Безопасность

Плагин TAC. Простой совет к установке шаблонов

30.06.2020
Плагин TAC. Простой совет к установке шаблонов

Доброго времени суток, посетители сайт! Сегодня я хочу рассмотреть следующий вопрос: защита блога на WordPress.
Это один из важных вопросов, о решении которого нужно позаботиться сразу же после создания блога на WordPress. Я постараюсь перечислить основные способы защиты блога на WordPress.

Защищаем вход в панель администратора

  1. Данные для доступа в админку . Придумайте сложный пароль для доступа в админку, а также смените стандартное имя админ, на любое другое свое. Для этого создайте нового пользователя с новым именем и установите ему права доступа администратора. После этого выйдите из админки и зайдите под новыми данными. После этого удалите учетную запись админа. Сделав это Вы обезопасите блог от взлома.
  2. Пароли . Не храните пароли от админ панели в браузере. Если Вы используете Total Commander для FTP-доступа к сайту, то тоже не рекомендуется хранить там пароль. позаботьтесь о защите своего компьютера - установите хороший антивирус и файерволл.
  3. Ограничение на количество попыток входа в админку . Установите плагин Login LockDown, который автоматически настроен на ограничение неудачных попыток входа в админку. Дается 3 попытки для ввода данных, после этого доступ к странице будет заблокирован на час. Подробнее о защите админки
  4. Последняя версия WordPress . Используйте последнюю версию движка WordPress, а также не забывайте обновлять плагины до последних версий. Как обновить движок WordPress написано .

Скрываем версию WordPress

Установите плагин, который скрывает версию WordPress при просмотре кода страницы. Этот плагин называется Replace WP-Version. Если не хотите создавать дополнительную нагрузку плагином, то тогда Вам нужно в файле header.php удалить следующую строчку кода:” />.

Как посмотреть версию движка, который установлен на Вашем сайте. Зайдите в админку и в самом верху перейдите в пункт меню Консоль - Главная. Если Вам предлагают обновиться до новой версии, то не игнорируйте это предложение и уделите пару минут обновлению.

А как узнать какая версия WordPress у любого другого блога? Нужно открыть исходный код страницы анализируемого сайта, нажав комбинацию клавиш CTRL+U и в самом верху найти мета тэг:

;

Есть два способа скрыть версию движка WordPress.

  1. Установите плагин Replace WP-Version. Все что нужно - установить и активировать его. И он сам скроет информацию о версии вордпресс.
  2. Добавить в файл functions.php небольшой код: remove_action("wp_head", "wp_generator");

Проверяем шаблон блога на уязвимости

На безопасность Вашего блога может повлиять тема, которую Вы скачали из интернета и в которой содержится зашифрованный код. Поэтому следует проверить установленную тему на наличие скрытых кодов плагином TAC.

В админке блога находим раздел Плагины - нажимаем Добавить новый - и в открывшемся окне вводим в строку поиска его название: TAC.

Устанавливаем плагин TAC и активируем его. Для открытия страницы плагина, найдите в разделе Внешний вид - нажмите TAC. Откроется страница на которой будут представлены результаты поиска закодированных ссылок по всем установленным темам на сайте. Вот пример темы, в которой найден зашифрованный код "base64_decode" в файле сайдбара.

Зашифровали эту ссылку для того, чтобы вы не смогли ее сразу удалить. Расчет идет на то, что вы как новичок, смиритесь с ее наличием. Предлагаю вам самостоятельно разобраться тем, как удалять подобные ссылки. Вопросу посвящена отдельная статья, прочтите ее.

Защита файлов сайта

  1. WP-Security Scan . Данный плагин подскажет, какие уязвимости есть на Вашем блоге и что нужно исправить. Подробнее о плагине WP-Security Scan я напишу в отдельной статье. К примеру, он показывает какие права сейчас стоят на папках и какие должны быть, чтобы обеспечить защиту блога на WordPress.
  2. Доступ к папкам . Введите в адресную строку по очереди эти адреса
    http://ваш домен/wp-content/
    http://ваш домен/wp-content/plugins/
    По каждой из ссылок должна открыться чистая страница. Если же открывается список фалов или что-то другое, то Вам нужно поменять права доступа к папкам.
  3. Хостинг . Какое отношение к безопасности блога имеет хостинг - скажете Вы. Да самое прямое. На форумах иногда можно встретить темы, в которых люди пишут, что их блог погиб из-за некачественного хостинга, который взломали. Выбирайте для своего сайта сразу , который обезопасит Ваш блог от подобных проблем в будущем.

Делайте бэкапы

Не поленитесь и установите плагин WordPress Database Backup, который автоматически делает резервные копии базы данных и отправляет на указанный имейл. Также, если Вы решили доработать стандартный шаблон и сделали кое-какие правки в файлах темы, то потратьте в минуты и скачайте на компьютер папку с обновленным шаблоном. В случае чего, у Вас будет под рукой и архив базы данных и темы, что позволит восстановить блог за пару минут.

Скачайте последнюю версию плагина WordPress Database Backup с сайта wordpress.org . Или через поиск плагинов найдите WP-DB-Backup.

После успешной установки и активации, зайдите в раздел Инструменты – Резервное копирование :


На странице настроек плагина WordPress Database Backup можно указать дополнительно какие таблицы базы данных сохранять, кроме основных. Сделать резервную копию базы данных и сохранить ее на компьютер или отправить на имейл. А также задать расписание автоматического создания резервной копии базы данных и отправки ее на имейл:


На установку и настройку плагина WordPress Database Backup у Вас уйдет пару минут, но зато в будущем в случае чего это сохранит Вам кучу нервов и времени.

Надеюсь эти советы помогут Вам сделать свой блог более безопасным. Защита блога на WordPress важна, если Вы не хотите в один день потерять результаты работы и начинать все с чистого листа.

Если Вам известны другие методы защиты блога на WordPress, которых нет в списке, то пишите их в комментариях.

Привет всем. При ведении блога важно соблюдать определенные правила при работе, а также важно решать все проблемы, связанные с тем, что могло бы оказать отрицательное влияние на ваш сайт.

Как правило, для решения проблем, устранения ошибок пользуемся плагина, которые в свою очередь являются незаменимыми помощниками при ведении блога.

Итак, о чем сегодня поговорим? Речь пойдет о плагине TAC для wordpress.

Что это за плагин и для чего он нужен?

TAC WordPress - это плагин, который находит вредоносный код на вашем сайте и скрытые ссылки, что касается кода, то он скорее всего не вредоносный, а ненужный, то есть тот, который был выполнен на вашем сайте в теме WordPress.

Наверное, не для кого не является секретом то, что шаблонов вордпресс в общем доступе большое количество. Поэтому, если вы скачали, где-то тему вордпресс, обязательно проверяйте её, либо скачивайте шаблон на официальных сайтах, поскольку все те ресурсы, которые просто разместили шаблоны на своем блоге не несут никакой ответственности.

Вот вы скачали тему (шаблон) с неизвестного сайта, а там был интегрированный код, то есть кто-то отредактировал чужой шаблон и выдает за свой. В нем сохраняются коды предыдущего владельца, следовательно, структура интегрированная.

Специалист справится, если он про это узнает, а вот вы разбираетесь в этом, думаю, что нет. Хотите самостоятельно, что-то сделать, пожалуйста, только вот не забудьте, что на этом держится и часть вашего блога. К тому, что шутить опасно.

Ну, раз так, тогда, что делать? Как уже было сказано ранее в этом вам поможет плагин TAC WordPress .

Плагин может найти код вредоносный в шаблоне, например, hijack. Он меняет настройки в браузере на вашем блоге. В общем, установив его вы сумеет найти сомнительные элементы.

Давайте сейчас разберемся и с тем, что собой вообще представляет сам плагин.

TAC — это сокращенное название, проще говоря, аббревиатура. Расшифровывается она следующим образом: Theme Authentication Checker.

Работает плагин, исключительно, с темой вашего сайта, точнее говоря, плагин заходит непосредственно в папку themes и наводит там порядок, ищет плохой код. Нашел TAC нежелательный код и прописывает вам путь, где он нашел тот самый вредоносный скрипт.

Для работы желательно использовать NotePad++.

Как установить и настроить?

Плагин Theme Authentication Checker скачиваем на официальном сайте вордпресс. Это очень важно, так как другие сайты, как вы поняли, не несут никакой ответственности за то, что вы скачиваете что-либо у них.

После загрузки скидываем плагин на диск C или Y (так делаю лично я, вы можете просто перенести плагин на рабочий стол). Обязательно откройте архив и закиньте плагин в папку plugins на хостинге, есть возможность соединиться с FTP-сервером используя FTP-клиент (TotalCommander, FileZilla).

После проделанной операции вы должны перейти в административную панель своего сайта. Попасть туда можно, прописав domen.ru/wp-admin. В поле домен свой блог.

Попадаем в Консоль. Нам необходимо перейти в Плагины, кликаем по этому разделу и перед нами открыты все плагины вашего сайта. Находим здесь Theme Authentication Checker и прямо под ним жмем Активировать.

Все, плагин заработал. От вас требуется произвести ряд настроек, которые помогут привести TAC в действие. И тогда вы сумеете определить есть ли в вашем шаблоне вредоносный код или нет. Все это делать нужно в обязательном порядке. Именно поэтому сейчас будем разбираться в настройках.

Открываем раздел Внешний вид, он находится в админ панели и переходим в TAC.

Если все идеально, то есть никаких проблем нет, тогда у вас будет перед каждой темой высвечивается зеленая кнопка OK. То есть вери гуд, все очень хорошо. Раз так, значит нажимаем Деактивировать плагин.

Если вдруг у вас шаблон с нежелательным, а что еще хуже с вредоносным кодом, тогда высветится красная аббревиатура и будет прописан путь туда, где эта ошибка существует на сей день.

В этом случае, вам обязательно следует воспользоваться предложением, которое располагается поверх тем, то есть обратиться за помощью. Поверх шаблонов, будет написано: чтобы получить подробную информацию перейдите по ссылке, а также вы можете разобрать ошибки на форуме вордпресс.

Как бережно удалить код не изменив все остальные файлы?

Нашли вы то, что надо удалить или справить! Как это сделать? Как было сказано выше, можно обратить в форум вордпресс. Но самостоятельные действия тоже никто не отменял.

1. Сделайте резервную копию кода вашей темы. И попытайтесь удалить ненужные внешние ссылки. После проделанной операции попробуйте загрузить админ панель, если это не выполняется и что-то прописано на английском языке, тогда возвращайте все обратно.

2. Если получилось все именно так, то знайте, что это недоброжелатели, которые разместили уже давно в шаблоне вашего блога ссылку на свой ресурс, но как они смогли разместить её тут. Все очень просто, они ничего не взламывали, в этом им помогли именно вы, скачав шаблон со встроенной внешней ссылкой.

В такой ситуации лучшим вариантом будет замена шаблона. Главное не отключайте плагин, а эксплуатируйте его до тех пор, пока не найдете чистую тему без лишних кодов и ссылок.

На этом у меня. Надеюсь, что вы не нашли никаких ошибок на своем блоге. Если нашли, то применяйте вышеупомянутые методы устранения. Выполнив работу по чистке один раз вы больше никогда не встретитесь с подобным. За исключением

Желаю Вам удачи в продвижении ресурса. Пока-пока.

С уважением, Жук Юрий.

Приветствую вас, дорогие друзья, коллеги, дамы и господа! Сегодня поговорим о очень плагине TAC ) ,что в переводе означает "проверка темы на подлинность".Плагин TAC предназначен для сканирования исходных файлов шаблона (темы) на наличие в них посторонних, вредоносных, а так же закодированных ссылок. Если проще сказать, ищет скрытые левые в теме WordPress .

Как правило в каждом шаблоне есть ссылки на сайт автора , они видны не вооруженным глазом, здесь все честно: вам бесплатный шаблон, ему обратную ссылку. Но есть такие пингвины (не хорошие люди), которые кодируют ссылки и вставляют их в шаблон. При попытке их удалить, просто за просто ломается шаблон блога или он перестает работать. Тем самым такие поганцы зарабатывает на этом, предлагая за определенную сумму их удалить. Другие, таким образом продвигают свои сайты (говносайты) наращивая тиц, а если линк ведет на плохой ресурс,то может пострадать ваш блог. Вам это надо? Конечно нет. Для того, чтобы проверять установленные темы на посторонние ссылки, надо обязательно установить модуль TAC.

Как установить плагин Theme Authenticity Checker (TAC)

Установка плагина происходит через админ панель вашего блога, в разделе Плагины-Добавить новый. В окошке поиска вставьте название Theme Authenticity Checker (TAC) и нажмите поиск:

Поиск Theme Authenticity Checker (TAC)

Затем, на открывшееся странице нажимаем "Установить". После установки не забудьте его активировать:

Установить плагин Tac и его активировать

Как пользоваться плагином TAC

Заходим в раздел Внешний вид и кликаем на подраздел TAC:

Кликаем на TAC

Один клик и перед вами предстанут установленные ваши шаблоны. Если с темами все в порядке, то картина будет такая:

С темами все окей

Можете спать спокойно, с шаблонами все окей. Если появится такое:

Тоже страшного в этом ни чего нет. Это статические ссылки. Они могут вести на Twitter автора или на RSS фид. Их спокойно можно удалить. Чтобы узнать о них в подробностях, нажмите на кнопку Details и плагин отобразит (как на скрине выше) всю ссылку и где они находятся в шаблоне. Вот мы и подошли к самому не приятному моменту, это когда рядом с темой покажется красненькое предупреждение:

Закодированный код в теме

Значит в теме установлена закодированная ссылка (base64_decode). В подробностях плагин даст информацию: путь к файлу темы, номер строки и небольшой фрагмент подозрительного кода. Для новичков лучше избавиться от такого шаблона и больше не скачивать их на сайте, где происходят такие не хорошие вещи. Мой вам совет: используйте темы с официального сайта WordPress.org, там их тысячи. Но если вам очень нравится шаблон и там есть закодированные ссылки, то можно попытаться их декодировать. Как это сделать, читайте в следующих статьях.

Всего доброго. Удачи и всегда проверяйте плагином TAC. Обезопасьте себя от неприятностей.

(function(w, d, n, s, t) { w[n] = w[n] || ; w[n].push(function() { Ya.Context.AdvManager.render({ blockId: "R-A-292864-4", renderTo: "yandex_rtb_R-A-292864-4", async: true }); }); t = d.getElementsByTagName("script"); s = d.createElement("script"); s.type = "text/javascript"; s.src = "//an.yandex.ru/system/context.js"; s.async = true; t.parentNode.insertBefore(s, t); })(this, this.document, "yandexContextAsyncCallbacks");

Плагин TAC служит для проверки кода темы сайта на наличие внешних закодированных ссылок. При создании сайта под управлением WordPress, вебмастера устанавливают на только что созданный сайт тему, для оформления внешнего вида сайта.

Для WordPress существует огромное количество тем, как платных, так и бесплатных. После выбора и активации понравившейся вам темы, ее необходимо проверить на наличие в этой теме закодированных ссылок.

Плагин TAC (Theme Authenticity Checker) выявляет в коде темы ненужные и закодированные внешние ссылки. Плагин TAC показывает все ссылки находящиеся в выбранной вами теме WordPress.

Для чего необходимо избавиться от таких ссылок? Постепенно вы раскручиваете свой сайт, а размещенные в теме вашего сайта ссылки могут работать на сайт того человека, который их установил в этой теме.

Сайт и каждая страница имеет в поисковых системах определенный вес, а при наличии таких ссылок такой вес будет переходить с вашей страницы на чужой сайт. Чем больше такой вес страниц вашего сайта, тем выше они будут находиться в результатах поисковой выдачи.

Кроме того, в шаблон может быть установлен вредоносный код, который будет менять настройки вашего браузера. При установке и активации новой темы, ее всегда нужно проверять плагином TAC.

Установка плагина TAC

Для установки плагина TAC входите в «Админ-панель WordPress» => «Плагины» => «Добавить новый». В окне «Установить плагины» в поле «Поиск» нужно ввести выражение «TAC». После этого необходимо нажать на кнопку «Поиск плагинов».

В окне «Установить плагины» вы увидите плагин TAC (Theme Authenticity Checker), а затем нажимаете на ссылку «Установить». После подтверждения происходит установка плагина TAC. В окне «Установка плагина: TAC (Theme Authenticity Checker)» нажимаете на ссылку «Активировать плагин».

Проверка кода темы плагином TAC

После установки плагина TAC входите в «Админ-панель WordPress» => «Внешний вид» => «TAC».

Теперь вы можете проверить код загруженных вами тем. Плагин автоматически определяет состояние загруженных тем. Он проверят простые ссылки и закодированные ссылки, которые могут находиться в коде темы.

Если тема прошла проверку плагином TAC, то тогда в зеленой рамке будет написано выражение «Theme Ok!».

Рядом с этой рамкой, в желтой рамке, расположенной рядом, будет показано, сколько простых внешних ссылок находится в этой теме. Некоторые темы, в наилучшем случае, могут быть и без таких ссылок.

При нажатии на кнопку «Details» будут отмечены ссылки, которые присутствуют в вашей теме, а также в каком именно месте они установлены.

  • Внимание! Перед любым изменением в файлах темы всегда делайте резервную копию изменяемого файла, чтобы восстановить работоспособность вашего сайта в случае неудачных действий. Файл, который вы хотите изменить, скопируйте перед этим в текстовый редактор, например, в блокнот.

Вы можете попытаться удалить или переименовать эти ссылки, или просто закрыть их от индексации.

Для этого нужно войти в «Админ-панель WordPress» => «Внешний вид» => «Редактор» => «Редактировать темы». В этом окне необходимо выбрать соответствующий шаблон для изменения.

После удаления ссылки перейдите на свой сайт и убедитесь, что он работоспособен после проведенных вами изменений в файлах темы вашего сайта. В случае неудачного действия, замените измененный вами файл на резервную копию оригинального файла.

Если шаблон не прошел проверку плагином TAC, то в красной рамке будет видно сообщение «Encrypted Code Found!».

Это выражение означает, что в коде темы есть закодированные ссылки. При нажатии на кнопку «Details» будут показаны закодированные ссылки, которые находятся в выбранной теме.

Можно попробовать, если это возможно, удалить или раскодировать такие ссылки. Вам придется самим принять решение, устанавливать на ваш сайт, такую тему или нет.

После того, как тема прошла проверку, вы можете ее активировать для дальнейшего использования.

Деактивация плагина TAC

После проверки темы плагин TAC можно деактивировать, чтобы не создавать дополнительную нагрузку на ваш сайт.

Для этого входите в «Админ-панель WordPress» => «Плагины» => «Установленные» => «TAC», и там нажимаете на ссылку «Деактивировать». Но, если этого не сделать, тогда плагин TAC останется активированным.

В следующий раз, вам необходимо будет снова активировать плагин TAC, когда вы будете менять тему для своего сайта, для проверки внешних ссылок.

Выводы статьи

Плагин TAC позволяет найти внешние, в том числе закодированные ссылки, которые могут находиться в выбранной теме для вашего сайта.



Возможно вас заинтересует