it-swarm.com.ru

Может ли плагин или тема WordPress содержать вирус?

Можно ли написать вирус в виде плагина/темы WordPress?

Это возможно:

  • украсть пользовательские данные?
  • повредить существующую установку WordPress?
  • (опционально) самостоятельно распространять вирус?

Существуют ли случаи такого рода вирусов?

2
Marek

Когда вы пишете код PHP, вы можете делать что угодно. Поэтому, когда вы запускаете код плагина, он может делать что угодно.

  • Он может запрашивать базу данных и получать любую информацию (поэтому рекомендуется хранить пароли в виде хэшей).
  • Так как он может запрашивать базу данных, он также может удалить что-либо в базе данных, испортить настройки, отключить плагины и т.д.
  • Плагины могут отправлять информацию обычным способом, по почте, по http, поэтому распространение вируса будет затруднено, если получатель имеет хорошую защиту.

В зависимости от настроек вашего сервера плагин может занять ваш сервер. Если вы позволите ему загружать файлы, которые он может выполнить, он сможет загрузить любой код, который он сможет запустить на вашем сервере. Если пользователь, выполняющий код, имеет достаточные привилегии, он может делать такие вещи, как смена пароля, эффективно закрывая вас от сервера.

Но все это будет легко заметить, поэтому, если многие люди используют его, вы можете безопасно скачать и использовать его, так как опытные PHP разработчики могли бы узнать об этом.

Итак, короткий ответ: да, почти все возможно, но опасности не так велики. Если вы используете популярные дополнения .

Я думаю, что большая опасность состоит в том, что плагин плохо написан и случайно создаст угрозу безопасности, например, не проверяет предоставленные пользователем данные и т.д.

4
googletorp

Да. Да. Да.

Все это не только возможно, но и легко встречается в дикой природе. Были целые волны самораспространяющегося вредоносного ПО WordPress для некоторых старых небезопасных версий.

Ко всему, что есть у WordPress, есть доступ к любой теме или плагину. Кража или уничтожение данных тривиальны для кода, работающего с расширениями WP.

3
Rarst