Temi infetti

[quote=”Wolly”]Non è una vulnerabilità di WordPress, è la vulnerabilità più importante che c’è nell’informatica, l’Utente.[/quote]

Raramente cosa fu piu’ saggia!!!

Mah, io non sarei così drastico. Questi poveretti hanno voglia di farsi un sito, trovano un tema carino e lo scaricano 😉 Piuttosto io non capisco quali siano gli scopi di chi li scrive. Non riesco ad immaginare a cosa serva un tema infetto, se non creare qualche malumore ai pochi utenti che ci cascano 😉 A differenza dei virus tradizionali, non possono mica replicarsi e creare un effetto a catena, quindi il danno è molto localizzato. Boh, sarò io troppo ingenuo forse…

In realtà scrivendo nel database possono fare quello che vogliono, dall’inserire link di spam a crearsi backdoor nel tuo wp.

@Wolly, si si tutto chiaro. Ma è sempre un “problema locale”, non è che possono diffondersi come succede con i virus tradizionali. Quindi continuo a non capire quale sia lo scopo finale di chi li crea, se non dare qualche mal di testa ai pochi malcapitati che li installano. Ad ogni modo, ottimo parlarne e diffondere la consapevolezza. Spesso la gente dimentica che installare un tema o un plugin “sospetto” è come invitare a casa propria una persona sconosciuta e lasciarla fare indisturbata ciò che gli aggrada.

Non capisco perchè te/ve la prendi/prendete con Wally, che ha detto cose esatte e giustamente non può stare a spiegarti l’ABC di una vulnerabilità.

Se hai un minimo di nozioni ti basta dare un’occhiata ai file del tema e controllare che non vi siano INSERT query anomale.

Che wordpress sia semplice o meno, questo è un altro discorso.
Anche Windows è semplice da usare, ma al tempo stesso pieno di bug e vulnerabilità, ma ciò non comporta il fatto che qualcuno debba stare a spiegare come funzioni un buffer overflow oppure un SQL Injection (tempo perso visto che il problema è che non volete capire, altrimenti vi sareste già documentati da soli, o almeno ci avreste provato)

E cosa c’entrano gli hacker turchi?

No, più che altro quando uno scopre una vulnerabilità non dovrebbe dire “dei temi wordpress” o “i temi in questione”. Dovrebbe invece avere una lista di temi a rischio o almeno IL tema dove ha trovato il codice malevolo… Prendersela con l’utente è fuori luogo, se scarico un CMS non è detto che debba intendermi del linguaggio con cui è scritto…

Il post è un consiglio generale e, ovviamente, non fa esempi. Penso che sia impossibile elencare tutti i temi pericolosi o potenzialmente tali, anche perchè nessuno del team di WP-Italy (nè di WP.org) si è messo lì a scaricare tutti i temi disponibili sul web.
Penso sia comprensibile.
Però, ragionando inversamente, la lista è presto fatta: sono temi potenzialmente pericolosi TUTTI quelli che non sono scaricabili dal sito ufficiale. Semplicissimo.
Inoltre sono stati segnalati più di una volta (qui e nel forum) link a siti che permettono di verificare se il tema contiene codice malevolo.
Più di così cosa si dovrebbe fare?
Dire che il tema “cicciobello” è pericoloso? Così arrivano n utenti a dire “ma io non ho quel tema, eppure ho un problema anch’io”.
Meglio avvisare l’utenza che ci sono MOLTI temi non affidabili e l’unico posto sicuro per scaricarli è il sito ufficiale di WP.
Questo semplifica le cose a tutti: non c’è bisogno di creare una blacklist (che poi sarebbe inutile) e l’utente ha una fonte sicura per fornirsi di temi. Sta poi all’utente scaricare il tema non sicuro ma figo, oppure scegliere tra le centinaia sicuri.

Davvero, non saprei come questo post potrebbe essere più utile, se non avvertendo di tenere gli occhi aperti e scaricare solo temi “certificati” e sicuri.
Penso che chiunque possa capire, per quanto “meno esperto” che è impossibile stilare un elenco di tutto ciò che non è affidabile, qundo invece è presente un elenco di ciò che sicuramente non infetto.
Gli utenti (tutti, non solo chi si avvicina ora a WP) devono capire che l’assistenza (volontaria, ricordiamolo) è data per ciò che riguarda WP in sè, non i plugin o i temi. Sarebbe impossibile conocere a menadito tutti i temi disponibili e tutti i plugin creati finora con tutte le loro possibili interazioni o incompatibilità. Proprio per quello, nel forum, si rimanda sempre alle pagine di supporto dei singoli plugin o temi. Raramente si riesce a dare una risposta che non riguardi direttamente WP (bug, incompatibilità note, impostazioni errate), e in quel caso soo per esperienza diretta nell’uso di quel plugin o quel tema.
Se tutto questo è troppo difficile da accettare (non da capire), mi spiace, ma sinceramente penso che un supporto che sappia dare una risposta valida su tutto (temi, plugin, hosting, ftp, html, css, self-hosting, permessi, ecc.) sia assolutamente fuori dalla portata di un team volontario e ridotto a poche persone.

Per gli utenti arrabbiati:

ma voi fate o avete mai fatto tutto questo “macello” con la Microsoft (che tra l’altro non produce software open source ma a pagamento), per sapere tutti i software vulnerabili che esistono in circolazione (e di cui sicuramente una larghissima percentuale sarà installata sul vostro pc)?

Non capisco l’atteggiamento. Ricordatevi che lo spirito open esiste ed è vivo perchè c’è stato e continua ad esserci qualcuno che si prende la briga di andarsi a studiare e approfondire i software e il loro sviluppo.

Volete la pappa pronta e qualcuno che fa le cose al posto vostro? Allora o non usate wordpress (o un qualunque altro prodotto open), oppure andate da un professionista e lo pagate, così che possiate scaricarvi con lui quando vi bucano il sito. Oppure: studiate e non rompete l’anima. Ricordatevi che anche il miglior sviluppatore, un tempo, è stato come voi.

Mi pare che ci fosse il link da qualche parte (nel forum, mi pare) ad un sito che permetteva di controllare i temi infetti.
Però, così come per i virus, non è semplice dire come sono, cosa provocano e dove vanno a colpire.
Purtroppo non c’è solo un tipo di “infesione” dei temi: ci sono quelli che scrivono sul DB, quelli che mostrano ads, quelli che redirigono i siti, ecc…
Come si diceva in precedenza, per dare informazioni sarebbe necessario scaricare una quantità di temi, aprirne ogni file, esaminarli e recensirli.
Uno esperto, magari non lo fa in 5 minuti. E, magari, per farlo si fa pagare 😉

Vedi, Marco, lo dici tu stesso: hai parecchia esperienza coi temi.
Il problema è questo. Non tutti hanno la stessa esperienza e non sanno riconoscere del codice cifrato, nè capire cosa fa e come sistemare un tema: lo installano perchè è bello. Punto.

Ecco perchè si *consiglia* di diffidare di tutto ciò che non proviene dal repository di temi (ora aggiornato e migliorato) ufficiale di WP.
Ed ecco perchè si tende a considerare inaffidabile e potenzialmente pericoloso ciò che non può essere garantito libero da link, codici cifrati et similia (peraltro senza che venga segnalato!).

Tutto ciò per evitare le solite richieste di aiuto al forum a causa di DB sporcati da temi non proprio simpatici.
In pratica si dice (soprattutto ai neofiti): qui (e solo qui) ci sono i temi affidabili, poi decidete voi cosa scaricare, ma se vi beccate delle schifezze non venite a lamentarvi.

Ovvio che il consiglio non vale per chi sa come funziona un tema, sa riconoscere i codici o sa farsi un tema da solo.

Scusate se dico la mia, ma non capisco questo scaldarsi tutti.
Mi sembra giusto e sacrosanto avvisare, sopratutto i neofiti, dei rischi che si corrono a scaricare templates e plugin da siti inattendibili.
E’ un suggerimento molto comune, apprezzabile quanto però generico, che chiunque passi almeno una mezzora davanti al PC si sente fare da tutti anche per ciò che concerne i rischi virus, spam o quant’altro.

Dopo di che mi pare che si sia chiesto soltanto:
1) Spiegare, anche se a grandi linee cosa succede. Anche per i virus si spiega cosa fanno le diverse categorie di malware senza per questo pretendere una laurea tecnica all’interlocutore o illustrare un disassemblato in Esadecimale.
2) Spiegare, nel limite del possibile, come riconoscere un documento potenzialmente pericoloso.
3) Comunicare quali sono siti in cui si possono trovare questi files. Dire che il 100% dei files contenuti su un sito erano “virali” e non dire quale sia il sito è una cosa quanto meno singolare.
4) Comunicare quali files di sicuro sono malevoli.

Soprattutto queste due ultime cose sono un servizio alla base di una qualsivoglia comunità tecnica o comunque rivolta agli utenti.

Faccio infine presente che sarebbe quasi un dovere per questa comunità visto che proprio in questa pagina, in questo preciso momento pubblicate in alto un banner di Google con ben 3 link su 4 indirizzati a siti di temi Free o Gratis.

Peraltro banner confondibilissimo con la pagina proprio per invitare la gente a cliccare… e guadagnare soldini 🙂

Quindi non ci vedo nulla di male a spiegarsi un po’ di più senza per questo pretendere una Tesi sul problema.

Ciao

Ho perso un sacco di tempo sul mio tema per cancellare righe e righe di codice inutile… ora ho capito quale fosse la sua utilità… Non mia di certo!