Често задавани въпроси

Глупави въпроси няма, има само глупави отговори…

абонаменти

За ЧЗВ.нет

Хранилище на отговори на Често Задавани Въпроси. Като начало - основно в сферата на IT ( ИТ, Информационни Технологии... абе компютрите ). Ако не можете да намерите отговора на това, което живо ви интересува - питайте на vupros@chzv.net (опашката от чакащи отговори въпроси се намира на тук ) И за да не се заяждате за транслитерацията можете да изпращате и на vapros@chzv.net, vaprosi@chzv.net, question@chzv.net, faq@chzv.net...

Категории

Блогове

Wordpress теми и сигурност

March 15th, 2008 от singu

padlock.jpgС популяризирането на блогването рязко се увеличиха потребителите на различните блог системи - типичен пример са Wordpress, Movable Type, Serendipity. Една от основните черти на тези системи е тяхната гъвкавост, която позволява да правите почти всичко с тях - включително и да модифицирате външния им вид. Благодарение на нароилите се множество сайтове, които предлагат безплатни ( и не толкова ) теми или скинове, можете лесно да се сдобиете с ( почти ) уникален изглед на блога си.

Ядрото на платформата на Wordpress е софтуер, наречен The Loop, който обработва всяка част от блога и визуализира резултата като страница ( например тази, която гледате в момента ). Ядрото също така обработва темата, която е изсталирана в момента, която позволява да се модифицира външния вид. Сама по себе си темата представлява набор от HTML темплейти, PHP код1 и CSS описания. Пакетирани от дизайнера на темата, те могат да бъдат инсталирани с няколко щраквания с мишката и можете да ги използвате, дори и да нямате познания по програмиране или талант за дизайн.

Популярността на платформата я правят интересна цел за злонамерените хакери, а доста свободното търсене и предлагане на теми осигурява направлението на атака.

Нека да разгледаме един пример:
Сиатълският дизайнер Derek Punsalan е направил няколко добри Wordpress теми и ги е публикувал в Интернет. Няколко сайта са копирали темите и ги предоставят на потребителите си. Един от тези сайтове е WP-Sphere. Ако изтеглите някоя от темите на Punsalan от този сайт обаче, ще намерите в темата PHP код, който не е поставен там от дизайнера и изглежда ето така:

Bad wordpress code

Този код всъщност изтегля от някой от сайтовете wpssr.com, wpsnc.com или wpsnc2.com JavaScript файл и го стартира. По този начин, ако инсталирате тази тема, всъщност вие предоставяте потенциално зловреден JavaScript на своите посетители. Друга възможност е да се визуализират реклами, които носят печалба не на собственика на блога, а на сайта, разпространител на темите.

Има няколко решения на този проблем - първото е да внимавате какви теми сваляте и използвате. Има и решение предложено от създателя на Wordpress Matthew Mullenweg - централизиран сайт, предлагащ сертифицирани теми под GPL лиценз. Друго решение, което сканира използваната от вас тема е описано тук.

Като цяло, бих посъветвал да прочетете и следвате съветите на Илиян Даргънов, който е написал прекрасен материал на български.

Technorati : ,

_________
  1. програмният език, на който е написан Wordpress [обратно ↩]

Публикувано в Сигурност |

Коментирайте

Внимание: Модерирането на коментари е включено и може да доведе до забавяне на публикуването на вашият коментар. Моля за търпение.