Każda co bardziej rozgarnięta osoba, wie, że pobieranie wtyczek i skórek do WordPressa z nieznanego źródła prędzej czy później skończy się zainfekowaniem naszej witryny kodem, który będzie nam w jakiś sposób szkodził. Najczęściej dodatek taki wstawi na naszą stronę spamerkie linki, w najciekawszych przypadkach ktoś zdalnie przejmie kontrolę nad naszym blogiem i będzie z nim robił, co chce.

Trafiłem właśnie na informację o dwóch ciekawych wtyczkach, które wyłapią na anszym blogu takie niebezpieczne dodatki. Jedna z nich to Theme Authenticity Checker, a druga to Exploit Scanner. Choć zapewne nie działają idealnie, ale można je traktować jak coś w rodzaju oprogramowania antywirusowe dla naszej witryny. 

Informajcę wrzucam także ku pamięci swojej. A skąd o tych wtyczkach wiem? A stąd. Polecam ten ciekawy artykuł o tym, dlaczego nie powinniśmy szukać w Google darmowych skórek do WordPressa (ale także i do innych systemów CMS)

To będzie wpis o tym, że jak instalujesz mnóstwo pluginów i skórek do WordPressa, któregoś dnia może się okazać, że zostałeś zhakowany.

Niewiele osób wie jak wiele może zrobić twórca skórek czy pluginów do WordPressa (ale od razu mówię ” ten tekst mógłby być o dowolnym systemie CMS), w tym także jak wiele złych rzeczy może zrobić.

Wyobraź sobie, że znajdujesz w sieci rewelacyjny plugin, który sprawi, że ” wymyślam na poczekaniu ” pod twoimi wpisami będą pojawiać się wpisy z nim powiązane. Instalujesz go i faktycznie ” pod każdym wpisem pojawiają się odnośniki do innych wpisów z Twojego bloga. Plugin więc spełnia swoje działanie.

Tymczasem jednak twoja strona z dnia na dzień zostaje wyrzucona z indeksu Googla. Osoby, które zamieściły kiedykolwiek komentarz na Twoim blogu (a więc także podały swój adres email) codziennie z Twojej domeny dostają dziesiątki spamów. Któregoś dnia nie możesz zalogować się do panelu administracyjnego, a za kilka kolejnych dni znikają Twoje wszystkie wpisy, a zamiast nich blog jest pełen reklam viagry i podrabianych roleksów. Twój blog nie jest już twój.

Brzmi nieprawdopodobnie? Uwierzcie mi, że jest to jak najbardziej możliwe, a co więcej właściciel sam jest sobie winien doprowadzenia do takiej sytuacji. I to niezależnie od tego czy korzystamy z WordPressa, Joomli, Drupala czy czegokolwiek innego. Ja akurat piszę o WordPressie, bo nim się zajmuję.

Częścią z moich zadań jest właśnie ratowanie blogów z podobnych opresji jak te opisane wyżej. Widziałem już w kodach pluginów, skórek (skórka to tak naprawdę z grubsza także plugin) czy też innych dodatków wiele mniej lub bardziej zaevalowanych instrukcji, które mają za zadanie po cichu zrobić krzywdę właścicielowi strony (a właściwie raczej przynieść korzyść twórcy dodatku kosztem właściciela strony).

Dowolny plugin czy skórka poza robieniem tego, do czego zostały stworzone według opisu na stronie dodatku może w ukryciu robić dosłownie wszystko z Twoją stroną. Najczęściej ogranicza to się do z pozoru niewinnego dodawania odnośników pozycjonujących w stopce strony, jednak i takie działanie czasami może dla nas źle się skończyć ” Google potrafi wyrzucić ze swojego indeksu takie strony, zwłaszcza jeśli inne odnośniki w  stopce są serwowane dla czytelników strony, a inne dla robota google. Czy tak się właśnie dzieje, przeciętny użytkownik wordpressa jednak wiedzieć nie może.

Na szczęście jest kilka mniej lub bardziej prostych sposobów aby ustrzec się przed zhakowaniem naszej strony w ten sposób. Oto one.

• Nie instaluj wszystkiego co znajdziesz w sieci! Jeśli tak robisz, aż się prosisz o kłopoty. Ja jeśli znajduję jakiś nowy plugin najczęściej czytam jego kod aby zobaczyć co mniej więcej robi, potem instaluje na wordpressie testowym i dopiero wtedy ” jeśli zdecyduje, że jego funkcjonalności są mi przydatne ” ląduje on na muzungu.pl
• Jeśli szukasz pluginów lub skórek, szukaj ich w pierwszej kolejności w repozytorium WordPressa. Teoretycznie zanim autor wtyczki/pluginu doda go do owego repozytorium, administrator serwera przegląda jego kod w poszukiwaniu niebezpiecznych jego fragmentów, a zatem jesteśmy nieco bezpieczniejsi. (Niestety nie jest to zabezpieczenie doskonałe, bo złośliwy kod i w takiej sytuacji da się przemycić)
• Jeśli już musisz zainstalować coś spoza repozytorium, wybieraj skórki i pluginy bardziej popularne, których autor jawnie podpisuje się pod swoim dziełem. Taka osoba raczej nie odważy się na próbę wstrzyknięcia złośliwego kodu i utratę reputacji.
• Przynajmniej pobieżnie obejrzyj kod wszystkich plików składających się na skórkę lub plugin. Otwórz je przed instalacją choćby zwykłym notatnikiem i wyszukaj frazy ‘eval’ i ‘base64_decode’. Jeśli je znajdziesz, zrezygnuj z instalacji (jednak ich obecność nie musi oczywiście od razu oznaczać złych intencji twórcy).

Nie byłbym sobą, jeśli nie pozwoliłbym bym sobie na małą reklamę Jeśli nie jesteś pewien czy twoja skórka i zainstalowane już pluginy są bezpieczne, napisz do mnie a za opłatą zajmę się takim audytem. Jeśli nie chcesz mi tego zlecać, proponuję dodać takie ogłoszenie na WPzlecenia.pl ” na pewno ktoś się tym zajmie.

W jednym z kolejnych wpisów opiszę w jaki sposób ratować wordpressa gdy został już zarażony. Nie  jest to zadanie proste, jednak wykonalne. Nie zapomnij dodać do swojego czytnika mojego kanału RSS aby nie przegapić tego zapowiadanego wpisu

Spłodziłem kolejny mały (płodzenie zajęło mniej niż godzinę) plugin do WordPressa. Właściwie napisałem go dla siebie, ale podejrzewam, że wielu z Was się przyda.

Plugin po zainstalowaniu raz na dobę będzie sprawdzał czy jest na stronie WordPressa nowsza wersja tego oprogramowania niż mamy zainstalowana i jeśli tak, wyśle nam maila z informacją o tym.

Banał, wiem. Wiem też, że takie info mamy przecież w panelu admina. Dlatego plugin nie jest dla wszystkich. Jest dla tych, którzy albo nie logują się do swojego panelu zbyt często, albo mają dużą ilość instalacji WordPressa pod kontrolą.

Strona pluginu jest tutaj. Po angielsku (a może angielskawu, jeśli ktoś widzi tam błędy językowe, proszę o cynk) bo mam zamiar wypłynąć tym pluginem na wody międzynarodowe. Niedługo plug będzie dostępny prez stronę WordPressa (fiu, fiu).

Aha, ten plugin jest za darmo. Jest lekki (wywoływany jest raz na dobę i nie przetwarza zbyt wiele danych), więc można śmiało instalować. Chciałoby się powiedzieć: będzie to jeden z najpopularniejszych pluginów wśród osób intensywnie wykorzystujących oprogramowanie WordPressa

Update: plugin jest już w repozytoriach WordPressa

http://wordpress.org/extend/plugins/upgrade-notification-by-email/