WP Checker — программа для проверки шаблонов WordPress.

«Шутки в сторону», как сказал король Дезмонд, когда посреди пиршества гости неожиданно принялись синеть и помирать.

(с)Анджей Сапковский, «Ведьмак»

Да, именно сегодня я решил представить Вашему вниманию первую версию программы по проверке архивов с шаблонами WordPress на предмет наличия нежелательных ссылок, зашифрованных участков текста и других вещей в php-коде темы WordPress, грозящих нашему блогу как минимум долгих мучений при раскрутке.

Вначале о том, что может программа в принципе. Программа проводит проверку файлов в архиве по чеырем параметрам:

1. Кодировка файла — если кодировка отличается от utf8, то шаблон считается потенциально опасным для использования
2. Ссылки на сторонние ресурсы в файлах темы. Здесь, думаю всё ясно — нашли ссылку, пометили тему как опасную
3. Зашифрованные участки кода — если найден такой участок, то тема помечается как потенциально опасная
4. Наличие в файлах вызовов php-функции eval — может нести в себе довольно серьёзную опасность для пользователей блога.

Теперь, непосредственно по работе с самой программой. Итак, запускаем программу, выбираем zip-архив с шаблоном WordPress и жмем кнопку «Проверить»:

В списке проверенных файлов красным выделяются файлы в которых найдены нежелательные ссылки, закодированные участки и вызовы eval. Желтым — файлы с измененной кодировкой. При этом если в файл одновременно и содержит нежелательные элементы и у него кодировка отлична от utf8 — он выделяется красным.

Вполне вероятно, что в программа может найти в шаблоне ссылку, например, на ресурс wordpress.org и отметит такую тему нежелательной и потенциально опасной. Чтобы избежать подобных ситуаций в WP Checker предусмотрена настройка ссылок-исключений, т.е. тех адресов сайтов, которые будут пропускаться при проверке.

Чтобы настроить ссылки-исключения необходимо выбрать в главном меню WP Checker «Настройка»—«Ссылки-исключения»

По умолчанию в программе содержаться всего четыре ссылки. Сколько исключений будет у Вас — только Вам решать. Удалить ссылку-исключение можно двойным кликом по ней в списке.

Теперь вернемся к главному окну программы. В списке найденных ошибок содержится следующая информация:

1. Количество измененных файлов
2. Количество найденных нежелательных ссылок
3. Количество закодированных участков в файлах

Для того, чтобы увидеть подробное описание оибки, достаточно сделать двойной клик по ней в списке:

Как видно из рисунка, при выборе в списке ошибки, строка, содержащая ошибку выделяется снизу в редакторе. В открывшемся окне с подробной информацией по ошибке в зависимости от её типа возможно получить следующую информацию:

1. При обнаружение закодированного участка (base64) — возможна расшифровка закодированных строк. При этом расшифровке поддаются строки без сжатия. К сожалению стандарты сжатия в php и delphi отличаются (различаются версии стандартов шифрования), поэтому пока сжатые строки не расшифровываются.
2. При обнаружении нежелательной ссылки — возможно отследить каким образом ссылка попадает на страницы блога. Рассматриваются два варианта — через вызов php-функции и простая вставка ссылки в файл. В первом случае (если ссылка вставляется посредствам вызова php-функции) WP Checker отслеживает вызовы этой функции во всех файлах шаблона
3. Что касается eval, то в данном случае WP Checker использует следующий алгоритм: с помощью регулярного выражения определяется какая строка передается в фуекцию. Если строка содержит base64_decode, то отметка о наличии eval не устанавливается, а указывается только закодированный в base64 участок, иначе — запоминается строка, передаваемая в eval.

Для иллюстрации, посмотрим, как выглядит окно с подробной информацией по нежелательным ссылкам:

На основании представленной информации, Вы можете без лишних затруднений найти вызовы php-функции и удалить их из шаблона.

Надеюсь, что применения WP Checker поможет Вам избежать неприятных ситуаций при установке понравившейся темы WordPress на свой блог.

Скачать WP Checker можно здесь.