traumstadt
メンバー
3 years前の投稿 #
デザインの良いワードプレスのテーマを入手するため、「無料でワードプレスのテンプレートを入手出来るサイト」をいくつか回り、これまで数多くのテーマをダウンロード&サーバーへアップロードしてきました。
しかし、今日「無料のワードプレス・テーマを怪しい場所で手に入れるのは危険」という記事を次のサイト(http://jp.blogherald.com/2008/09/14/wordpress-wednesday-news-4-wordcamps-wordpress-262-bad-themes-count-twitterers-threaded-comments-and-sticky-posts/)で見かけ、自分がアップロードしたテーマの中に、もしかしたら悪意のあるテーマがあったのではないだろうか?と不安になりました。
もし悪意のあるテーマが混ざってしまった場合、ウイルス感染で情報漏洩などが考えられますが、そのようなものが潜んでいるかどうか、確認する方法はありますでしょうか?ウイルス感染の事例や、具体的にどのサイトのどのテーマが危険なのか、などについても教えて頂けると助かります。
無料だからといって、安易なダウンロードは危険なようですね。
皆様、どうかよろしくお願いいたします。
WordPress のテーマは実質的に PHP のコードなので、悪意あるコードを含んでいる可能性はありますね。といっても、ウイルスのようなものではなく、データベースの中身を吸い出してどこかのサイトに送信するとか、そういう感じだと思います。
確認するには、ダウンロードしたテーマの PHP, JS, CSS ファイルをくまなく精査することですが、PHP や JavaScript コードのセキュリティーに詳しくないと検出するのは難しいでしょう。例えば、fsockopen などのコードがあると「外部サイトにデータ送信している可能性がある」などの判断はできますが、そんなあからさまな命令を入れている可能性は低そうですし。
場合によっては、画像ファイル (GIF, PNG, JPEG) の中に PHP コードを埋め込んで、ブラウザーの脆弱性によって実行させる手法を使っている場合もありますが、これについては確認は困難です。
不安があるならば、現在使用中のテーマを即時使用停止し、サーバーから削除してください。念のため、テーマファイル自体は手元に残しておいてください (ローカルマシンで動作するようなウイルスが入っている可能性はまず考えられないので保存すること自体は大丈夫でしょう)。
traumstadt
メンバー
3 years前の投稿 #
丁寧でお早いご回答、ありがとうございます。
なるほど、悪意のコードによって中身をさらされるかも知れないのは、データベースの中身なのですね。
ローカルマシンにまで影響が無ければ、まだ大丈夫かなと思います。
ログイン時のパスワードを盗まれたりするのは、怖いですが。
悪意のコードの存在を確認することも難しそうなので、何か違和感を感じたりしない限りは、気に入ったテーマを使用してみようと思います。
悪意コードによる被害について検索しても、あまりヒットしないようですし、神経質になりすぎないようにすることにします。
どうもありがとうございました。
あとは、悪い行為を行うための踏み台サイトにされる場合が考えられます。データベースをいじったり、勝手にファイル生成したりできれば、フィッシング詐欺用のサイトを作れたりします。
ほとんどの無料テーマは心配ないので、あまり気にしなくていいとは思いますが、使わないテーマはサーバーから削除しておいた方が無難でしょう。現在使用中のテーマについて、入手元が判明していれば、その URL をここに書けば、フォーラム参加者のみなさんで検証することは可能です。
traumstadt
メンバー
3 years前の投稿 #
度々のご回答、ありがとうございます。
踏み台サイトにされるのは、怖いですね。
知らずうちに他のサイトへのリンクなどが貼られていないか、定期的に確認することにします。
今現在使用しているテーマは、有名なものが多いので大丈夫だとは思いますが、
今後、テーマに何か異変を感じた場合、フォーラムの皆さんに検証をお願いするかも知れません。
ご提案通り、使わないテーマは、サーバーから削除しておくことにします。
必要があれば、すぐにアップロード出来ますし。
いろいろとご丁寧にありがとうございました。
