2chのWordPress板を最近iPhoneでよく見ているんですが、WordPressのテーマに悪意のあるコードが仕掛けられている場合があるという書き込みを見てびっくりしました。そのコードはサイトの重要な情報をクラッカーに転送したりするようです。
詳しくはこちらの2ch板へ
806 :Trackback(774):2010/05/07(金) 13:13:43 ID:1bpQ7eDq テーマの安全性のチェックとかってみなさんどうしてますか?
WPとテーマをいくつかいれてから、システム情報みてみたらメールキューがたまってた。
あれ?と思ってキューにたまってるメールみてみたら上記アドレスあてにブログのアドレスを送ろうとしてました。
OB25通る設定してないのでひっかかってたから助かりました。
送ってるファイルの正体はSimple Perfectというテーマのfunction.phpです。
http://kachibito.net/wordpress/free-high-quality-themes.htmlで紹介されてました。
該当アドレスが分割して組み込まれてました。送ろうとしていた情報はの一部は↓です。
457 >——-$sq1="SELECT DISTINCT ID, post_title, post_content, post_password,
comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type,
WordPress公式の配布サイトからだとこういうのはないんですかね。
怖いので、同じ板で出てきた対策プラグイン 「AntiVirus」を導入しました。
このプラグインは現在使用しているテーマのPHPに悪意のあるコードが含まれていないかチェックしてくれます。テーマをダウンロードしてカスタマイズしている方は一度チェックした方が良いかもしれません。
ほかにも導入した方が良さそうなプラグインのまとめ記事がありましたのでご紹介します。(かちぐみ.netさん)
今回は「WP Security Scan」、メンテ用として「Broken Link Checker」を導入してみました。
で。早速AntiVirusでチェックしたところ、使用しているテーマは「白」でした。
ほっ・・・。
1件のコメント