检测wordpress网站模板主题是否含有恶意代码

现在网上很多的 主题都含有恶意代码，这些恶意代码要么含有后门，要么会直接窃取你的信息，甚至有的还有感染功能，一个带恶意代码的主题被启用，网站所有的主题都会被感染上，删干净非常麻烦。这些垃圾代码大多来自一些所谓的破解付费wordpress主题，在一些下载网站（比如网盘）分享，因为借着高权重网站分享，排名很容易在前，让人随手就下载到。一般主题作者都不会主动在自己的主题里添加垃圾代码，因为这无疑是砸自己的招牌，得不偿失，所以，最好在知名的主题下载网站或者作者的博客上下载主题，比较安全。但是，即使遵循上边的做法，也不能保证主题一定就是安全的。下载好主题最好检测一下再使用，对于普通小白来说，检测主题是否安全实在是不可能，即使对于高手来说，如果代码藏得深也很麻烦。考虑到这里，有个大神开发了一个主题安全性一键检测插件 Theme Authenticity Checker（简称 TAC），可以帮助你一键检测主题是否安全、是否含有恶意代码。Theme Authenticity Checker安装并启用 Theme Authenticity Checker 插件，进入后台的 “外观” → “TAC”。这里就可以看到所有主题的安全情况了，提示 “Theme OK！” 证明是安全的。不安全的主题则会有一个红色的提示框告诉你 “Encrypted Code Found!”。不安全的文件还可以一键使用编辑器打开，方便你修改。误报这个插件误报情况比较严重，因为机器现在还不能像人一样智能。比如我的主题使用了 base64 作为后台设置的导入导出代码的加密方法，然而用 base64 相关的函数在 Theme Authenticity Checker 插件看来是不安全的。