Derek Punsalan ostrzega na swoim blogu 5thirtyone przed wszelkimi niesprawdzonymi pobieralniami szablonów dla popularnych CMS-ów. Mianowicie serwis wpsphere.com dołą
cza do publikowanych szablonów zaszyfrowany w base64 fragment potencjalnie niebezpiecznego kodu który łą
czy się ze zdalnym serwerem. Najbardziej kontrowersyjne jest to że ów kod wykonuje się w PHP czyli po stronie naszego serwera czyli idą
c dalej daje zdalnemu właścicielowi strony z jaką
się ów kod łą
czy praktycznie nieograniczoną
władzę nad naszym serwisem (od wykradania maili komentują
cych po kradzież naszych haseł i destrukcję totalną
albo co gorsze wykorzystanie naszej strony jako zombie).
Jaki z tego wniosek, ano taki że wraz ze wzrostem popularności najbardziej znanych skryptów a co za tym idzie wzrostem użytkowników “nieświadomych” stają
się one ciekawa ofertą
dla wszelakiej maści hakerów i spamerów. Jaka rada? Taka jak zwykle – nie znasz się, to na siłę nie udowadniaj że sobie poradzisz. Albo zlecić budowę serwisu/audyt gotowca komuś kto się na tym zna albo pobierać wszelkie dodatki tylko z zaufanych Ĺşródeł.
Więcej szczegółów:
Do not download WordPress themes distributed by 3rd party sites
Audit Those 3rd Party Themes and Plugins Before Enabling Them
Dodaj swój komentarz, lub trackback z twojej strony.
Subskrybuj RSS komentarzy.
Pisz na temat i nie spamuj :)
Możesz użyć następujących tagów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>