Проверяй плагины и темы любимого WordPress, перед вставкой на сайт.
25 января, 2012
Думаю читателям будет интересно, что IAD, кроме того, чтобы постить лыбдыбры, кое-что сделал для улучшения экологии планеты сайтостроителей.
Напоминаю, что есть uneval.com — мой сервис проверки PHP кода на вредоносные конструкции.
А теперь 5 копеек, почему не следует вставлять свеже-скачанный PHP код(тему, плагин, и.т.д.) сразу на сайт:
1. Там может быть бэкдор(PHP код дающий полноценный shell на ваш сервер, хостинг, VDS). Получив такой доступ можно просмотреть, изменить(если права позволяют) любой файл сайта. И файлы других Ваших сайтов. Это позволит использовать Ваши сайты в своих целях, или просто сломать их, или поместить мелкую трудно-отлавливаемую ошибку, изведя жертву до нервного срыва. =)
2. Разместить код в тему сайта, который будет отображать ссылки только поисковым роботам(клоакинг). Средства тёмного SEO.
3. Украсть/изменить информацию сайта.
Ранее писал о безопасности: Бэкдор с триггерах субд, WordPress, eval.
В общем, юзайте мой сервис uneval.com
Ты плагин для кэширования-то выложи. Может кому пригодится а может кто и косяк какой найдёт.
И да, я против ссылки в плагине не буду 🙂
а зачем?