你正在使用的WordPress主题安全吗?
晚上在cnBeta上看到一篇文章,《黑客们在利用Wordpress主题吗?》,颇有感触。相信有不少用WP搭建个人博客的朋友都同我一样,喜欢找些免费主题装扮下自己的博客,或许很少会考虑到代码安全的问题,至少我是这样。
在我们浏览网页、下载文件的时候,可能会保持警惕,担心是否有恶意代码,但是对网上成千上万的WP主题文件包,似乎总是默认它是安全的,或许这是某种思维定势造成的?
这是一个真实的例子。
主题设计师Derek Punsalan创作了大量WordPress主题,并把其中一部分发布在互联网上。一些其他的站点拷贝了他的主题,WP-Sphere便是其中一个。
当你从WP-Sphere下载Punsalan的主题时,它里边包括了一些本不属于该主题的代码。他是一大串潜在的不会使大多数人产生疑问的代码:
这串代码的第一部分提供了一个线索:这是一个用64位编码的PHP函数。但是把这段代码输入到解码器中,它们看起来来势凶猛:
这串代码在WordPress所在的服务器和一些像wpssr.com,wpsnc.com,wpsnc1.com的网站建立连接,并自动操作下载这些站点上的JAVAScript模块。这些网站被注册给加拿大不列颠哥伦比亚省温哥华市的一个匿名注册者。
“这类主题收集库充分利用那些轻信的WordPress用户假定他们正在下载的主题和下一个是没什么两样的。”Punsalan说:“虽然很难防止个人遵守不再次发布的要求,但是很明显,WordPress社区的用户们应该自觉抵制再配布的主题。”
Paul Carroll几个星期前写了一篇关于这段代码的日志。他断定,用最善意的眼光去看,这是WP-Sphere与使用主题的用户保持联系的一种方式,但是每次有访问者访问这个页面时它都提供了一个“优秀的”用来注入恶意代码的后门。理论上,WP-Sphere可以通过这个后门在经过他们拷贝并修改过的主题所在的页面插入广告。Punsalan在他的博客上也写了一篇关于这种情况的日志。
最令人不安的是,直至昨天,WP-Sphere依旧在Google上“WordPress Themes”付费搜索的第一名。现在,有专门的网站和插件用来检测网络日志安全和站点漏洞,但是WordPress太流行了以至于在不久的将来它将不得不来直接处理这些。它的灵活性使得它广受欢迎,也让那些别有用心的人把恶意代码插入博客中。现在,博客社区不得不采用某种形式不会抑制创新的认证流程。
Matthew Mullenweg,WordPress的创始人提出创建一个用认证、 GPL-许可主题构建的主题市场的创想。“这(在主题中插入恶意代码)和恶意软件没什么两样,甚至在很多方面县的严重得多,”Matthew说,“我们官方目录中所有的主题都经过这种审查,很显然有些主题很危险。”
这看来确实很危险,以后要有所警觉了。
