提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
CMS如何发现某个网站正在使用哪个 WordPress 主题
识别任何网站上运行的 WordPress 主题归结为一个核心原则:WordPress 将所有主题资源存储在一个可预测的目录路径下 — /wp-content/themes/[theme-slug]/ — 该路径会在多个地方泄露到渲染的 HTML、CSS 引用和 HTTP 响应中。一旦知道在哪里查找,无需任何特殊工具,检测只需不到两分钟。
本指南涵盖所有可靠的检测方法,从自动化在线检测器到原始 HTTP 标头检查,包括主题被刻意混淆的边缘情况以及在这些情况下仍可提取的信息。
为什么识别 WordPress 主题很重要
除了单纯的好奇心之外,主题识别还有几个合法的专业用途:
- 设计研究:通过找到确切的主题来复制布局或 UI 模式,而不是从头重建。
- 竞争分析:了解同行业竞争对手的技术栈。
- 安全审计:验证您管理或评估的网站是否运行着过时或存在漏洞的主题版本。
- 客户入职:在接手没有文档的 WordPress 网站时,主题检测通常是重建技术栈最快的方式。
- 插件兼容性检查:许多高级主题捆绑了特定插件;了解主题有助于预测完整的依赖关系树。
如果您正在构建或迁移 WordPress 网站 — 无论是在共享虚拟主机还是完全托管的 VPS 主机环境中 — 在复制设计或审计继承的安装之前,了解确切的主题标识符至关重要。
方法一:自动化在线主题检测器
自动化工具是最快的起点。它们解析页面源代码,解析 CSS 和 JavaScript 资源 URL,并与已知主题数据库进行交叉引用,在几秒钟内返回结构化结果。
What WordPress Theme Is That (whatwpthemeisthat.com)
这是被引用最广泛的检测器。它返回主题名称、版本、作者、主题 URI,以及从已加载脚本和样式表中检测到的活跃插件列表。
使用方法:
- 访问
whatwpthemeisthat.com。 - 将目标网站的完整 URL 粘贴到输入框中。
- 点击 Search。
- 查看返回的主题卡片 — 其中包含指向主题仓库或购买页面的直接链接。
局限性:如果网站使用了高度自定义的子主题或已重命名主题目录,该工具可能返回父主题名称或完全失败。
WPThemeDetector (wpthemedetector.com)
WPThemeDetector 更进一步,还会将活跃插件与主题一起列出。当您想了解完整的插件生态系统而不仅仅是主题时,它特别有用。
使用方法:
- 访问
wpthemedetector.com。 - 输入目标网站 URL。
- 点击 Experience the magic of WPTD。
- 结果页面列出活跃主题和最多 20 个检测到的插件,并附有其 WordPress.org 条目的链接。
局限性:免费版本对请求有频率限制。对于批量分析,手动检查更为实用。
IsItWP (isitwp.com)
IsItWP 将主题检测与更广泛的技术指纹扫描相结合。在尝试主题识别之前,它会确认网站是否正在运行 WordPress — 当您不确定目标是否为 WordPress 安装时非常有用。
方法二:直接检查页面源代码
当自动化工具失败或返回模糊结果时,页面源代码是最终依据。默认情况下,WordPress 会将活跃主题的样式表作为 <link> 标签注入每个页面 <head> 部分。
查看原始页面源代码
- 在任意浏览器中打开目标网站。
- 在 Windows/Linux 上按
Ctrl+U,或在 macOS 上按Cmd+U,在新标签页中打开原始源代码。 - 按
Ctrl+F(Windows/Linux)或Cmd+F(macOS)打开查找栏。 - 搜索字符串
wp-content/themes/。
您需要查找如下结构的行:
<link rel='stylesheet' id='theme-name-css'
href='https://example.com/wp-content/themes/theme-slug/style.css?ver=3.2.1'
type='text/css' media='all' />/wp-content/themes/ 与下一个 / 之间的部分是主题目录名称(也称为主题标识符)。这是 WordPress 主题仓库和主题开发者使用的规范标识符。
专业提示:?ver= 查询参数通常会显示主题版本号,这对安全审计至关重要。将此版本与主题的更新日志进行交叉对比,以确定其是否为最新版本。
style.css 标头告诉您什么
获得主题标识符后,您可以通过手动构建 URL 直接访问其样式表标头:
https://example.com/wp-content/themes/theme-slug/style.css格式良好的 WordPress 主题样式表顶部包含一个结构化注释块,作为主题的元数据清单:
/*
Theme Name: Astra
Theme URI: https://wpastra.com/
Author: Brainstorm Force
Author URI: https://www.brainstormforce.com/
Description: Astra is fast, fully customizable & beautiful WordPress theme...
Version: 4.6.11
License: GNU General Public License v2 or later
License URI: http://www.gnu.org/licenses/gpl-2.0.html
Text Domain: astra
Tags: custom-background, custom-logo, custom-menu, ...
*/此块提供了确切的主题名称、版本、作者和许可证 — 定位主题官方来源所需的一切信息。
安全说明:某些经过加固的 WordPress 配置通过 .htaccess 规则或 NGINX 位置块阻止直接访问主题文件。如果您收到 403 Forbidden 响应,说明网站管理员已明确限制目录遍历 — 这是一种良好的安全实践。
方法三:使用浏览器开发者工具进行深度检查
浏览器开发者工具比原始源代码查看提供更精细的控制,尤其是当页面动态组装或资源异步加载时。
使用元素面板
- 右键点击目标页面上的任意位置,选择检查(Chrome、Firefox、Edge)。
- 在 Elements 标签中,按
Ctrl+F在 DOM 中搜索。 - 搜索
wp-content/themes以高亮所有匹配节点。 - 检查
<link>标签的href属性和<script>标签的src属性 — 两者都将包含主题标识符。
使用网络面板
当网站使用 JavaScript 渲染内容或延迟加载样式表时,网络面板是最可靠的方法:
- 打开开发者工具并切换到 Network 标签。
- 按 CSS 或 All 过滤。
- 使用
Ctrl+Shift+R(Windows/Linux)或Cmd+Shift+R(macOS)强制重新加载页面。 - 查找 URL 路径中包含
/wp-content/themes/的任何请求。 - 点击请求以检查响应标头 —
Last-Modified标头也可以提示主题的更新历史。
读取 HTTP 响应标头
某些 WordPress 配置会暴露 X-Powered-By 或引用主题或框架的自定义标头。在网络面板中,点击任意页面请求并检查响应标头部分。虽然这本身很少具有决定性,但可以与其他方法的发现相互印证。
方法四:检查页脚的主题署名
许多免费和免费增值 WordPress 主题在页脚中包含”Powered by”归因链接,作为其免费许可证的条件。这是适用时最省力的检测方法。
滚动到目标页面的最底部,查找如下文本模式:
Powered by [Theme Name]WordPress Theme by [Developer Name][Theme Name] by [Author]
这些署名通常直接链接到主题的官方页面。但是,高级主题以及任何已删除页脚署名的网站 — 根据 GPL 和大多数商业许可证这是允许的 — 将不会显示此内容。
边缘情况:某些主题开发者要求保留页脚署名作为免费许可证的条件。在未购买高级许可证的情况下删除它在技术上违反了许可证条款。如果您看不到页脚署名,说明该网站要么运行的是高级主题,要么所有者已付费删除了归因。
方法五:检测子主题和父主题关系
大多数检测指南忽略的一个关键细节:子主题在生产 WordPress 网站中极为常见,它们从根本上改变了您在源代码中找到的内容。
当网站使用子主题时:
- 活跃样式表
href指向子主题目录(例如/wp-content/themes/astra-child/style.css)。 - 子主题的
style.css标头包含一个Template:字段,用于标识父主题。 - 两个目录同时存在于服务器上。
子主题标头示例:
/*
Theme Name: Astra Child
Template: astra
Version: 1.0.0
*/Template: astra 行是决定性指标。父主题 — 在本例中为 astra — 是包含核心功能和设计系统的主题。子主题只覆盖特定模板或样式。
这对您意味着什么:如果您想复制设计,您需要父主题,而不是子主题。如果您想了解自定义内容,则两者都需要。
方法六:在可访问的服务器上使用 WP-CLI
如果您拥有 WordPress 安装的 SSH 访问权限 — 例如在您自己的 VPS 主机环境或独立服务器上 — WP-CLI 提供了最权威的主题信息:
wp theme list --path=/var/www/html/wordpress示例输出:
+------------------+----------+-----------+---------+
| name | status | update | version |
+------------------+----------+-----------+---------+
| astra | active | none | 4.6.11 |
| astra-child | active | none | 1.0.0 |
| twentytwentyfour | inactive | available | 1.1 |
+------------------+----------+-----------+---------+对于您在没有 SSH 访问权限的情况下远程审计的网站,此方法不可用 — 但对于您自己的安装,它是最终的真实来源,还会显示未激活的主题,如果未修补,这些主题可能代表攻击面。
方法七:查询 WordPress REST API
WordPress 默认公开 REST API。在许多未修改的安装中,以下端点返回嵌入在网站常规信息中的主题相关数据:
https://example.com/wp-json/wp/v2/themes重要说明:自 WordPress 5.7 起,此端点需要身份验证 — 未经身份验证的请求返回 401 Unauthorized 响应。但是,常规网站信息端点有时会泄露主题数据:
https://example.com/wp-json/在响应 JSON 中查找 gmt_offset、timezone_string 以及偶尔出现的主题相关元数据。这是一种不稳定的方法,但值得在较旧或配置错误的安装上尝试。
处理混淆或加固的网站
某些 WordPress 安装被刻意配置以隐藏主题身份。以下是每种对策的表现以及您仍可确定的内容:
| 混淆技术 | 阻止的内容 | 仍会泄露的内容 |
|---|
| — | — | — |
|---|
| 重命名主题目录 | URL 中的目录名称 | `style.css` 主题名称字段(如可访问) |
|---|
| 阻止 `/wp-content/` 访问 | 直接文件 URL 访问 | 页面源代码中已加载的资源指纹 |
|---|
| 压缩/合并 CSS | 单个文件路径 | 合并后的资源 URL 可能仍包含主题标识符 |
|---|
| 自定义 `wp-content` 目录路径 | 默认路径检测 | 新路径在页面源代码资源 URL 中可见 |
|---|
| 禁用 REST API | 基于 API 的检测 | 页面源代码和页脚署名不受影响 |
|---|
| 删除页脚署名 | 页脚归因 | 源代码检查仍然有效 |
|---|
| CDN 代理资源 | 源服务器路径 | CDN URL 可能仍包含主题标识符片段 |
|---|
没有任何单一对策能同时阻止所有检测向量。网站需要实施上述所有措施才能有效隐藏 — 这在操作上不切实际,并且会破坏合法功能。
对比:主题检测方法一览
| 方法 | 所需技术技能 | 无需服务器访问权限 | 检测子主题 | 检测主题版本 | 速度 |
|---|
| — | — | — | — | — | — |
|---|
| 在线检测工具 | 无 | 是 | 部分 | 有时 | 非常快 |
|---|
| 页面源代码检查 | 低 | 是 | 是 | 是(通过 `?ver=`) | 快 |
|---|
| 浏览器开发者工具(元素) | 低 | 是 | 是 | 是 | 快 |
|---|
| 浏览器开发者工具(网络) | 中 | 是 | 是 | 是 | 中 |
|---|
| 页脚署名检查 | 无 | 是 | 否 | 否 | 即时 |
|---|
| `style.css` 直接访问 | 低 | 是 | 是 | 是 | 快 |
|---|
| WP-CLI(SSH 访问) | 高 | 否 | 是 | 是 | 非常快 |
|---|
| REST API 查询 | 中 | 是(有限) | 否 | 否 | 快 |
|---|
使用检测到的主题时的实际注意事项
识别主题后,需要做出几个后续决策:
许可证:大多数 WordPress 主题采用 GPL 许可证,允许免费再分发。但是,通过 ThemeForest 等市场销售的高级主题使用分割许可证 — PHP 代码是 GPL,但捆绑的资源(图像、字体、JavaScript 库)可能带有商业许可证。购买合法许可证是正确的做法。
版本匹配:如果您要复制设计,请匹配您检测到的确切版本。较新版本可能具有明显不同的布局或已删除的功能。
插件依赖:Divi、Avada 和基于 Elementor 的主题等主题严重依赖配套插件。没有相应的页面构建器及其保存的模板,仅靠主题无法复制设计。
性能影响:如果您要在自己的基础设施上部署识别到的主题 — 无论是在带 cPanel 的 VPS 还是裸机 VPS 主机实例上 — 在提交之前请对主题的资源大小进行基准测试。某些流行主题默认加载超过 500KB 的未优化 CSS 和 JavaScript。
SSL 和混合内容:将检测到的主题移至新域时,请确保您的新环境配置了有效的 SSL 证书。硬编码 http:// 资源路径的主题将在 HTTPS 网站上触发混合内容警告。
决策矩阵:选择使用哪种方法
使用此矩阵根据您的情况选择适当的检测方法:
- 您需要快速答案且无需技术设置:使用在线检测器(whatwpthemeisthat.com 或 wpthemedetector.com)。
- 在线工具未返回结果或返回错误结果:回退到页面源代码检查并搜索
wp-content/themes/。 - 页面源代码显示子主题但您需要父主题:直接访问子主题的
style.css并读取Template:字段。 - 您需要确切版本进行安全审计:将已加载样式表 URL 中的
?ver=参数与直接style.css标头检查相结合。 - 您拥有服务器的 SSH 访问权限:通过 WP-CLI 运行
wp theme list,获取包括未激活主题在内的权威完整结果。 - 所有 CSS 路径都被混淆或阻止:检查网络面板中包含可识别主题标识符的任何资源 URL,然后在端点开放时通过 REST API 进行验证。
- 您正在审计自己的 WordPress 安装:在您的 VPS 控制面板环境中使用 WP-CLI,获取最完整的信息,包括更新可用状态。
关键技术要点
- 规范检测信号是嵌入在页面源代码
<link>标签中的/wp-content/themes/[slug]/style.css路径。 - 子主题通过其
style.css标头中的Template:字段指向父主题标识符来识别。 - 已加载样式表上的
?ver=查询参数经常暴露主题版本号。 - WP-CLI 的
wp theme list命令是唯一能显示未激活(且可能存在漏洞)的已安装主题的方法。 - 重命名主题目录会破坏自动化工具,但如果 CSS 文件仍可访问,则不会破坏手动源代码检查。
- 没有任何单一混淆技术能阻止所有检测向量;使用浏览器开发者工具的分析人员在大多数情况下都能找到主题标识符。
- 在生产网站上部署检测到的主题之前,请务必验证许可证 — GPL 代码自由不延伸至主题捆绑的所有商业资源。
常见问题
WordPress 网站能完全隐藏其主题不被检测到吗?
实际上不能。即使进行了目录重命名、阻止文件访问和 CDN 代理,主题标识符通常也会出现在页面源代码中至少一个已加载资源 URL 中。完全混淆需要内联提供所有 CSS 并删除所有文件路径引用 — 这会破坏标准 WordPress 主题架构。
主题标识符和主题名称有什么区别?
主题名称是在 style.css 标头中定义的人类可读标签(例如”Astra”)。主题标识符是服务器上的目录名称(例如 astra)。这两者通常相似但并不总是相同 — 高级主题有时使用与其显示名称不同的标识符。标识符是 WP-CLI 命令和直接文件访问所需的内容。
为什么在线主题检测器有时会返回错误的主题?
大多数检测器解析页面源代码中的第一个 /wp-content/themes/ 引用。如果子主题处于活跃状态,它们会返回子主题名称而不是父主题。此外,如果网站使用重写资源 URL 的 CDN,检测器可能完全找不到任何 WordPress 特定路径。
主题检测在无头 WordPress 设置上有效吗?
不。在无头 WordPress 架构中,前端与 WordPress 解耦 — 它通常是从单独源提供的 React、Next.js 或 Vue 应用程序。WordPress 主题仅用于管理后端,不会渲染到面向公众的 HTML 中。通过页面源代码检查进行主题检测将找到前端框架,而不是 WordPress 主题。
使用在其他网站上识别到的主题是否合法?
这取决于许可证。WordPress.org 上的免费主题采用 GPL 许可证,可以自由使用。高级主题需要根据开发者条款购买有效的购买许可证。在没有许可证的情况下使用高级主题 — 即使您通过其他方式获得了文件 — 违反了开发者的服务条款,在某些司法管辖区,还违反了涵盖主题捆绑的非 PHP 资源的版权法。