Bezpieczeństwo: skórki Wordpressa

Te wszystkie CMS-y i systemy blogowe mają pewną zaletę: są łatwe w obsłudze. Wystarczy ściągnąć paczkę z internetu, i już strona inaczej wygląda. Trzeba tylko uważać, co jest w środku.

Otóż okazuje się, że np. w skórkach Wordpressa jest dopuszczalny kod PHP. Ma to tę zaletę, że są one bardzo elastyczne - nie mają żadnych ograniczeń, jakie z pewnością narzuciłby jakiś system szablonów. Wadą jest to, że trzeba uważać ze skryptami ściągniętymi z sieci - mogą zawierać niebezpieczny kod.

Nie jest to bezpodstawna obawa - istnieją dość poważne przesłanki ku temu. Co zatem można zrobić?

Mała dygresja: czy nie jest ciekawe, że np. wpisanie w wyszukiwarce słów “wygaszacz ekranu” itp. bardzo często powoduje wypisanie stron stanowiących zagrożenie dla komputera? Może tak samo jest w przypadku frazy “wordpress themes”?

Na pewno znajomość PHP wiele ułatwia. Na początek wystarczy taka, żeby rozpoznać miejsca, w których kod jest zaciemniony. Jeżeli występują funkcje eval, fsockopen, include ze zdalnych serwerów, base64_decode itp. - bardzo możliwe, że coś jest nie tak. Aby nie było wątpliwości - to bardzo oznacza jakieś 85%. Druga rzecz - dziwne kawałki javascriptu (jeżeli ktoś wie o co chodzi, nie muszę tłumaczyć dalej). To, co przychodzi mi do głowy to np. pobieranie document.cookie, zmiana document.location, zaciemniony kod (eval, decode itp). Ale jest możliwych wiele kombinacji.

A co wtedy, jeżeli nie posiada się takiej znajomości PHP, albo jest ona niewystarczająca? Naprawdę warto wtedy zapytać kogoś, kto się na tym zna. Ewentualnie pokierować się reputacją witryny, z której pobrało się skórkę (pierwsze miejsce w google na ogólną frazę może być efektem manipulacji; na tym nie można polegać przy ocenie bezpieczeństwa). Najlepiej jedno i drugie.

Oczywiście przesłanie tej notki można rozszerzyć na inne systemy czy np. wtyczki (które już na pewno zawierają kod - bo muszą). Warto też pamiętać, że nawet jeżeli autor nie był osobą złośliwą, to mógł nie do końca znać się na bezpieczeństwie - wiele wtyczek do popularnych CMS-ów zawiera dość nieprzyjemne luki, które nie zawsze są łatane. Radzę sprawdzić!

Wpis dla kategorii: Dla webmasterów
Posty na podobny temat:

Dodaj komentarz

verdict