Опасность бесплатных премиум шаблонов WordPress

В продолжение темы безопасности и WordPress решил поделиться своими соображениями и опытом по использованию «бесплатных» премиум тем wordpress.

Многие, особенно начинающие пользователи, часто предпочитают скачивать шаблоны вордпресс со сторонних сайтов. И это понятно. Там предлагают красивые и функциональные шаблоны на любой вкус и цвет. Они переведены на русский и бесплатные. Но далеко не все понимают опасность таких шаблонов.

Самое безобидное, что могут сделать с вашим сайтом такие темы, это выводить на нём ссылки на сторонние сайты. Вывод ссылок очень часто реализован очень хитро и, не имея опыта, сложно почистить тему. Ещё ссылки зачастую размещают так, что авторизированные пользователи их не видят. А так как администраторы редко разлогиниваются, то и вероятность того что они обнаружат ссылки мала. Ссылки могут выводить при определённых условиях. Например, только в рубриках, в которых есть определённое количество записей, или в постах, после определённого количества символов. Могут выводить на главной одну ссылку, в рубриках другую, в постах третью, а могут вобще на каждой странице выводить по несколько разных ссылок, как на биржах ссылок. Тут всё ограничивается фантазией и способностями владельцев сайтов бесплатных тем. Ссылки прячут в знаки препинания, делают невидимыми.

Но ссылки это самое безобидное… В тему могут вшить любой скрипт, с помощью которого в дальнейшем смогут добавить на ваш сайт что угодно. Могут вшить вредоносный код, редиректы, форму для отправки спама. Да что угодно может быть встроено в такие темы.

Я раз на себе всё это ощутил. Скачал красивую русскую тему. Просмотрел код, убрал части выводящие ссылки. В «functions.php» было много непонятных мне функций. Вникать не стал и все функции оставил как есть. Тему поставил на сайт. Через некоторое время хостер пишет, что через какой-то сайт на сервер была загружена всякая гадость, вроде фишинговых страниц и доров. Благо, что ставил я её на нулевой сайт, где было от силы 5 записей. Ещё при попытке зайти на сайт, касперский заблокировал страницу. Удалил тему и все файлы, переустановил wordpress. Больше такого не повторилось.

После этого случая я перестал использовать «бесплатные» темы, если полностью не понимаю весь код. А со временем, немного освоив wordpress, уже сам могу реализовать тему практически с любым функционалом и натянуть любой дизайн, поэтому необходимость что-то скачивать отпала. Да и как не крути, идеальный шаблон под свои задачи сложно найти, всё равно придётся что-то менять, добавлять.

Итоговые советы

1. Никогда не ставьте шаблоны, предлагаемые на разных сайтах типа «бесплатные темы wordpress» и торрент трекерах, если не уверены что сможете проинспектировать весь код и удалить все «подлянки».

2. Чем выше в топе сайт с бесплатными шаблонами, тем выше вероятность того, что в предлагаемых темах спрятана какая-нибудь гадость.

3. Если Вас не смущает морально-этическая сторона использования по сути ворованных премиум тем, но Вы ничего не понимаете в коде, то найдите специалиста, который за небольшую плату сможет проинспектировать код и гарантированно удалить весь опасный код. А лучше заплатите и купите тему официально, а для сателлитов и нулевых сайтов можно использовать темы из репозитория wordpress. Там немало симпатичных и функциональных тем.

4. Возьмите за правило и качайте всё только с официального сайта вордпресс или на худой конец с проверенных сайтов, имеющих положительную репутацию (продавцы тем, разработчики плагинов, сайты о wordpress с хорошей репутацией, наподобие wp-kama.ru).

Всем успехов и больше посетителей на ваши WordPress’ы. :)