Ormai WordPress รจ diventata una delle piattaforme CMS piรน diffuse del web a causa della versatilitร offerta, dal grandissimo supporto di temi e plugin e dalla semplicitร d’uso out of box. Sono tantissimi i siti che offrono download gratuiti di temi ed estensioni WordPress, molti dei quali di indubbia qualitร , ma non รจ tutto oro quel che luccica. In moltissimi temi e plugin trovati in rete tempo fa ho notato la presenza di un file anomalo, il file in questione รจ social.png e si trovava salvato tra le immagini. Cosa c’รจ di anomalo? Ebbene, questo file non รจ un’immagine รจ un file phpย a cui รจ stata rinominata l’estensione allo scopo di camuffarlo. Questo file รจ stato poi incorporato nel php con il codice funzionale principale del tema o plugin, tramite una chiamata del tipo <?php include(‘images/social.png’); ?> tecnicamente un file del genere potrebbe essere potenzialmente qualsiasi cosa, ma giร il fatto che chi lo abbia incluso abbia anche tentato di nasconderne la vera natura fa chiaramente presupporre una certa malafede, e infatti esaminando il codiceย php al suo interno(che dulcis in fundoย รจ stato pure offuscato)ย รจ risultato essere una pericolosa backdoor, un hack che permette l’accesso remotoย tramite una shell PHP, consentendo cosรฌ a un malintenzionato di eseguire codice sul vostro sito che potrร utilizzare per gli scopi piรน disparati, come infettarlo con spammer script, virus o per rubare i dati di accesso. Visto che solo questo file sembra presente in un’infinitร di temi e plugin (per lo piรน di fonti non verificate), e chiaramente una strategia simile si puรฒ usare sfruttando anche altri nomi e\o risorse camuffate in maniera analoga,ย si puรฒ ipotizzareย che ilย numero di siti potenzialmente a rischio sia nell’ordine di centinaia di migliaia, ed รจ molto piรน difficile da rilevare rispetto ai vecchi tipi di minaccia che affliggevano molti siti WordPress, come ad esempio il God Mode virus. Se volevate un altro motivo tra i tanti per convincervi del fatto cheย non siaย buona normaย affidare lo sviluppo dei vostri siti web al fai-da-te o a gente inesperta capace solo di installare plugin e temi a scatola chiusa ma senza competenze adeguate per comprenderne il funzionamento piรน nel dettaglio e mettere mano al codice, eccovi accontentati.