תבניות וורדפרס בעברית: פרשת הקוד הזדוני

הפוסט של ניצן אמנם פורסם רק לפני זמן קצר, אבל אין ספק שכבר אפשר להכתיר את העניין כ"פרשה".

ומעשה שהיה (ועודנו), כך היה. ניצן ברומר חשף בבלוג שלו כי כמה מתרגמי תבניות וורדפרס השתילו קוד זדוני בתבניות המתורגמות שלהם. בין היתר, הקוד מאפשר למתרגמי התבנית לשתול קישורי SEO בפוטר של האתר, הוא פוגע בתבנית ובתוכן האתר במידה שמנסים להסיר אותו ומאפשר למפיצי הקוד גישה לאתר הוורדפרס ולשרת של מי שנפל בפח והשתמש בתבנית.

על פי מה שניצן בדק וכתב, בין מפתחי התבניות שפצחו בנוהג הנלוז הזה, ניתן למנות את מאסטרגייט, אתר פופולרי במיוחד בתחום התבניות המתורגמות. בתגובות לפוסט וגם בדיון בקבוצת וורדפרס בפייסבוק, עלו מספר שמות נוספים. בדיון הועלתה גם השערה כי הקוד הזדוני ושתילת מודעות האדסנס נכחו שם עוד לפני תרגום התבנית ופשוט התגלגלו הלאה. זה לא מוריד מחומרת העניין, כי הפצה של תבנית מתורגמת, בידיעה שיש בה קוד מוצפן וזדוני, היא רעה חולה בפני עצמה. אם המתרגמים יטענו שהם לא ידעו ולא ראו את הקוד המוצפן, אזי בוודאי שאין להם מה לחפש בתחום הפיתוח של וורדפרס, ומוטב להם שלא ינסו להפיץ או למכור שירותים בתחום.

שיהיה לכם ברור: מדובר בסכנה ברורה וממשית לבלוג או לאתר הוורדפרס שמשתמש בתבניות כאלה. לא רק שבאתר מושתלים תכנים ופרסומות ללא שליטת המשתמש, הקוד גם מאפשר למפתחי התבניות לחדור לאתר ולשרת ולעשות שם נזקים.

תבניות חינמיות בוורדפרס הן דבר מבורך. הן חלק חשוב מקהילת הפיתוח של וורדפרס, ומהוות פתרון טוב למי שרוצה בלוג או אתר וורדפרס ואין לו תקציב לכך. יחד עם זאת, אם אתם מתכננים להקים בלוג חברה או אתר תדמיתי רציני, רצוי שלא תתבססו על תבניות חינמיות או כאלו שתורגמו ומופצות בחינם לכל דורש. כשמדובר באתר וורדפרס מסחרי, יש כמה חסרונות ברורים לשימוש בתבניות מתורגמות חינמיות לוורדפרס (לא תמיד, אבל לעתים קרובות למדי):

  • עבודה מרושלת ולא אחראית – כי בדרך כלל, במה שנותנים בחינם, לא משקיעים כמו במה שעושים בתשלום.
  • חוסר תאימות לדפדפנים נפוצים.
  • תרגום קלוקל או חלקי של מחרוזות טקסט (ואז באתר מופיעים ביטויים באנגלית לצד כאלה בעברית, תאריכים בפורמט אמריקאי ועוד).
  • אין תמיכה או סיוע מהמפתח בעת תקלה.
  • מכיוון שהתבנית חינמית, קיים סיכוי סביר שיש לפחות עוד אתר או שניים (או שלושים) שנראים עכשיו בדיוק כמו האתר שלכם.
  • שימוש לא חוקי בתמונות שיש עליהן זכויות יוצרים.

אם בכל זאת אתם בוחרים להשתמש בתבניות חינמיות, הורידו אותן מאתרים מוכרים ומוערכים בלבד, שעומד מאחוריהם מישהו שזהותו אינה מעורפלת או חסויה. כמו כן, כדאי לבקש ממישהו שמבין וורדפרס שיעיף מבט על התבנית, ויראה שאין בה הפתעות מרושעות.

6 תגובות ל-“תבניות וורדפרס בעברית: פרשת הקוד הזדוני

  1. הדבר שמעורר פליאה – איך לא עלו על הדבר הפשוט הזה במשך שנים?

    הרי זה נפוץ בחו"ל, ובארץ זה היה שקוף שזה קורה..

    • הנוהג הזה כבר לא כל כך נפוץ בתבניות בחו"ל, זה משהו שהיה נהוג לפני שנתיים-שלוש ודעך.

      לגבי איך לא גילו – נורא פשוט: מפתחי וורדפרס מקצועיים לא ישתמשו בתבניות כאלה, ומי שמוריד תבניות חינמיות לא ממש מבין בקוד בדרך כלל, וגם יחסית אדיש למה שקורה בכל חלק באתר (במיוחד הפוטר, שהוא אזור זנוח יחסית). אז לא שמו לב, ועכשיו כן שמו לב ולא לעולם חוסן.

  2. היי רויטל,
    הוסבר לי שהקוד הזה איננו בהכרח זדוני, אבל כן ניתן להשתמש בו למטרות זדוניות. קוד ה-EVAL משמש להצפנה של דברים באתרי וורדפרס, והוא כשלעצמו אינו מזיק. אבל אפשר להסתיר / להצפין תחתיו דברים שכן יכולים להזיק לאתר.

    • אין שום סיבה להצפין קוד בתבניות וורדפרס, אלא אם כן אתה מנסה לעשות משהו זדוני או סתם לא ראוי.

  3. יעל שושני

    הקוד זדוני ועד איך! הוא יוצר פירצה הגורמת להתקפה של האקרים. אני נאלצתי למחוק את האתר שלי בעקבות זאת.

להגיב על עידו לבטל

האימייל לא יוצג באתר. שדות החובה מסומנים *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>