Плагин Theme Authenticity Checker (TAC). Плагин TAC

Scan all of your theme files for potentially malicious or unwanted code.

What TAC Does

TAC stands for Theme Authenticity Checker. TAC searches the source files of every installed theme for signs of malicious code. If such code is found, TAC displays the path to the theme file, the line number, and a small snippet of the suspect code. As of v1.3 TAC also searches for and displays static links.

Then what do you do? Just because the code is there doesn’t mean it’s not supposed to be or even qualifies as a threat, but most theme authors don’t include code outside of the WordPress scope and have no reason to obfuscate the code they make freely available to the web. We recommend contacting the theme author with the code that the script finds, as well as where you downloaded the theme.
The real value of this plugin is that you can quickly determine where code cleanup is needed in order to safely enjoy your theme.

TAC got its start when we repeatedly found obfuscated malicious code in free WordPress themes available throughout the web. A quick way to scan a theme for undesirable code was needed, so we put together this plugin.

After Googling and exploring on our own we came upon the article by Derek from 5thiryOne regarding this very subject. The deal is that many 3rd party websites are providing free WordPress themes with encoded script slipped in – some even going as far as to claim that decoding the gibberish constitutes breaking copyright law. The encoded script may contain a variety of undesirable payloads, such as promoting third party sites or even hijack attempts.

Screenshots

Installation

1. Go to Appearance -> TAC in the WordPress Admin

FAQ

Installation Instructions

After downloading and extracting the latest version of TAC:

1. Upload tac.php to the /wp-content/plugins/ directory
2. Activate the plugin through the ‘Plugins’ menu in WordPress
3. Go to Appearance -> TAC in the WordPress Admin
4. The results of the scan will be displayed for each theme with the filename and line number of any threats.
5. You can click on the path to the theme file to edit in the WordPress Theme Editor

What if I find something?

Contact the theme’s original author to double check if that section of code is supposed to be in the theme in the first place – chances are it shouldn’t as there isn’t a logical reason have obfuscated code in a theme.

If something is malicious or simply unwanted, TAC tells you what file to edit, you can even just click on the file path to be taken straight to the WordPress Theme Editor.

Why does TAC list static links?

First of all, static links aren’t necessarily bad, TAC just lists them so you can quickly see where your theme is linking to.

What about future vulnerabilities?

As we find them we will add them to TAC . If you find one, PLEASE let us know:
Contact builtBackwards or post in the

Changelog

Version 1.5.2
* Compatible with WP 3.9.3

Version 1.5.1
* Compatible with 3.8

Version 1.5

• Compatible with 3.4
• Updated deprecated function calls to current
• Updated visible display names for sanity
• Capitalized all ‘P’s in WordPress 🙂
• Fixed PHP warning messages from uninitiated variables

Version 1.4.1

• Compatible with WordPress 2.9
• Added alt tags to theme screenshots

Version 1.4

• Compatible with WordPress 2.8!
• Tested in Firefox 3.0.11 and Internet Explorer 8
• JavaScript hiding/showing of theme details

Version 1.3 (Fixes + New Feature)

• Changed title to “Theme Authenticity Checker”, same acronym, makes more sense
• Compatible with WordPress 2.2 – 2.6.1
• NEW! Checks for embedded Static Links
• NEW! Direct links for editing suspicious files in the WordPress Theme Editor
• Improved the CSS
• Uses its own function to get theme file paths

Version 1.2 (Fixes)

• Band-aid fixes to theme file paths that were altered by the update to get_themes() in WordPress 2.6
• This release is only compatible with WordPress 2.6

Version 1.1 (Fixes)

• Style sheet doesn’t explode any more when certain threats are detected
• Modified code snippet output to prevent interfering with page structure
• Improved styling for slightly more appealing output

Version 1.0 (First Release)

• This is the initial release of TAC.

Плагин TAC служит для проверки кода темы сайта на наличие внешних закодированных ссылок. При создании сайта под управлением WordPress, вебмастера устанавливают на только что созданный сайт тему, для оформления внешнего вида сайта.

Для WordPress существует огромное количество тем, как платных, так и бесплатных. После выбора и активации понравившейся вам темы, ее необходимо проверить на наличие в этой теме закодированных ссылок.

Плагин TAC (Theme Authenticity Checker) выявляет в коде темы ненужные и закодированные внешние ссылки. Плагин TAC показывает все ссылки находящиеся в выбранной вами теме WordPress.

Для чего необходимо избавиться от таких ссылок? Постепенно вы раскручиваете свой сайт, а размещенные в теме вашего сайта ссылки могут работать на сайт того человека, который их установил в этой теме.

Сайт и каждая страница имеет в поисковых системах определенный вес, а при наличии таких ссылок такой вес будет переходить с вашей страницы на чужой сайт. Чем больше такой вес страниц вашего сайта, тем выше они будут находиться в результатах поисковой выдачи.

Кроме того, в шаблон может быть установлен вредоносный код, который будет менять настройки вашего браузера. При установке и активации новой темы, ее всегда нужно проверять плагином TAC.

Установка плагина TAC

Для установки плагина TAC входите в «Админ-панель WordPress» => «Плагины» => «Добавить новый». В окне «Установить плагины» в поле «Поиск» нужно ввести выражение «TAC». После этого необходимо нажать на кнопку «Поиск плагинов».

В окне «Установить плагины» вы увидите плагин TAC (Theme Authenticity Checker), а затем нажимаете на ссылку «Установить». После подтверждения происходит установка плагина TAC. В окне «Установка плагина: TAC (Theme Authenticity Checker)» нажимаете на ссылку «Активировать плагин».

Проверка кода темы плагином TAC

После установки плагина TAC входите в «Админ-панель WordPress» => «Внешний вид» => «TAC».

Теперь вы можете проверить код загруженных вами тем. Плагин автоматически определяет состояние загруженных тем. Он проверят простые ссылки и закодированные ссылки, которые могут находиться в коде темы.

Если тема прошла проверку плагином TAC, то тогда в зеленой рамке будет написано выражение «Theme Ok!».

Рядом с этой рамкой, в желтой рамке, расположенной рядом, будет показано, сколько простых внешних ссылок находится в этой теме. Некоторые темы, в наилучшем случае, могут быть и без таких ссылок.

При нажатии на кнопку «Details» будут отмечены ссылки, которые присутствуют в вашей теме, а также в каком именно месте они установлены.

• Внимание! Перед любым изменением в файлах темы всегда делайте резервную копию изменяемого файла, чтобы восстановить работоспособность вашего сайта в случае неудачных действий. Файл, который вы хотите изменить, скопируйте перед этим в текстовый редактор, например, в блокнот.

Вы можете попытаться удалить или переименовать эти ссылки, или просто закрыть их от индексации.

Для этого нужно войти в «Админ-панель WordPress» => «Внешний вид» => «Редактор» => «Редактировать темы». В этом окне необходимо выбрать соответствующий шаблон для изменения.

После удаления ссылки перейдите на свой сайт и убедитесь, что он работоспособен после проведенных вами изменений в файлах темы вашего сайта. В случае неудачного действия, замените измененный вами файл на резервную копию оригинального файла.

Если шаблон не прошел проверку плагином TAC, то в красной рамке будет видно сообщение «Encrypted Code Found!».

Это выражение означает, что в коде темы есть закодированные ссылки. При нажатии на кнопку «Details» будут показаны закодированные ссылки, которые находятся в выбранной теме.

Можно попробовать, если это возможно, удалить или раскодировать такие ссылки. Вам придется самим принять решение, устанавливать на ваш сайт, такую тему или нет.

После того, как тема прошла проверку, вы можете ее активировать для дальнейшего использования.

Деактивация плагина TAC

После проверки темы плагин TAC можно деактивировать, чтобы не создавать дополнительную нагрузку на ваш сайт.

Для этого входите в «Админ-панель WordPress» => «Плагины» => «Установленные» => «TAC», и там нажимаете на ссылку «Деактивировать». Но, если этого не сделать, тогда плагин TAC останется активированным.

В следующий раз, вам необходимо будет снова активировать плагин TAC, когда вы будете менять тему для своего сайта, для проверки внешних ссылок.

Выводы статьи

Плагин TAC позволяет найти внешние, в том числе закодированные ссылки, которые могут находиться в выбранной теме для вашего сайта.

Сегодня мы разберем плагин TAC (Theme Authenticity Checker). Он довольный прост в использовании и чрезвычайно полезный. Плагин TAC ищет в коде темы WordPress ненужные ссылки . Само собой задается вопрос, что за такие эти, нежелательные ссылки ?
Любой автор (обычно в подвале темы - footer.php ) размещает ссылку на свои блоги или на сайты спонсоров. Это вполне нормально: не просто так же он работал. Вы вправе решать сами, оставлять ли эти ссылки на своем блоге, либо их закомментировать или совсем убрать (об этих способах об "убирании" ссылок с видимой части мы поговорим других уроках по разделу , так что самое время подписаться на RSS , чтобы не пропускать новые уроки и полезные материалы ).

Но, к сожалению, встречаются такие "умные люди", которые берут готовые темы (хотя они никак не связаны с созданием шаблона), редактируют ссылки (вставляют свои) и распространяют другим. Согласитесь, довольно нечестный ход. Наиболее правильный способ того, чтобы быть уверенным, что ссылки в теме действительно принадлежат автору-создателю, это скачать шаблон WordPress с официального сайта темы (). Если это невозможно, можно проверить ссылки плагином Theme Authenticity Checker (TAC). Он покажет все ссылки, имеющиеся в шаблоне.

Они рассчитывают на то, что есть большое количество пользователей WordPress, которые не разбираются в php и поэтому боятся лезть в эти дебри, и поневоле оставляют эти ссылки висеть и работать на тех, кто их там установил. Кроме того, в шаблон может быть установлен вредоносный код типа hijack, который будет менять настройки браузеров посетителей такого блога. Плагин TAC позволяет вычислять эти сомнительные элементы.

Как видите, все-таки стоит ставить данный плагин. Все ради Вашей же безопасности и не стоит "награждать" мошенников.

Проверка на наличие нежелательных ссылок в теме с помощью плагина Theme Authenticity Checker (TAC)

Если с Вашей темой все нормально, можете деактивировать плагин Theme Authenticity Checker (TAC). Это, конечно, нужно делать не обязательно, но я выключаю его (после того, как убеждаюсь, что с моим шаблоном все нормально), чтобы меньше нагружать свой блог. Если же с Вашей темой что-то не в порядке, как в моем случае, ждите следующий урок: я расскажу Вам, как решить данную проблему.