如何檢查模板是否安全

因為以前看到過，一些免費模板會有後門，截取你的佣金，所以我想問一下，如何檢查模板及網站是否安全。
    謝謝！
% C- b5 z5 x3 P1 o- t

買正版的，肯定安全。

wpscan 可以掃瞄一些，但也不能保證絕對沒後門。

最好的方式就是自己掌握簡單的代碼知識，否則防不勝防
, A5 d% E& C2 b( \  ~' s3 l- G& u9 _. n

有工具可以掃瞄的吧...

看來有必要買幾個付費模板了。
8 G0 f* W- n% a2 R

1、看php文件有沒有加密的，用search&replace這類的軟件搜索整個目錄，使用zend,ionCube,eval,base64,gzinflate分別做關鍵詞，查看是否有加密的代碼
5 {, F% S9 E0 k: t' A/ X) N6 Q2、如果有加密的就dezend
3 E9 c" D' n9 u) e- e' e/ u3、再搜索mail,curl,看有沒有自動發郵件、開網頁的行為
4、最後搜搜<url,看看有沒有偷偷加鏈接

經過這四步，基本就算比較乾淨的代碼了
+ n1 B  C6 \- ]0 }

防不勝防阿，不要錢的就有風險。
( ], q& U$ t7 |( _+ X7 p! L: G

fatfox21 發表於 2013-10-22 10:29
& X/ `0 X1 \* u% G1、看php文件有沒有加密的，用search&replace這類的軟件搜索整個目錄，使用zend,ionCube,eval,base64,gzinf ...

5 d% G2 j0 q" s4 B8 b" O這幾條確實是有效的預防手段，用免費模板還是這樣子查上一遍的好。

5 l. |; D+ [" I/ B# c3 ]2 o5 o4 d$ ^7 Y

4 k, A1 Z+ L4 |9 b- M, K9 c) ]8 C這裡有個方法，你可以參考，免費而且是快速，對還不懂代碼的朋友可能有幫助。

1. 使用WP插件 - TAC Theme Authenticity Checker (TAC)， wordpress.org/plugins/tac/  或者自己在 WP 裡搜插件  」TAC「，你的theme裝上以後，它就會提示你 OK 或者 有問題：

* |8 D' h$ C! A5 a) Z綠色的Theme OK! 或者 粉紅色的 Encrypted Code Found！ 然後自己用編輯器搞搞就OK了。
4 B0 H3 X7 k- n
5 p- |3 c, m8 i- _, Z/ I8 i) \2. 只從WP官方的wordpress.org裡下載免費主題，也就是只用自己在WP可以搜到的那些。這些都是嚴格審核過的，不會有問題。

要知道，從谷歌搜出來的免費好看的主題，大部分都是有base64搞過的。


5 |( W. h: x" f3 m