Derek Punsalan ostrzega na swoim blogu 5thirtyone przed wszelkimi niesprawdzonymi pobieralniami szablonów dla popularnych CMS-ów. Mianowicie serwis wpsphere.com dołącza do publikowanych szablonów zaszyfrowany w base64 fragment potencjalnie niebezpiecznego kodu który łączy się ze zdalnym serwerem. Najbardziej kontrowersyjne jest to że ów kod wykonuje się w PHP czyli po stronie naszego serwera czyli idąc dalej daje zdalnemu właścicielowi strony z jaką się ów kod łączy praktycznie nieograniczoną władzę nad naszym serwisem (od wykradania maili komentujących po kradzież naszych haseł i destrukcję totalną albo co gorsze wykorzystanie naszej strony jako zombie).
Jaki z tego wniosek, ano taki że wraz ze wzrostem popularności najbardziej znanych skryptów a co za tym idzie wzrostem użytkowników “nieświadomych” stają się one ciekawa ofertą dla wszelakiej maści hakerów i spamerów. Jaka rada? Taka jak zwykle - nie znasz się, to na siłę nie udowadniaj że sobie poradzisz. Albo zlecić budowę serwisu/audyt gotowca komuś kto się na tym zna albo pobierać wszelkie dodatki tylko z zaufanych źródeł.
Więcej szczegółów:
Do not download WordPress themes distributed by 3rd party sites
Audit Those 3rd Party Themes and Plugins Before Enabling Them
Dodaj swój komentarz, lub trackback z twojej strony.
Subskrybuj RSS komentarzy.
Pisz na temat i nie spamuj :)
Możesz użyć następujących tagów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>