O site WPMU.org fez uma rápida análise aos resultados de uma busca no Google por “Temas grátis WordPress” (“Free WordPress Themes“) e chegou a conclusões verdadeiramente assustadoras. Vejamos:
Dos dez primeiros resultados, os temas que encontraram classificaram-se assim:
- Temas seguros: 1
- Temas duvidosos: 1
- Temas a evitar: 8
8 em 10 sites disponibilizam temas com links maliciosos escondidos com base64 encoding.
É possível que um utilizador normal de WordPress saiba que o Google não é exactamente o melhor sítio para procurar temas, mas as estatísticas e rank destes sites nos resultados demonstra que há muita gente que os descarrega e usa. Não é fora do comum, para alguém que acaba de chegar ao WordPress, ir ao Google e pesquisar “temas grátis WordPress”, mas infelizmente o mais certo é que acabe por descarregar e usar um tema com links de spam, no melhor dos casos.
Ainda para mais, é verdade que o repositório de temas oficial pode ser frustrante por ter uma relativamente pequena proporção de temas “modernos”, que funcionam com o WordPress 3.0.
O que fazer?
- Antes de mais, leia (e guarde) o artigo original do WPMU.org. Se não percebe bem inglês, use o Google Translate.
- Use plugins que tentam detectar código malicioso nos seus temas: Theme Authenticity Checker, Exploit Scanner e Theme Check. (descarregue estes plugins, active-os e teste o tema que está a usar neste momento. Já.)
- Use temas de sites de confiança: Theme Shaper, ThemeLab, Theme Hybrid, Arras Theme, Smashing Magazine, Graph Paper Press e Woo Themes (estes dois últimos são sites de temas premium, mas com alguns temas gratuitos)
- Leia análises ainda mais detalhadas sobre o assunto: The top 30 sites ranking for WordPress Themes on Google, The Anatomy of a Theme Malware e Why you should stop downloading WordPress Themes from shady sites.
- Veja o vídeo abaixo, do ThemeLab, com uma curta e assustadora demonstração.
Não fazia ideia disto nem nunca me tinha passado pela cabeça, realmente está aqui um grande aviso, obrigado pelo alerto. O que tenho a fazer é mesmo instalar os plugins para ver se detecta alguma coisa.
Excelente artigo.
http://wpmu.org/why-you-should-never-search-for-free-wordpress-themes-in-google-or-anywhere-else/
?
Isto mete medo.
Tenho um método no servidor tipo antivirus que detecta isso. Detectei isso há uns tempos, mas não cheguei a investigar.
Vou estar mais atento.
Rui
Não fazia a mínima ideia que podiam colocar código malicioso encriptado para o utilizador não dar conta, sendo assim como posso desencriptar para saber o seu conteúdo ?
O artigo original no wpmu.org tem mais informação, nomeadamente:
$o=
Otto’s decoder$_F=__FILE__:
eval(gzinflate(base64_decode(\'...\')));:
eval(str_rot13(\' ... \'));
Other codes
Manual base64 decode