Ormai WordPress è diventata una delle piattaforme CMS più diffuse del web a causa della versatilità offerta, dal grandissimo supporto di temi e plugin e dalla semplicità d’uso out of box. Sono tantissimi i siti che offrono download gratuiti di temi ed estensioni WordPress, molti dei quali di indubbia qualità, ma non è tutto oro quel che luccica. In moltissimi temi e plugin trovati in rete tempo fa ho notato la presenza di un file anomalo, il file in questione è social.png e si trovava salvato tra le immagini. Cosa c’è di anomalo? Ebbene, questo file non è un’immagine è un file php a cui è stata rinominata l’estensione allo scopo di camuffarlo. Questo file è stato poi incorporato nel php con il codice funzionale principale del tema o plugin, tramite una chiamata del tipo <?php include(‘images/social.png’); ?> tecnicamente un file del genere potrebbe essere potenzialmente qualsiasi cosa, ma già il fatto che chi lo abbia incluso abbia anche tentato di nasconderne la vera natura fa chiaramente presupporre una certa malafede, e infatti esaminando il codice php al suo interno(che dulcis in fundo è stato pure offuscato) è risultato essere una pericolosa backdoor, un hack che permette l’accesso remoto tramite una shell PHP, consentendo così a un malintenzionato di eseguire codice sul vostro sito che potrà utilizzare per gli scopi più disparati, come infettarlo con spammer script, virus o per rubare i dati di accesso. Visto che solo questo file sembra presente in un’infinità di temi e plugin (per lo più di fonti non verificate), e chiaramente una strategia simile si può usare sfruttando anche altri nomi e\o risorse camuffate in maniera analoga, si può ipotizzare che il numero di siti potenzialmente a rischio sia nell’ordine di centinaia di migliaia, ed è molto più difficile da rilevare rispetto ai vecchi tipi di minaccia che affliggevano molti siti WordPress, come ad esempio il God Mode virus. Se volevate un altro motivo tra i tanti per convincervi del fatto che non sia buona norma affidare lo sviluppo dei vostri siti web al fai-da-te o a gente inesperta capace solo di installare plugin e temi a scatola chiusa ma senza competenze adeguate per comprenderne il funzionamento più nel dettaglio e mettere mano al codice, eccovi accontentati.