Гадни линкчета в темата

September 24, 2009

php eval на обфускиран стринг

Ето това нещо намерих в WordPress темата на приятел.

Човек си тегли и слага тема на доверие, вярва че е качествен продукт, обаче има уловка. Един от файловете съдържа 16 килобайта бльоч и в тези 16 кб е целият сайдбар.

скрийншот на пхп код

С този код извадих HTML-а. Получава с 81 eval-а на gzinflate, str_rot13 и base64_decode. Иначе работи бързо.

Не е много удачно да се слагат подобни теми, ако не можете да си ги оправите сами (в нарушение на лиценза). В тази нямаше нищо гадно, освен 3 от ОНЕЗИ линкчета, дето чичо гугъл ги мрази, но в друга може да има всякакви други безобразия.

Публикувано в: Грешки 5 коментара RSS 2.0

Ако постът ви харесва, цъкнете на сърцето:

Коментари

5 коментара на “Гадни линкчета в темата”

  1. ivan on September 24th, 2009 17:30

    ползваш edit plus ?!?

  2. николай on September 25th, 2009 09:25

    Темите в официалното хранлище са чисти: http://wordpress.org/extend/themes/

    Ако някоя тема я има там, сваляйте я от там. Ако я няма — гледайте внимателно кода.

    Относно лиценза, всяка тема трябва да е GPL:

    http://wordpress.org/development/2009/07/themes-are-gpl-too/

    Така че няма как да ѝ го нарушиш 🙂

  3. Гонзо on September 25th, 2009 11:05

    Тъкмо и аз щях да кажа, че всички теми са GPL, ма Ники вече е обяснил.

    Официалното хранилище има строги правила за такива неща, явно много хора са си правили така SEO-то. Като се замисля какво още може да се набута във functions.php, направо не ми се мисли… Явно трябва много да се внимава с безплатни теми от неофициални хранилища и винаги да се преглеждат внимателно.

  4. dzver on September 25th, 2009 11:51

    Не знаех това с лиценза. Значи можем да направим клуб по почистване на теми ;-P

  5. Георги Фурнаджиев on September 29th, 2009 02:11

    Само да обърна внимание – цената на сигурността в официалното хранилище е забавяне на актуализациите на темите. Забелязвал съм, че на сайтовете на авторите новата версия излиза доста по-рано, а има и прескачане на версии. Едно за сметка на друго, дето викат хората.

    Освен това – за сведение. Доста автори си качиха темите в новата версия на хранилището, а след време ги свалиха. А много теми, които „ги има“ в wordpress.COM ги няма в http://wordpress.org/extend/themes/ Да, да, знам, че теоретично това са два различни проекта 😉

Оставете отговор