Se você está considerando o uso de um novo tema do WordPress, abaixo estão algumas etapas que podem ajudá-lo a ficar longe de problemas. Obviamente, a primeira melhor opção é usar um tema obtido de uma fonte confiável e criado por um desenvolvedor de temas confiável, o que pode reduzir significativamente o potencial dessas práticas obscuras serem empregadas.
Não faria mal passar por essas etapas, apesar da reputação do seu tema candidato.
Etapa 1: instalar plugins de verificação de temas
É muito possível investigar todos os temas à mão apenas passando por seus arquivos. Mas fazer isso com um plug-in confiável é muito mais rápido e potencialmente mais completo.
Você precisará de dois plugins para esta etapa.
- O TAC verifica todos os seus temas padrões do WordPress instalados em busca de código potencialmente malicioso.
- O Theme-Check testa seus temas quanto à conformidade com todos os padrões e práticas recomendadas mais recentes do WordPress.
Etapa 2: testar o tema para código criptografado
Antes de ativar um tema WordPress, você deve primeiro testá-lo em um ambiente de desenvolvimento seguro.
Um desses ambientes está no seu PC . No entanto, se você não tiver tempo para isso, ainda deve ficar bem, desde que não ative o tema antes de executar seus testes. Para ver o que o plugin TAC tem a dizer sobre seu novo tema, na tela de administração do WordPress, vá para Aparência > TAC .
Role para baixo até o seu tema para ver se há algum problema. Se o TAC disser que está tudo bem (e você está usando um tema de uma fonte confiável), provavelmente está. No entanto, se indicar a presença de qualquer código criptografado, você precisa ser cauteloso.
É recomendável nunca usar temas que tenham código criptografado. A principal razão para isso é que você não tem absolutamente nenhum controle sobre o que está dentro do bloco de código criptografado. Pode ser qualquer coisa: scripts de terceiros, mineração de dados, anúncios, esquemas de construção de links, etc.
Algumas funções PHP e JavaScript associadas ao código criptografado são projetadas para ajudar os desenvolvedores a realizar processos difíceis, mas benignos, como conversão ou análise de codificação de dados. Mas nas mãos erradas e no contexto do desenvolvimento de temas do WordPress, eles costumam ser usados para ocultar códigos-fonte obscuros. Se você quiser cheirar por conta própria, poderá pesquisar arquivos de tema em lote com um editor de texto como o Notepad ++.
Procure a palavra-chave “base64_decode”. A base64_decode()função PHP, junto com a eval()função, é comumente usada para executar código criptografado. Por exemplo, se o código criptografado que você encontrar for parecido com isso (apenas um exemplo, não o código real), fique longe:
$o=”eHQvamF2YXNjcmlwdCI+PC9zY3JpcHQ+”; eval(base64_decode(“PHNjcmlwdCBzcmM9Ii8vYS1zaGFkeS1zaXRlLmNvbS9qcy9zcGFtbGlua3MuanMiIHR5cGU9InRl” . $o));
Etapa 3: avaliar todos os links estáticos
O TAC também informará quando encontrar links estáticos dentro do tema.
Ao clicar no botão Detalhes , você verá os arquivos e as linhas exatas em que esses links ocorrem.
Links estáticos são comuns em temas gratuitos do WordPress e não são necessariamente ruins. Por exemplo, alguns temas requerem atribuição.
A primeira coisa que você deve fazer é decidir se aceita ou não que esses links estejam em seu site. No final, se você não estiver bem com qualquer link, você simplesmente não deve usar o tema. Quando se trata de links estáticos, na maioria das vezes a festa está acontecendo no arquivo footer.php .
Por exemplo, o tema que verifiquei ao pesquisar para este artigo tinha links apontando para um site intitulado “Botox Tel Aviv” com um texto âncora consistindo inteiramente de caracteres não latinos.
Para fins de teste, você pode verificar o que acontece se remover um ligação incorporada. Às vezes, você descobrirá que todo o seu site deixará de funcionar como resultado dessa ação. E foi exatamente isso que aconteceu com meu site de teste; quando removi o link, o site parou de funcionar e o conteúdo foi substituído por esta mensagem. Se você quiser investigar um pouco mais, é aqui que o outro plugin, Theme-Check, entra em ação.
Vá para Aparência > Verificação de Tema e execute um teste para o tema em questão. Provavelmente, o plug-in relatará muitas coisas, então você terá que navegar por um tempo para encontrar o que pode estar causando os problemas. No meu caso, as instruções encontradas na linha 124 do arquivo functions.php foram as culpadas.