12 Apr 2007
Segurança em temas do WordPress
Recentemente estive envolvido na preparação do Extreme Makeover e do Lucrando Bonito na Rede, e acabei encontrando um artigo interessante e preocupante ao mesmo tempo: WordPress Theme Security Vulnerabilities (link para o cache do Google porque o artigo foi removido do seu local original).
A questão que quero abordar é bem simples: tome cuidado com de onde você baixa os temas para seu WordPress, pois eles podem não ser tão inocentes quanto parecem.
O WordPress é escrito em PHP, que é uma poderosa linguagem de programação. Os temas para o WP nada mais são que uma combinação de scripts em PHP e JavaScript, folhas de estilo em CSS e imagens, que provêem a camada de apresentação do site. Ora, se os temas são script, nada impede que eles contenham trechos de código que façam mais do que dizem que estão fazendo.
Por exemplo, uma das técnicas de Black Hat abordadas pelo autor do artigo acima citado (que também é criador de diversos temas para o WordPress) consiste em entregar conteúdos distintos para o Googlebot e para um usuário humano. Isso é facílimo de fazer, haja vista a possibilidade de identificar-se o user agent que está acessando a página, e servir o conteúdo adequado conforme o caso. Normalmente os blackhatters incluem nos temas hackeados links em locais relevantes para seus sites PPC (Pornografia, Pílulas, Cassino).
Porém, a coisa pode ir ainda mais longe: estamos falando de um ambiente de programação completo, capaz de tornar seu humilde blog em um bot de spam em comentários, ou numa estação de envio de spam por e-mail, ou qualquer coisa imaginável e executável em ambiente web.
A solução para este problema pode ser simples ou complexa, dependendo do seu nível de conhecimento técnico.
Se você for programador, vai ser fácil de identificar códigos suspeitos. Aliás, eu nunca ponho um tema em uso no meu site sem inspecionar todos os arquivos — até por causa da inclusão da publicidade, e porque eu nunca vou querer tudo que vem pré-configurado no tema (como o blogroll), além de sempre faltar algo de que eu precise. Já com os plugins confesso que não sou tão criterioso assim, principalmente se o plugin for daqueles complexos que têm um diretório só para si.
Caso você não tenha os conhecimentos necessários para auditar os componentes por si mesmo, vai ter que contar com a ajuda de alguém mais apto, ou limitar-se a usar os temas padronizados que seu host oferecer (a DreamHost oferece cinqüenta pré-instalados, a PortoFácil oferece consultoria gratuita para a instalação segura dos temas, embora não faça a customização dos mesmos).
E você, o que acha disso? Seria possível, na sua opinião, criar uma ferramenta que identificasse automaticamente os arquivos maliciosos? Por favor, deixe-me saber sua opinião sobre esse assunto, os comentários são todos seus!
Confira ofertas de: DVD, filmes, celulares, notebooks, livros, jogos, Wii, PS3
Nunca tinha pensado nessa questão, apesar de ser meio maníaco com essas coisas e naturalmente inspecionar o que está ao meu alcance. Bom mesmo seria pegar os arquivos básicos e dali criar tudo, mas quem tem tempo para isso?
[Reply]
Peguei o tema do diretório de temas do Wordpress. Será que lá é seguro, eles verificam antes de disponibilizar? Se bem que no meu caso é o Misty Look, bem conhecido.
[Reply]
Ronaldo, o fato der o Misty Look não quer dizer muito, porque, se leu o artigo do cara, você viu que os caras andavam redistribuindo uma versão hackeada do Kubrick.
Mas imagino que o fato de você ter baixado o tema direto do WP te dê segurança.
[Reply]
Na verdade depois de instalar o Misty Look eu vi que existia uma versão mais nova no site do criador do tema e baixei de lá. Se essa não for segura, então nada mais é
Mas p/ quem conhece PHP sempre é bom dar uma olhada no código antes de subir o tema.
[Reply]
Uso o kubrick, que já vem junto com o WP, como base para criar meus temas. Espero sinceramente que isso elimine o perigo, porque de php não entendo nada… Agora, desde que tive problemas com alguns plugins (por excesso de chamadas ao mysql), passei a ficar mais cuidadosa com os que instalo.
[Reply]
Lu.
Podes estar certa de que essa é a maneira mais segura de se implementar um tema no WP.
[Reply]
Sei que a questão que está no tópico, é diretamente ligada a WP e Theme, mas isso vale também para programas, em geral, sempre é bom verificar se a fonte é realmente confiável.
[Reply]
[...] Janio escreveu recentemente sobre o problema dos códigos maliciosos nos temas do Wordpress que, por rodar em PHP, tornaria muito fácil criar uma central de envio de spam ou até mesmo [...]
[...] JÂNIO alerta que temas podem conter códigos maliciosos. A explicação é que, na verdade, temas são feitos em linguagem PhP, disponibilizados [...]
[...] Janio escreveu recentemente sobre o problema dos códigos maliciosos nos temas do Wordpress que, por rodar em PHP, tornaria muito fácil criar uma central de envio de spam ou até mesmo [...]
[...] Segurança em temas do WordPress - texto de alerta (em português) [...]