如何检查模板是否安全
因为以前看到过,一些免费模板会有后门,截取你的佣金,所以我想问一下,如何检查模板及网站是否安全。谢谢!
买正版的,肯定安全。
wpscan 可以扫描一些,但也不能保证绝对没后门。
最好的方式就是自己掌握简单的代码知识,否则防不胜防
有工具可以扫描的吧...
看来有必要买几个付费模板了。
1、看php文件有没有加密的,用search&replace这类的软件搜索整个目录,使用zend,ionCube,eval,base64,gzinflate分别做关键词,查看是否有加密的代码
2、如果有加密的就dezend
3、再搜索mail,curl,看有没有自动发邮件、开网页的行为
4、最后搜搜<url,看看有没有偷偷加链接
经过这四步,基本就算比较干净的代码了
防不胜防阿,不要钱的就有风险。
fatfox21 发表于 2013-10-22 10:29 static/image/common/back.gif
1、看php文件有没有加密的,用search&replace这类的软件搜索整个目录,使用zend,ionCube,eval,base64,gzinf ...
这几条确实是有效的预防手段,用免费模板还是这样子查上一遍的好。
本帖最后由 猪农 于 2013-10-22 21:46 编辑
这里有个方法,你可以参考,免费而且是快速,对还不懂代码的朋友可能有帮助。
1. 使用WP插件 - TAC Theme Authenticity Checker (TAC), wordpress.org/plugins/tac/或者自己在 WP 里搜插件”TAC“,你的theme装上以后,它就会提示你 OK 或者 有问题:
绿色的Theme OK! 或者 粉红色的 Encrypted Code Found! 然后自己用编辑器搞搞就OK了。
2. 只从WP官方的wordpress.org里下载免费主题,也就是只用自己在WP可以搜到的那些。这些都是严格审核过的,不会有问题。
要知道,从谷歌搜出来的免费好看的主题,大部分都是有base64搞过的。
猪农 发表于 2013-10-22 18:07 static/image/common/back.gif
这里有几个方法,你可以参考,免费而且是快速,对还不懂代码的朋友可能有帮助。
1. 使用WP插件 - TAC
非常感谢!!
页:
[1]