מה יותר מסוכן, להתקין תבניות וורדפרס חינמיות, או לקרוא על אבטחה ב"חורים ברשת"?

בחורים ברשת היה מאמר על כך שתבניות וורדפרס חינמיות ברשת מכילות דלתות אחוריות. כמובן שהמאמר הזה נסמך על מאמר אחר למרות שכותבת המאמר המקורי אינה בהשכלה או בנסיונה אשת אבטחה, וכל מה שהיא ידעה לעשות הוא לבדוק האם יש בתבניות קוד שאינו קריא בקלות, ואכן מספר מגיבים הסבירו לה שעצם זה שיש קוד לא קריא לא הופך את התבניות למסוכנות.

אם היה מדובר רק בהוצאת דברים מהקשרם, או סתם ציטוט של אדם שחשב שהוא צודק אבל טועה, לא הייתי מטריח אתכם לפה, אבל בחורים ברשת הביאו גם "מומחה" – נתי דוידי, מנכ”ל אלטל שירותי אבטחת מידע שטוען את הטענות הלא מבוססות הבאות:

דוידי מציין כי הקוד לרוב מוצפן וחבוי בשולי האתר, המאפשר גישה מרוחקת למספר משתמשים לא ידועים לממשק הניהול כמו גם הפעלה מרחוק של פונקציות לפגיעה באתר ולהפלתו.

בכל השנים שאני משתמש בוורדפרס מעולם לא שמעתי אפילו על מקרה אחד כזה. מה לכל הרוחות האינטרס של מישהו לפרוץ לבלוג של ילדה בת 16 כאשר ממילא כבר מתבצע הקוד שלו על השרת? למה לכל הרוחות הוא ירצה להפיל אתר שהוא מרויח ממנו בצורה כלשהי?

“בדיקת קוד שטחית של תבניות וורדפרס תראה שחלק בלתי מבוטל מהן נושאות קוד עוין

על זה נאמר שהסטטיסטיקות המשכנעות ביותר הן אלו שאתה ממציא בעצמך. ככל הידוע לי כל מי שמתרגם תבניות וורדפרס לעברית מוריד קוד כזה אם הוא נתקל בו, ולא שמעתי מעולם על מתרגם שהחדיר קוד כזה ביוזמתו.

אבל למה בכלל להתיחס ברצינות למנכ"ל של חברה הנושאת את הביטוי "אבטחת מידע" בשמה כאשר אם הולכים לאתר שלה רואים שטופס כניסת משתמשים לא משתמש הצפנב דרך SSL ולכן כל מי שנכנס דרכו כאשר הוא גולש ברשת אלחוטית חושף למעשה את שם המשתמש והסיסמא שלו.

ובקשר לתבניות חינמיות? הדיעה שלי היא שמי שרוצה להיות בטוח שהוא מקבל מוצר סביר, צריך לשלם בשבילו וזה נכון לא רק בתבניות וורדפרס. מי שרוצה לחסוך צריך להמעיט ככל הניתן בהתקנת דברים שהוא לא קיבל עליהם המלצה מפורשת ממישהו אחר, וגם זה נכון לגבי כל תוכנה ולא רק תבניות ותוספי וורדפרס.

2 תגובות “מה יותר מסוכן, להתקין תבניות וורדפרס חינמיות, או לקרוא על אבטחה ב"חורים ברשת"?”

  1. גם אני קראתי את זה והתפלאתי.
    אגב, לקודד קוד זו אחת השיטות היותר גרועות שקיימות להחדרת BackDoor… במעבר חפיף על הקוד זה בולט מאוד.

    1. בגדול לדעתי הענין אינו קשור דוקא לפריצות לאתרים אלא יותר לSEO. האנשים שמפתחים את התבניות האלו כנראה שמקבלים כסף בשביל לקדם אתרים מסוימים, ואלו שמתקינים אותן בדרך כלל לא אכפת להם מקישור לקזינו בתחתי האתר ובטח שאין להם את הידע הטכני למצוא מאיפה הקישור מגיע.

כתיבת תגובה

האימייל לא יוצג באתר. (*) שדות חובה מסומנים