Почему нужно избавляться от неиспользуемых тем WordPress

Дата публикации:Февраль 6, 2014

Возможно, вы уже слышали советы о том, что необходимо избавляться от устаревших и ненужных плагинов WordPress. Обслуживание сайта зачастую начинается с плагинов. Скорее всего, это вызвано тем, что на стандартном сайте WordPress у вас обычно стоит одна тема, которой вы пользуетесь, а также куча плагинов. Неиспользуемые плагины в своей массе создают проблемы для оперативного выявления угроз и устранения неисправностей. Также они могут привести к проблемам с безопасностью, если их не обновлять.

Все это понятно, но что по поводу тем? Очистка папки с темами в WordPress – не менее важное действие, как и обслуживание плагинов. Текущая версия WordPress поставляется с тремя предустановленными темами: Twenty Fourteen, Twenty Thirteen и Twenty Twelve. Также у вас может сохраниться и Twenty Eleven – пережиток прошлого, который остался после предыдущих версий WP. И это не предел – также могут присутствовать и другие темы, которые вы тестировали ранее.

themes_wp

Скорее всего, вам не нужны все эти темы. Проще всего от них сразу же избавиться – за небольшим исключением: можно оставить тему по умолчанию для отката. Вы сможете всегда заново установить любую тему в будущем, если она вам понадобится.

Протестировать несколько тем, после чего бросить их в вашей директории с темами равносильно разбрасыванию грязной одежды по полу вместо того, чтобы убрать ее в корзину для стирки. В случае с WordPress это может грозить несколькими серьезными последствиями.

Темы WordPress могут стать «воротами» для хакеров

Поскольку WordPress в данный момент используется на каждом пятом сайте сети, сайты с этой CMS представляют собой основную цель для хакеров и спамеров. Если ваш сайт плохо защищен, хакеры могут использовать ваши темы как отправную точку для взлома. Они изучают темы WordPress и знают, как использовать их в своих интересах, чтобы организовать мощную атаку на ваш сайт, ваш сервер и его ресурсы.

Хакеры могут внедрять вредоносные файлы или редактировать вашу тему, чтобы попытаться «угнать» ваш сайт. Иногда они используют уязвимые скрипты, как это было во время исторической атаки timthumb.php в 2011 году, которая представляла собой серьезную угрозу безопасности для миллионов WP-сайтов, использующих темы, которые шли в связке с данным скриптом.

Если взлом будет успешным, вам понадобится много времени, чтобы вернуть свой сайт в прежний вид.

Список действий, связанных с обслуживанием тем

Использование устаревших версий WordPress, тем и плагинов – самые популярные ошибки владельцев сайтов, которые в итоге приводят к взлому. По крайней мере, нужно всегда все вовремя обновлять. Включение автоматических фоновых обновлений является отличным способом сохранять актуальность системы, что особенно важно для сайтов, которые вы редко посещаете.

wp_themes

Вот список действий, которые вы можете выполнить прямо сейчас, чтобы очистить свою папку с темами:

  • Удалите все неиспользуемые темы WordPress (оставив только стандартную тему для отката).
  • Обновите все темы, которые вы оставили
  • Убедитесь в том, что права доступа к вашим папкам wp-content и themes равны 0755
  • Включите автоматические фоновые обновления

Этот список по большей части затрагивает лишь основы. В некоторых ситуациях вам потребуется применить более продвинутые опции безопасности, о которых вы уже писали в других статьях. Защита WordPress – важное действие, которое нельзя пускать на самотек.

Поделиться

9 комментариев

  1. Кстати, если посмотреть на логи, например в Better WP Security, то можно очень часто видеть попытки перебора на все эти уязвимости. К примеру вот что можно увидеть в логах:

    /wp-content/plugins/user-avatar/readme.txt
    /wp-content/plugins/gallery-plugin/gallery-plugin.php
    /wp-content/plugins/mac-dock-gallery/bugslist.txt
    /wp-content/plugins/zingiri-web-shop/admin.css
    /wp-content/plugins/wpstorecart/lgpl.txt
    /wp-content/plugins/cimy-user-extra-fields/README_OFFICIAL.txt
    /wp-content/plugins/nmedia-user-file-uploader/readme.txt
    /wp-content/plugins/another-wordpress-classifieds-plugin/AWPCP.po
    /wp-content/plugins/resume-submissions-job-postings/installer.php
    /wp-content/plugins/wp-image-news-slider/functions.php

    Ну и так далее. Методом тупого перебора выясняется какие из этих плагинов, имеющих уязвимость у вас установлены, и когда такой плагин или тема, или файл найдены, через уязвимость в нем можно натворить дел. Имеет смысл /wp-content/plugins/ и некоторые другие папки закрыть от внешнего доступа и кстати запретить запрос файлов с расширением txt, т.к. они всё равно никогда не используются, но часто там лежит информация о версиях плагинов или тем и это легкий способ разузнать многое о компонентах и движке. Ну и лучше всего установить какой-нибудь плагин для защиты WP, например тот же Better WP Security или еще какой-нибудь.

  2. Дуо says:

    В статье очевидные, вроде бы, вещи описаны. В теории, во всяком случае. Но на практике пришел к другому выводу — если что-то уже не нужно, оставь. Ибо после «уборки» могут начаться такие чудеса, что пожалеешь пять раз.

  3. Иван says:

    Полностью согласен с автором, безопасность блога это прежде всего. Я не знал про эти правила, но почему то выполняю их автоматически. Стоит ещё отметить, что нужно следить не только за внутренним состоянием блога, но и за внешним — Например ссылка на ваш сайт с вирусных сайтов.

    • Дмитрий Алёшин says:

      Ссылки — это уже вопрос оптимизации сайта. Ссылочную массу стоит подбирать очень тщательно, постоянно ее анализируя и изучая.

      После такой «уборки» чудес быть не должно. Хранящиеся темы не должны затрагивать рабочий сайт. По крайней мере я все такие темы сразу удалил и проблем не возникало. Вначале тестировал много тем.

      Вообще, есть тенденция отказываться от использования плагинов в пользу простого кода, которым загружают functions.php. Но в таком случае сам файл получается раздутым и обрюзгшим, что не лучшим образом отражается на производительности. Если плагинов мало, то вполне можно весь код перенести в functions. Если же требуется масса всего, то тут уже без использования плагинов не обойтись.

  4. ram108 says:

    Подскажите чайнику, как в новом интерфейсе WordPress удалять темы? Так и не нашел этой магической кнопки, удаляю вручную.

  5. ram108 says:

    Спасибо за видео! Очень неочевидное действие.

    • Дмитрий Алёшин says:

      Да уж, раз видео записали, действительно — неочевидное. И статей масса на английском.

  6. У меня два раза сайт ламали: один раз когда еще вел сайт на чистом PHP через mootools и второй раз блог на WP через галерею, которую я сам писал. С того момента я понял, что надо программировать для пользователей, но и не забывать пару строчек добавить специально «для Хакеров с любовью». Сейчас, слава Богу уже два года, как максимум пингуют или листают директории.

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Получать новые комментарии по электронной почте. Вы можете подписаться без комментирования.