные визуальные «артефакты». У меня было такое: вверху, вначале страницы, появился синий текстовый блок с ругательством в мою честь).

Приветствую вас, дорогие друзья, коллеги, дамы и господа! Сегодня поговорим о очень плагине TAC ) ,что в переводе означает "проверка темы на подлинность".Плагин TAC предназначен для сканирования исходных файлов шаблона (темы) на наличие в них посторонних, вредоносных, а так же закодированных ссылок. Если проще сказать, ищет скрытые левые в теме WordPress .

Как правило в каждом шаблоне есть ссылки на сайт автора , они видны не вооруженным глазом, здесь все честно: вам бесплатный шаблон, ему обратную ссылку. Но есть такие пингвины (не хорошие люди), которые кодируют ссылки и вставляют их в шаблон. При попытке их удалить, просто за просто ломается шаблон блога или он перестает работать. Тем самым такие поганцы зарабатывает на этом, предлагая за определенную сумму их удалить. Другие, таким образом продвигают свои сайты (говносайты) наращивая тиц, а если линк ведет на плохой ресурс,то может пострадать ваш блог. Вам это надо? Конечно нет. Для того, чтобы проверять установленные темы на посторонние ссылки, надо обязательно установить модуль TAC.

Как установить плагин Theme Authenticity Checker (TAC)

Установка плагина происходит через админ панель вашего блога, в разделе Плагины-Добавить новый. В окошке поиска вставьте название Theme Authenticity Checker (TAC) и нажмите поиск:

Поиск Theme Authenticity Checker (TAC)

Затем, на открывшееся странице нажимаем "Установить". После установки не забудьте его активировать:

Установить плагин Tac и его активировать

Как пользоваться плагином TAC

Заходим в раздел Внешний вид и кликаем на подраздел TAC:

Кликаем на TAC

Один клик и перед вами предстанут установленные ваши шаблоны. Если с темами все в порядке, то картина будет такая:

С темами все окей

Можете спать спокойно, с шаблонами все окей. Если появится такое:

Тоже страшного в этом ни чего нет. Это статические ссылки. Они могут вести на Twitter автора или на RSS фид. Их спокойно можно удалить. Чтобы узнать о них в подробностях, нажмите на кнопку Details и плагин отобразит (как на скрине выше) всю ссылку и где они находятся в шаблоне. Вот мы и подошли к самому не приятному моменту, это когда рядом с темой покажется красненькое предупреждение:

Закодированный код в теме

Значит в теме установлена закодированная ссылка (base64_decode). В подробностях плагин даст информацию: путь к файлу темы, номер строки и небольшой фрагмент подозрительного кода. Для новичков лучше избавиться от такого шаблона и больше не скачивать их на сайте, где происходят такие не хорошие вещи. Мой вам совет: используйте темы с официального сайта WordPress.org, там их тысячи. Но если вам очень нравится шаблон и там есть закодированные ссылки, то можно попытаться их декодировать. Как это сделать, читайте в следующих статьях.

Всего доброго. Удачи и всегда проверяйте плагином TAC. Обезопасьте себя от неприятностей.