wordpress.org 和许多其他第三方都有数以千计的插件和主题。有很多可能会上传不良插件和主题,一旦上传,就可以将有关网站的信息发送给其所有者。它还可以在 wp-config.php 中发送信息(高安全风险)。
请告诉我如何保护wordpress网站,而不是逐行阅读代码。另请告诉我, wordpress.org 的插件和主题是否会被wordpress开发人员分析为威胁,然后才能公开。< / p>
谢谢。
全民和平......
答案 0 :(得分:4)
与您在自己的服务器上运行的任何代码一样,WordPress插件是警告移植者。
也就是说,流行的插件可能会对他们的代码有相当多的关注,这使得他们不太可能做一些阴暗的事情。在安装它们之前,你可能不需要用细齿梳过它们。
然而,在您关心的网站/服务器上安装它们之前,应该查看鲜为人知/使用过的插件。
WordPress.org没有审查插入到插件中的所有代码 - 他们甚至完成任何审查的唯一时间是插件最初提交到插件目录时,这是最好的粗略(大多数只是为了避免垃圾邮件)。插件的代码在最初提交后可能会发生巨大变化。
答案 1 :(得分:4)
通常我会看看插件在wordpress.org上收到的反馈它有什么样的评级?在“其他人在说什么”部分中提出了哪些意见/问题。
在决定安装插件后,在实际安装前备份您的数据。
这无论如何都是一个好习惯,无论是wordpress核心安装,插件安装还是主题。如果有什么东西坏了,你会有一些东西要回去。
还必须确保频繁备份。如果你确实感染了,你会想要一个快照。
答案 2 :(得分:3)
有一篇关于best plugins for wordpress组合在一起的主题的安全性的好文章。你也可以直接从wordpress插件网站上获得社区给出的评分。如果您使用具有4-5星评级和大量下载/评级的插件,您很可能会没问题。但是,因为这是一个开源项目,所以实际上没有100%的方法可以阻止黑客和“坏人”将代码放入你所描述的好主题/插件中。
在这种情况下,如果您关注主题或插件,我会一直仔细查看代码并确保它们对您来说都很好看。当然这总是很耗时,如果你对代码不满意,这可能不是一个选择。如果您对某些插件/主题有疑问,请确定如果您在此处发布,有很多人使用过插件,可能之前的主题可以帮助您。
来自“Wordpress的最佳插件”
1 TAC (Theme Authenticity Checker) Plugin
一个非常简单直接的插件,可以扫描主题中的所有文件,以及&gt;&gt;检查是否有任何恶意或不需要的代码。
您可能会注意到很多免费主题不能直接从WordPress.org获得,&gt;&gt;主要原因是大多数免费主题都没有通过WordPress.org对其进行测试的测试。这个漂亮的插件将为您提供执行WordPress.org所做的相同测试所需的所有测试工具。它对于希望确保其主题支持最新标准的主题开发人员也很有用。
此插件不仅适用于主题,也适用于整个网站,因此一旦您检查了您决定在网站上使用的主题,就值得保留。它会扫描您网站上的所有文件,帖子和评论,以查找任何可能的漏洞或任何看似可疑的内容,但请注意,此插件不会删除任何文件。