it-swarm-eu.dev

Může plugin WordPress nebo téma obsahovat virus?

Je možné napsat virus ve formě plugin/téma WordPress?

Je možné:

  • ukrást uživatelská data?
  • poškození stávající instalace WordPress?
  • (nepovinně) šíření viru?

Existují případy tohoto typu virů?

2
Marek

Když píšete PHP kód, můžete udělat cokoliv. Takže když spustíte kód pluginu, může to udělat také cokoliv.

  • Může dotazovat databázi a získat cokoliv, co je tam (což je důvod, proč je dobré ukládat hesla jako hash).
  • Vzhledem k tomu, že může dotazovat databázi, může také odstranit cokoliv v databázi, zničit nastavení, vypnout pluginy atd.
  • Pluginy mohou zasílat informace běžným způsobem, poštou, http, takže šíření viru bude těžké, pokud má přijímač dobrou ochranu.

V závislosti na nastavení serveru může váš server převzít plugin. Pokud to povolíte, bude možné stahovat soubory, které lze spustit, a to tak, že bude moci stáhnout libovolný kód, který bude možné spustit ve vašem serveru. Pokud má uživatel spuštěný kód dostatek oprávnění, může dělat věci, jako je změna hesla, které vás efektivně vypne ze serveru.

Ale to vše, bude snadné na místě, takže pokud mnoho lidí používá, měli byste být v bezpečí stáhnout a používat, protože expert PHP vývojáři, by se dozvěděl o tom.

Tak krátká odpověď je, že je téměř možné cokoliv, ale nebezpečí nejsou tak velká. Pokud používáte populární švestky .

Myslím si, že větší nebezpečí by bylo, že by plugin byl špatně napsán a náhodně by vytvořil bezpečnostní riziko, jako by nebylo ověření údajů poskytnutých uživatelem atd.

4
googletorp

Ano. Ano. Ano.

To vše je nejen možné, ale také snadno se vyskytuje ve volné přírodě. Tam byly celé vlny self-rozšiřování WordPress malware pro některé starší nezabezpečené verze.

Všechno, co WordPress má přístup - jakékoli téma nebo plugin má přístup také. Ukradení nebo zničení dat je triviální pro kód spuštěný jako WP rozšíření.

3
Rarst