Facciamo una TAC al nostro tema Wordpress: via il codice pericoloso!
26 Agosto 2012

I temi gratuiti per siti self-hosted in WordPress possono contenere delle porzioni di codice spesso non desiderato. Parliamo, escludendo i credits agli sviluppatori, di link nascosti, spam o addirittura di piccoli script, potenzialmente pericolosi, mal visti e puzzolenti.

Non fatevi prendere dal panico: il plugin Theme Authenticity Checker (TAC), una volta installato ed avviato dal backend del nostro WordPress, esegue una scansione del codice di tutti i temi presenti nella cartella Themes del nostro Wp-content, segnalandoci la presenza di codice potenzialmente pericoloso o di link statici a portali o risorse esterne.

Il plugin rileva spesso nel footer i link statici ai siti degli sviluppatori del tema, da non cancellare per non incorrere nella violazione dei termini della licenza GPL di molti temi gratuiti. In altri casi però potrebbe essere rilevata la presenza di fastidiosi link, spesso invisibili o dello stesso colore dello sfondo del nostro portale, che potrebbero addirittura danneggiare il posizionamento del sito sui motori di ricerca. Nemmeno tanto rari, per ultimo, i piccoli script che inviano agli sviluppatori varie informazioni come la url del tuo sito o altri dati sensibili.

Cosa fare una volta individuata una potenziale minaccia. Cancellare il codice o l’intero tema.
Le porzioni di codice sono facilmente ritoccabili cliccando sul link “Editor” della sezione “Aspetto” sulla colonna sinistra backend del nostro WordPress o cliccando direttamente sul link offerto dal plugin nel rilevare la minaccia. Stesso lavoro potrebbe essere svolto, anche più velocemente, modificando i singoli files sul nostro computer e aggiornando il dominio via FTP.
Soluzione estrema, che preferisco, è la cancellazione dell’intero tema. Preferisco non dare fiducia a questa tipologia di sviluppatori.

Qui sotto lo screeschot della TAC al mio blog: il mio backend è praticamente un porto di mare, ho ben 17 temi installati e parcheggiati. La scansione ha rilevato ben 2 temi contenenti codice potenzialmente pericoloso e 4 con link nascosti.
Preso da un’ira luddista ho cancellato tutti i temi, salvando solo quello attivo ed il Twenty Ten, il tema preinstallato.

Questa è lo screenshot di parte della scansione dei template della cartella themes del mio sito, il plugin TAC ha rilevato un codice pericoloso nel file functions.php di uno dei temi installati e scartati, oltre ai più o meno normali link di credits.

L’immagine in evidenza è stata elaborata dall’originale in Flickr di Tom Raftery, licenza CC 2.0. Grazie Tom!