web-dev-qa-db-ja.com

WordPressのプラグインやテーマにウイルスを含めることはできますか?

それはWordPressのプラグイン/テーマの形でウイルスを書くことは可能ですか?

それは可能ですか?

  • ユーザーデータを盗む?
  • 既存のWordPressのインストールにダメージを与えますか?
  • (オプションで)ウイルスを自己拡散させる

この種のウイルスの既存のケースはありますか?

2
Marek

PHPコードを書くとき、あなたは何でもすることができます。ですから、あなたがプラグインのコードを実行すると、それは何でもすることができます。

  • それはデータベースに問い合わせをしてそこにあるどんな情報でも得ることができます(それがハッシュとしてパスワードを保存するのは良い考えです)。
  • それはデータベースを問い合わせることができるので、それはまた、設定を破壊したり、プラグインをオフにしたりするなど、データベース内の何かを削除することができます。
  • プラグインは通常の方法、メール、httpで情報を送信することができるので、受信者が十分に保護されていればウイルスの拡散は困難になります。

サーバーの設定によっては、プラグインがサーバーを引き継ぐことがあります。実行可能なファイルをダウンロードすることを許可している場合は、任意のコードをダウンロードできます。つまり、サーバーで実行できます。コードを実行しているユーザーに十分な権限がある場合は、パスワードを変更してサーバーからユーザーを効果的に遮断するなどのことができます。

しかし、これらすべては簡単に見つけることができるので、多くの人がそれを使用している場合は、エキスパートPHP開発者がそれを発見しているので、ダウンロードして使用しても安全です。

簡単に言うと、ほとんど何でも可能ですが、危険性はそれほど大きくありません。あなたが普及したpluingsを使うなら

もっと大きな危険は、プラグインの記述が不適切であり、ユーザーが提供したデータを検証しないなど、誤ってセキュリティ上のリスクを引き起こすことだと思います。

4
googletorp

はい。はい。はい。

これらすべては可能であるだけではなく、野生でも簡単に遭遇します。いくつかのより古い安全でないバージョンのために自己拡散WordPressマルウェアの波は全部ありました。

WordPressがアクセスできるすべてのもの - あらゆるテーマやプラグインも同様にアクセスできます。 WP拡張として実行されているコードでは、データの盗用や破壊は簡単です。

3
Rarst