原文作者：Alistair Croll
原文链接：Are Hackers Exploiting WordPress Themes?
 

无论是blog托管平台，还是架设个人博客站点,wordpress程序都发展迅猛广受欢迎。它的开放性与灵活性被用户的极力推崇的同时也成为了黑客实施攻击的载体。他们在wp的主题中嵌入恶性代码，然后通过互联网传播开去。
wp成功的一个原因就是它灵活的定制性。用php写就的wordpress主程序围绕着核心循环(Loop)维持运转。每当blog被访问一次，构成这个blog的页首，页尾，侧栏等每一个部分都将被执行一遍。人们可以自由地定制这些被执行的内容，包括字体的颜色和样式，以及通过改变php代码来更好的展示作者的资料和受欢迎的标签。人们还可以通过安装插件进一步扩展整个站点功能。
WP主题的设计者们可以在这主题中捆绑页面样式和PHP代码，如果愿意，他们还可以捆绑一些插件。一个wp主题不仅仅可以修改WP的呈现样式，它还可以更改网站的基本结构，包括数据库查询、PHP执行方式等。wp的巨大灵活性给人们带来了多姿多彩的blog世界。wordpress官方也在它的主题页面为人们提供了大量的主题，很多其他非官方的网站和个人也在提供这些主题供人们下载使用。WP竭力地简化安装一个新主题的步骤，人们所需要做的仅仅只是点击一下主题缩略图。

黑客永远不会在主流平台上处于落后地位。Mac被广泛地认为比Windows的安全，但这种安全性可能只是因为很少有人去攻击它。因此，随着WP的壮大，它也会像windows一样成为首要攻击的目标。

丰富的WordPress主题对黑客们来说是一个绝好的机会。恶性代码能够在安装了这种主题的服务器上面做任何充满破坏性的事情。通过安装主题，blog作者在毫无意识的情况下把一段从来没有经过安全检测的隐藏代码安装到WP所在的服务器上。

这是一个真实的例子：

主题设计师Derek Punsalan编写了大量WP主题，并把其中一部分发布在互联网上。一些其他的站点拷贝了他的主题，WP-Sphere便是其中一个。

当你从WP-Sphere下载Punsalan的主题时，这些主题中就包括了一些本不属于该主题的不被大部分人怀疑代码：

这串代码的第一部分提供了一个线索：这是一个用64位编码的PHP函数。但是将这段代码输入到解码器中之后，人们会发现它们充满了攻击性：

这串代码在WordPress所在的服务器和一些类似于wpssr.com,wpsnc.com,wpsnc1.com的网站建立联系，自动下载这些站点上的JAVAScript脚本。这些网站属于一个位于加拿大不列颠哥伦比亚省温哥华市不知名人士。

"这些主题分享站充分利用人们认为他们正在下载的主题与其他主题并没有区别的心理"Punsalan说："虽然很难防止个人遵守不再次发布的要求，但是很明显，WordPress社区的应该订立一个标准"

Paul Carroll几个星期前写了一篇关于这段代码的文章。他认定，即便善意地认为这是WP-Sphere与主题的使用者保持联系的一种方式，但是每次有访问者访问使用这个主题的站点时它都能提供一个绝佳的用来注入恶意代码的后门。理论上，WP-Sphere可以通过这个后门在经过他们修改过的页面上插入广告。

最令人不安的是，直至昨天，WP-Sphere在google上依旧是"WordPress Themes"这个关键词的第一名。现在，有专门的网站和插件用来检测blog的安全漏洞，但是WordPress太流行了以至于它将不得不直接处理这些问题。它的灵活性使它广受欢迎，同时也让那些用心险恶的人得到可趁之机。现在，博客社区不得不采用某种形式来避免这些安全问题而又不会抑制主题作者的创作激情。

WordPress的创始人Matthew Mullenweg提出了一个基于GPL协议的主题市场的构想"在主题中插入恶意代码和恶意软件没什么区别，甚至在很多方面情况会糟糕的多，"Matthew说，"我们官方目录中所有的主题都经过安全检查，(我们发现）很显然有些主题很危险。"