如何檢查模板是否安全

因為以前看到過，一些免費模板會有後門，截取你的佣金，所以我想問一下，如何檢查模板及網站是否安全。
: q) k' l- ?% p4 \; l& b    謝謝！


9 y- h. r- P# h% q* Z

買正版的，肯定安全。
, P( S4 Q0 _) L3 `$ _

wpscan 可以掃瞄一些，但也不能保證絕對沒後門。

最好的方式就是自己掌握簡單的代碼知識，否則防不勝防
2 S2 J3 `, d- ]: G7 \

有工具可以掃瞄的吧...
2 t: }$ _4 d1 E1 C6 ?: L

看來有必要買幾個付費模板了。

1、看php文件有沒有加密的，用search&replace這類的軟件搜索整個目錄，使用zend,ionCube,eval,base64,gzinflate分別做關鍵詞，查看是否有加密的代碼
* U7 w& U/ {' ~7 |% Z3 ?2 q2、如果有加密的就dezend
2 l4 D) q# ^% ~+ S$ r- p3、再搜索mail,curl,看有沒有自動發郵件、開網頁的行為
4、最後搜搜<url,看看有沒有偷偷加鏈接

經過這四步，基本就算比較乾淨的代碼了
+ F/ F4 S5 `/ D: r1 q$ L% S7 A

防不勝防阿，不要錢的就有風險。

fatfox21 發表於 2013-10-22 10:29
1、看php文件有沒有加密的，用search&replace這類的軟件搜索整個目錄，使用zend,ionCube,eval,base64,gzinf ...

這幾條確實是有效的預防手段，用免費模板還是這樣子查上一遍的好。

! m/ u) c, w, N& B* y這裡有個方法，你可以參考，免費而且是快速，對還不懂代碼的朋友可能有幫助。

2 d0 \0 J" _5 q1. 使用WP插件 - TAC Theme Authenticity Checker (TAC)， wordpress.org/plugins/tac/  或者自己在 WP 裡搜插件  」TAC「，你的theme裝上以後，它就會提示你 OK 或者 有問題：
) r7 P: C/ W' Z  q- r
$ S/ n3 o% m+ _1 |  q  e  K綠色的Theme OK! 或者 粉紅色的 Encrypted Code Found！ 然後自己用編輯器搞搞就OK了。

) M; l1 r& v5 p2 V2. 只從WP官方的wordpress.org裡下載免費主題，也就是只用自己在WP可以搜到的那些。這些都是嚴格審核過的，不會有問題。

要知道，從谷歌搜出來的免費好看的主題，大部分都是有base64搞過的。
# s: L( l8 G/ z/ R% @, ~+ M

7 y5 i, H7 z- M7 ]; j8 J