בחורים ברשת היה מאמר על כך שתבניות וורדפרס חינמיות ברשת מכילות דלתות אחוריות. כמובן שהמאמר הזה נסמך על מאמר אחר למרות שכותבת המאמר המקורי אינה בהשכלה או בנסיונה אשת אבטחה, וכל מה שהיא ידעה לעשות הוא לבדוק האם יש בתבניות קוד שאינו קריא בקלות, ואכן מספר מגיבים הסבירו לה שעצם זה שיש קוד לא קריא לא הופך את התבניות למסוכנות.

אם היה מדובר רק בהוצאת דברים מהקשרם, או סתם ציטוט של אדם שחשב שהוא צודק אבל טועה, לא הייתי מטריח אתכם לפה, אבל בחורים ברשת הביאו גם "מומחה" – נתי דוידי, מנכ”ל אלטל שירותי אבטחת מידע שטוען את הטענות הלא מבוססות הבאות:

דוידי מציין כי הקוד לרוב מוצפן וחבוי בשולי האתר, המאפשר גישה מרוחקת למספר משתמשים לא ידועים לממשק הניהול כמו גם הפעלה מרחוק של פונקציות לפגיעה באתר ולהפלתו.

בכל השנים שאני משתמש בוורדפרס מעולם לא שמעתי אפילו על מקרה אחד כזה. מה לכל הרוחות האינטרס של מישהו לפרוץ לבלוג של ילדה בת 16 כאשר ממילא כבר מתבצע הקוד שלו על השרת? למה לכל הרוחות הוא ירצה להפיל אתר שהוא מרויח ממנו בצורה כלשהי?

“בדיקת קוד שטחית של תבניות וורדפרס תראה שחלק בלתי מבוטל מהן נושאות קוד עוין

על זה נאמר שהסטטיסטיקות המשכנעות ביותר הן אלו שאתה ממציא בעצמך. ככל הידוע לי כל מי שמתרגם תבניות וורדפרס לעברית מוריד קוד כזה אם הוא נתקל בו, ולא שמעתי מעולם על מתרגם שהחדיר קוד כזה ביוזמתו.

אבל למה בכלל להתיחס ברצינות למנכ"ל של חברה הנושאת את הביטוי "אבטחת מידע" בשמה כאשר אם הולכים לאתר שלה רואים שטופס כניסת משתמשים לא משתמש הצפנב דרך SSL ולכן כל מי שנכנס דרכו כאשר הוא גולש ברשת אלחוטית חושף למעשה את שם המשתמש והסיסמא שלו.

ובקשר לתבניות חינמיות? הדיעה שלי היא שמי שרוצה להיות בטוח שהוא מקבל מוצר סביר, צריך לשלם בשבילו וזה נכון לא רק בתבניות וורדפרס. מי שרוצה לחסוך צריך להמעיט ככל הניתן בהתקנת דברים שהוא לא קיבל עליהם המלצה מפורשת ממישהו אחר, וגם זה נכון לגבי כל תוכנה ולא רק תבניות ותוספי וורדפרס.

הפרטים המלאים בקבוצת הדיון. אני מניח שהיום כבר תהיה גירסא חדשה, אבל בינתיים אנשים פגיעים.

הבעיה רלוונטית לאתרים שבהם יש למשתמשים שלא מוכרים אישית לבעל האתר את האפשרות להעלות קבצים לשרת. קבצים שמועלים לדוגמא כ image.php.jpg מזוהים על ידי וורדפרס כתמונות אבל עשויים תחת קונפיגורציות מסוימות של אפאצ' (multiviews) להתפרש על ידו כקבצי php ולהיות מורצים כאשר הם הדפדפן מבקש לטעון אותם.

על המיזוג דונצה (שהוא למעשה המפתח היחיד של וורדפרס mu) הודיע בבלוג שלו. לא נמסר לוח זמנים, אבל על פניו לדעתי זו טעות – גם אם לפחות בהתחלה ניתן ליצור קוד יחיד עבור שתי הפלטפורמות, לאורך זמן סביר להניח שיתגלאו הבדלים בדרישות של סוגי המשתמשים השונים שיהיה הרבה יותר קשה לפתור כפיתרון משוטף מאשר כפיתרון שונה לכל קהל יעד.

אחד ההבדלים הגדולים בין הפלטפורמות הוא עלות התחזוקה. כאשר מריצים בלוג אישי ויש גירסא חדשה אפשר לשדרג ואם יש תוספים שלא עובדים או תבנית שלא עובדת ניתן בטח למצוא אחרים עם פונקציונליות זהה. לעומת זאת מי שמנהל וורדפרס MU מנהל מספר משתמשים שהוא לא בהכרח מכיר ואם מסיבה כלשהי התוספים או התבנית שהם משתמשים לא יעבדו הם במקרה הטוב יעזבו אותו. התוצאה היא שבשידרוג של mu חייבים לודא שגם כל התוספים והתבניות עובדים בגירסא החדשה וזו חתיכת עבודה. אם שידרוג של וורדפרס רגיל לוקח שעה גג, שידרוג של וורדפרס mu לוקח לפחות שבוע. בקצב שידרוג כזה, לעקוב אחרי לוח זמנים של גירסא פעם בשלושה חודשים ועוד לפחות תת גירסא אחת כמו שאנשי וורדפרס מצהירים, זה ענין בלתי אפשרי אלא אם אתה חברה אמיתית, והבעיה היא שאף אחד בעולם הוורדפרס לא באמת בודק האם ניתן לשדרג בקלות מארבע גירסאות אחורה.

לא מצליח לראות איך דבר כזה יכול לעבוד לאורך זמן ובטח שאוטומטיק לא יוכלו לחסוך משרה של אדם שיהיה אחראי לאספקטים הקשורים לmu, אבל אולי אני טועה.