เครื่องมือตรวจจับของ RevealTheme ทำงานอย่างไร

เมื่อคุณป้อน URL ลงในเครื่องมือตรวจจับตัวใดตัวหนึ่งของเรา มีหลายสิ่งเกิดขึ้นในสองวินาทีก่อนที่คุณจะเห็นผลลัพธ์ นี่คือการพาชมเชิงเทคนิคสำหรับผู้ที่อยากรู้ รวมถึงข้อจำกัดที่เราไม่สามารถแก้ไขด้วยวิศวกรรมได้

ขั้นตอนที่ 1: ดึง HTML สาธารณะ

เมื่อคุณส่ง URL เซิร์ฟเวอร์ของเราจะดึงหน้าเว็บสาธารณะของ URL นั้นโดยใช้ User-Agent ของเบราว์เซอร์มาตรฐาน มันคือ HTML เดียวกันกับที่เบราว์เซอร์ของคุณจะได้รับหากคุณเยี่ยมชมเว็บไซต์โดยตรง เราไม่หลีกเลี่ยงกำแพงเงิน ไม่ดึงเนื้อหาที่ถูกป้องกันด้วยการเข้าสู่ระบบ และไม่ใช้การยืนยันตัวตนใดๆ

การดึงข้อมูลใช้เวลาหมดเวลา 20 วินาที เราติดตามการเปลี่ยนเส้นทางสูงสุด 10 ครั้ง (ซึ่งครอบคลุมการเปลี่ยนเส้นทาง HTTP → HTTPS, www → ไม่มี-www และการเปลี่ยนเส้นทางตามประเทศ) หากเว็บไซต์ส่งการตอบสนอง 4xx หรือ 5xx หรือไม่ตอบสนองภายในช่วงเวลาที่กำหนด เราจะส่งข้อผิดพลาด «ไม่สามารถเข้าถึงได้» ที่ชัดเจนแทนการคาดเดา

ขั้นตอนที่ 2: ตรวจจับแพลตฟอร์ม

ก่อนที่จะพยายามระบุธีมที่เฉพาะเจาะจง เราจะตรวจสอบว่าเว็บไซต์ใช้ CMS ใด เรามองหาลายนิ้วมือของ 7 แพลตฟอร์มที่รองรับ ได้แก่ WordPress, Shopify, Magento, Joomla, Drupal, Moodle และ PrestaShop และเลือกการจับคู่ที่แข็งแกร่งที่สุด

หากคุณส่ง URL ของ Shopify ไปยังเครื่องมือตรวจจับ WordPress ของเรา (หรือในทางกลับกัน) เราจะแจ้งให้คุณทราบและลิงก์ไปยังเครื่องมือตรวจจับที่ถูกต้อง ไม่มีการคาดเดา ไม่มีผลบวกลวง

ขั้นตอนที่ 3: การตรวจจับธีม

สำหรับ WordPress โดยเฉพาะ การอ้างอิงถึงธีมมักปรากฏใน HTML ของหน้าใน path อย่าง wp-content/themes/ชื่อธีม/style.css เราดึงการอ้างอิงเหล่านั้นแต่ละรายการจากส่วนใดก็ได้ของเอกสาร: แท็ก link, แท็ก script, JavaScript แบบ inline, บล็อก JSON-LD และแม้แต่เนื้อหาข้อความ สิ่งนี้ตรวจจับธีมที่เว็บไซต์ที่ปรับให้เหมาะสมอย่างมากได้ซ่อนไว้จากเครื่องมือตรวจจับมาตรฐาน

สำหรับแต่ละธีมที่ตรวจพบ เราพยายามดึงไฟล์ style.css ของธีม ส่วนหัวของไฟล์นั้นมีชื่ออย่างเป็นทางการของธีม ผู้เขียน เวอร์ชัน URI และคำอธิบาย โดยตรงจากนักพัฒนาธีม นั่นคือแหล่งที่มาของข้อมูลธีมที่อุดมสมบูรณ์ที่เราแสดงข้างผลการตรวจจับ

ขั้นตอนที่ 4: การตรวจจับปลั๊กอิน

การตรวจจับปลั๊กอินใช้สองแนวทางควบคู่กัน ขั้นแรก เราดึง path ของไฟล์ใดๆ ที่ตรงกับ wp-content/plugins/ชื่อปลั๊กอิน/ ขั้นที่สอง เราเรียกใช้การตรวจสอบตามลายเซ็นหลายสิบรายการ: เรามองหาโครงสร้าง HTML เฉพาะ ชื่อคลาส CSS ตัวแปร JavaScript แบบ inline และส่วนหัวการตอบสนอง HTTP ที่ระบุปลั๊กอินยอดนิยมอย่าง Elementor, Yoast SEO, WPForms, WooCommerce, Wordfence และอื่นๆ ได้อย่างไม่ซ้ำกัน

การออกแบบสองแนวทางตรวจจับปลั๊กอินที่ซ่อน path ของไฟล์ (ผ่านการแคชหรือการรวมทรัพยากร) แต่ยังคงทิ้งลายเซ็นที่โดดเด่นไว้ สำหรับแต่ละปลั๊กอินที่ตรวจพบ เราค้นหามันใน ไดเรกทอรีปลั๊กอินของ WordPress.org เพื่อเสริมผลลัพธ์ด้วยชื่ออย่างเป็นทางการของปลั๊กอิน คำอธิบาย ผู้เขียน และภาพหน้าจอ

ขั้นตอนที่ 5: การค้นหาโฮสติ้ง + DNS

เพื่อระบุผู้ให้บริการโฮสติ้ง เราทำการค้นหา DNS บนโดเมนและตรวจสอบที่อยู่ IP, ASN และ DNS ย้อนกลับ เราตรวจสอบกับฐานข้อมูลของช่วง IP ที่รู้จักของผู้ให้บริการโฮสติ้งเพื่อระบุผู้ให้บริการ ความแม่นยำสูงสำหรับโฮสติ้งหลัก (AWS, Cloudflare, Hostinger, SiteGround เป็นต้น) และต่ำกว่าสำหรับผู้ให้บริการเฉพาะกลุ่ม

สิ่งที่เราทำไม่ได้

บางกรณีที่การตรวจจับจะไม่ทำงาน ไม่ว่าโค้ดของเราจะดีแค่ไหนก็ตาม:

• ความท้าทายบอทของ Cloudflare เว็บไซต์ที่มีการป้องกันบอทของ Cloudflare ที่เข้มงวด (หน้าจอ «กำลังทำการตรวจสอบความปลอดภัย...») จะบล็อกตัวดึงข้อมูลของเราเช่นเดียวกับที่จะบล็อกคำขออัตโนมัติใดๆ ไม่มีวิธีที่สะอาดในการหลีกเลี่ยงสิ่งนี้
• ธีมที่ปรับแต่งอย่างหนัก หากธีมถูกแก้ไขมากจนการอ้างอิงถึงชื่อธีมดั้งเดิมถูกลบออกจาก HTML ทั้งหมด เราก็ไม่มีอะไรให้ตรวจจับ
• การแคชเชิงรุกที่มีการเขียน path ทรัพยากรใหม่ ปลั๊กอินอย่าง LiteSpeed Cache, WP Rocket และ Rocket Loader ของ Cloudflare บางครั้งเขียน URL ของทรัพยากรใหม่เพื่อซ่อนแหล่งที่มา การตรวจจับตามลายเซ็นของเราตรวจจับสิ่งเหล่านี้ส่วนใหญ่ แต่ไม่ใช่ทั้งหมด
• เว็บไซต์ส่งออกแบบสแตติก เว็บไซต์ WordPress ที่ถูกส่งออกเป็น HTML แบบสแตติกจะสูญเสียลายเซ็นในขณะรันไทม์ส่วนใหญ่ที่ทำให้การตรวจจับเป็นไปได้

สิ่งที่เราไม่ทำ

มีคนถามเรา คำตอบคือไม่:

• เราไม่จัดเก็บ URL ที่คุณส่ง
• เราไม่บันทึกที่อยู่ IP เพื่อวัตถุประสงค์ทางการตลาด
• เราไม่แบ่งปันข้อมูลการตรวจจับกับผู้ให้บริการ
• เราไม่หลีกเลี่ยงการยืนยันตัวตน robots.txt หรือการควบคุมการเข้าถึงอื่นๆ
• เราไม่เรียกใช้เครื่องมือตรวจจับบน IP ภายใน/ส่วนตัว (127.0.0.1, 10.x.x.x เป็นต้น) ด้วยเหตุผลด้านความปลอดภัย

รายละเอียดความเป็นส่วนตัวฉบับเต็มอยู่ใน นโยบายความเป็นส่วนตัว ของเรา

การเข้าถึง API

ปัจจุบันเราไม่ได้ให้บริการ API สาธารณะ แต่มีการเข้าถึงแบบโปรแกรมที่จำกัดให้บริการตามคำขอสำหรับเอเจนซีและนักวิจัย เขียนถึง hello@revealtheme.com พร้อมกรณีการใช้งานและปริมาณคำขอที่คาดการณ์ไว้ของคุณ

ทำไมจึงไม่เป็นโอเพนซอร์ส?

กฎการตรวจจับเป็นแกนหลักของผลิตภัณฑ์ และเราอัปเดตบ่อยครั้งเมื่อธีมและปลั๊กอินพัฒนาขึ้น การเปิดซอร์สโค้ดจะทำให้จังหวะการอัปเดตของเราช้าลง อย่างไรก็ตาม เราเผยแพร่โพสต์โดยละเอียดเกี่ยวกับเทคนิคการตรวจจับใน บล็อก ของเรา: ค้นหาด้วยคำว่า «การตรวจจับ» เพื่อค้นหาพวกมัน

พร้อมจะลองหรือยัง?

ใช้เครื่องมือตรวจจับที่ตรงกับเว็บไซต์ที่คุณต้องการตรวจสอบ:

• เครื่องมือตรวจจับธีมและปลั๊กอินของ WordPress (ยอดนิยมที่สุด)
• เครื่องมือตรวจจับธีม Shopify
• เครื่องมือตรวจจับธีม Magento
• เครื่องมือตรวจจับเทมเพลต Joomla
• เครื่องมือตรวจจับธีม Drupal
• เครื่องมือตรวจจับธีม Moodle
• เครื่องมือตรวจจับธีม PrestaShop