it-swarm-pt.tech

Um plug-in ou tema do WordPress pode conter um vírus?

É possível escrever um vírus na forma de um plugin/tema do WordPress?

É possível:

  • roubar dados do usuário?
  • danificar a instalação existente do WordPress?
  • (opcionalmente) auto-espalhar o vírus?

Existem alguns casos deste tipo de vírus?

2
Marek

Quando você escreve PHP código, você pode fazer praticamente qualquer coisa. Então, quando você executa o código de um plugin, ele também pode fazer praticamente qualquer coisa.

  • Ele pode consultar o banco de dados e obter qualquer informação que esteja lá (e é por isso que é uma boa idéia armazenar as senhas como hashes).
  • Como ele pode consultar o banco de dados, ele também pode excluir qualquer coisa no banco de dados, arruinando as configurações, desativando plugins etc.
  • Plugins podem enviar informações do modo normal, mail, http, então espalhar um vírus será difícil se o receptor tiver uma boa proteção.

Dependendo da configuração do servidor, um plug-in pode assumir o seu servidor. Se você permitir, baixar arquivos que ele possa executar, ele poderá fazer o download de qualquer código que possa ser executado em seu servidor. Se o usuário que está executando o código tiver privilégios suficientes, ele pode fazer coisas como alterar a senha de maneira eficaz, desligando-o do servidor.

Mas tudo isso será fácil de detectar, por isso, se muitas pessoas o estiverem usando, você deve estar seguro para fazer o download e usá-lo, já que os desenvolvedores especialistas PHP teriam descoberto isso.

Então a resposta curta é sim, quase tudo é possível, mas os perigos não são tão bons assim. Se você usar pluings populares .

Eu acho que um perigo maior, seria que o plugin é mal escrito, e acidentalmente criará um risco de segurança, como não validar os dados fornecidos pelo usuário, etc.

4
googletorp

Sim. Sim. Sim.

Todos estes são não apenas possíveis, mas também facilmente encontrados na natureza. Houve ondas inteiras de auto-propagação de malware do WordPress para algumas versões inseguras mais antigas.

Tudo o que o WordPress tem acesso - qualquer tema ou plugin também tem acesso. Roubar ou estragar os dados é trivial para o código em execução como extensões WP.

3
Rarst