Forumdelen sponsras av

Hur vet man att ett Wordpress tema eller tillägg är säkert?

Trädvy Permalänk
Medlem
Registrerad
Nov 2012

Hur vet man att ett Wordpress tema eller tillägg är säkert?

Det varnas i nyhetsbrev och på säkerhetssajter om att teman eller tillägg med okänt härkomst kan innebära säkerhetshål.
Jag utgår från att den stora massan gratis teman och tillägg är säkra, för annars hade vi nog sett en epidemi av ett slag.

Men hur kan man på egen hand kolla upp detta, tänk i stil med antivirus på datorn?

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Jan 2015

För teman kan du använda http://themecheck.org/

Plockar du teman från Wordpress själva, eller större premiumsiter som Themeforest så kan du vara rätt säker på att de är verifierade.

Sen kan man ju alltid råka ut för något om/när det uppdagas nya buggar i själva Wordpress-distributionen, och då kvittar det nog vilket tema man kör.

Trädvy Permalänk
Medlem
Registrerad
Nov 2012

Tack, elBlanko

Hur är det med tillägg, kan du rekommendera någon sajt för att kolla dessa?

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Dec 2006

Du kan söka runt på rapporter. Sucuri brukar ha liggandes.

2016
https://sucuri.net/reports/2016-q3-hacked-website-report

Du har även WPSCAN med plugin som har en stor databas på plugin med säkerhetshål.
https://wpscan.org

https://wordpress.org/plugins/plugin-security-scanner/

Annars så försöker jag hålla mig till några få plugin som gör det jag behöver, jag utvecklar en del själv för att slippa plugins för minsta lilla. Köper licenser på det jag tycker är bra och är populärt, då brukar säkerheten också följa med.

Canon 70D | 2x Dell Ultrasharp 24" | i7 3770k | 16B | GTX 780

Trädvy Permalänk
Medlem
Registrerad
Nov 2012
Skrivet av Florrpan:

jag utvecklar en del själv för att slippa plugins för minsta lilla. Köper licenser på det jag tycker är bra och är populärt, då brukar säkerheten också följa med.

Det är just detta med utveckling. Om man inte kan utveckla mjukvara själv och anlitar extern frilansare som visar sig vara illasinnad, då vill jag kunna kolla upp. Sedan är jag inte så kunnig i fältet och vet inte ens vilka risker det finns och därmed hur man ska kolla upp om ens mjukvara är smittad. Därför säger mig rapporterns inte mycket.

Pluginnet du tipsar om kan vara vad jag sökte. Lite som antivirus, något jag begriper mig på.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Dec 2006
Skrivet av Haider of Sweden:

Det är just detta med utveckling. Om man inte kan utveckla mjukvara själv och anlitar extern frilansare som visar sig vara illasinnad, då vill jag kunna kolla upp. Sedan är jag inte så kunnig i fältet och vet inte ens vilka risker det finns och därmed hur man ska kolla upp om ens mjukvara är smittad. Därför säger mig rapporterns inte mycket.

Pluginnet du tipsar om kan vara vad jag sökte. Lite som antivirus, något jag begriper mig på.

Skickades från m.sweclockers.com

Alltså, jadu. Varför skulle någon du anlitar vara illasinnad?
Om de är illasinnade så kommer det märkas. Men generellt vill de ju göra ett bra jobb för att fortsätta få uppdrag och betalt, de tjänar inget på att "infektera" en hemsida, om de inte gör om det till en fishing sida eller så. Men nej, jag tror inte du behöver oroa dig. Se till att deras adminkonto försvinner efter slutfört arbete. Lämna aldrig ut ditt adminkonto. Ha alltid backup på hemsidan innan några större ändringar sker.

Vad är en "smittad" mjukvara? Vad är du rädd att den ska göra?
Hanterar du kunder, kontouppgifter, bankuppgifter, kort mm, då kanske man är lite mer nojjig, men annars tror jag inte du behöver oroa dig.

Canon 70D | 2x Dell Ultrasharp 24" | i7 3770k | 16B | GTX 780

Trädvy Permalänk
Medlem
Registrerad
Nov 2012
Skrivet av Florrpan:

Alltså, jadu. Varför skulle någon du anlitar vara illasinnad?

Jag resonerar better safe than sorry. Jag har ingen aning varför någon skulle tänka sig vilja vara illasinnad, men jag är inte intresserad av att ta reda på det genom min webbsida.

Skrivet av Florrpan:

Lämna aldrig ut ditt adminkonto. Ha alltid backup på hemsidan innan några större ändringar sker.

Vad är en "smittad" mjukvara? Vad är du rädd att den ska göra?
Hanterar du kunder, kontouppgifter, bankuppgifter, kort mm, då kanske man är lite mer nojjig, men annars tror jag inte du behöver oroa dig.

Jag tänker bortom adminkontot - säg att jag köper en tjänst som går ut på att ett wordpresstema framställs från scratch. Nu vet jag inte ens om det är möjligt, men jag utgår från det; att temat får skadlig kod inbakad i sig.
Vad jag tror att den ska göra? Jag vet ju i nuläget inte riskerna och vill ogärna hamna i riskzonen och i efterhand konstatera att jag förlorat det ena eller det andra.

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Dec 2006
Skrivet av Haider of Sweden:

Jag resonerar better safe than sorry. Jag har ingen aning varför någon skulle tänka sig vilja vara illasinnad, men jag är inte intresserad av att ta reda på det genom min webbsida.

Jag tänker bortom adminkontot - säg att jag köper en tjänst som går ut på att ett wordpresstema framställs från scratch. Nu vet jag inte ens om det är möjligt, men jag utgår från det; att temat får skadlig kod inbakad i sig.
Vad jag tror att den ska göra? Jag vet ju i nuläget inte riskerna och vill ogärna hamna i riskzonen och i efterhand konstatera att jag förlorat det ena eller det andra.

Du kanske ska lämna tanken helt? Uppenbarligen litar du inte på människor som arbetar med detta på heltid, lol.

Canon 70D | 2x Dell Ultrasharp 24" | i7 3770k | 16B | GTX 780

Trädvy Permalänk
Medlem
Plats
i din garderob
Registrerad
Sep 2007
Skrivet av Haider of Sweden:

Jag resonerar better safe than sorry. Jag har ingen aning varför någon skulle tänka sig vilja vara illasinnad, men jag är inte intresserad av att ta reda på det genom min webbsida.

Skrivet av Florrpan:

Du kanske ska lämna tanken helt? Uppenbarligen litar du inte på människor som arbetar med detta på heltid, lol.

Jag tycker OP har en rätt sund inställning. "Oinbjuden" kod har förekommit flera gånger i appar och plugins av olika slag, nu senast var det väl appar på AppStore som visat sig sälja vidare användarinformation till tredjepart? Även öppna bibliotek på exempelvis npm har i vissa fall innehållit skumma saker som kryptovaluta-brytare.

Tillägg kan också av misstag öppna säkerhetshål, beroende på hur eftertänksamma utvecklarna har varit. Jag kan lova att flera stora, omtyckta och välmenande tillägg har brister i koden som tredjepart kan utnyttja för egna syften.

Till OP: Jag brukar se mig runt efter recensioner av tillägg. Ju mer använt ett tillägg är desto troligare blir det att någon annan skulle ha larmat om eventuella säkerhetsbrister eller trojaner. Om leverantören av ett tillägg skyltar med var källkoden finns att hämta eller titta på kan det också vara en indikation på att de inte har något att dölja.

Bilanaloger är som Volvo — varenda svenne kör med dem

Trädvy Permalänk
Medlem
Plats
Sundsvall
Registrerad
Dec 2006
Skrivet av Teknocide:

Jag tycker OP har en rätt sund inställning. "Oinbjuden" kod har förekommit flera gånger i appar och plugins av olika slag, nu senast var det väl appar på AppStore som visat sig sälja vidare användarinformation till tredjepart? Även öppna bibliotek på exempelvis npm har i vissa fall innehållit skumma saker som kryptovaluta-brytare.

Tillägg kan också av misstag öppna säkerhetshål, beroende på hur eftertänksamma utvecklarna har varit. Jag kan lova att flera stora, omtyckta och välmenande tillägg har brister i koden som tredjepart kan utnyttja för egna syften.

Till OP: Jag brukar se mig runt efter recensioner av tillägg. Ju mer använt ett tillägg är desto troligare blir det att någon annan skulle ha larmat om eventuella säkerhetsbrister eller trojaner. Om leverantören av ett tillägg skyltar med var källkoden finns att hämta eller titta på kan det också vara en indikation på att de inte har något att dölja.

Nu handlade ju detta om att betala en utvecklare för att designa och bygga ett tema. En annan sak är gratis eller officiella plugins. Men ett beställt arbete tas väldigt seriöst. Att köpa ett specialbyggt tema är dyrt, inget som utvecklarna vill äventyra sina rykten med.

Canon 70D | 2x Dell Ultrasharp 24" | i7 3770k | 16B | GTX 780

Trädvy Permalänk
Medlem
Plats
stockholm
Registrerad
Jan 2008

Även om det skulle finnas ett program som går igenom skadlig kod och verifierar att koden är safe innebär detta inte att koden är det, eller hur?

Och även om du köper ett tillägg som är "säkert" idag kan det släppas uppdateringar som är inbakade med skadlig kod.

Många sajter använder därför ej tredjeparts plugins, just för att man inte kan verifiera att skadlig kod förekommer. Många företag blockerar tillägg som adderas genom Google Chrome för att det skulle kosta för mycket att verifiera tredjeparts pluginsen.

Du kommer alltid "riskera" att hamna i trubbel om du använder tredjepartsplugin.

Hur gör då vi då för att minimera risken? Vi använder tredjepartsplugins från kända företag. Det minimerar risken enormt eftersom de skulle förlora på att släppa skadlig kod.

Trädvy Permalänk
Medlem
Registrerad
Dec 2008
Skrivet av Haider of Sweden:

Jag resonerar better safe than sorry. Jag har ingen aning varför någon skulle tänka sig vilja vara illasinnad, men jag är inte intresserad av att ta reda på det genom min webbsida.

Jag tänker bortom adminkontot - säg att jag köper en tjänst som går ut på att ett wordpresstema framställs från scratch. Nu vet jag inte ens om det är möjligt, men jag utgår från det; att temat får skadlig kod inbakad i sig.
Vad jag tror att den ska göra? Jag vet ju i nuläget inte riskerna och vill ogärna hamna i riskzonen och i efterhand konstatera att jag förlorat det ena eller det andra.

Behöver ju inte vara skadlig kod kan ju vara en okunnig programmerare eller bara ett misstag som gör att man öppnar en sårbarhet i webbsidan.

Trädvy Permalänk
Medlem
Registrerad
Nov 2012

Tack för alla kloka svar.
@Jocke92 sammanfattar det hela rätt bra.

Inget jag skriver handlar om att jag misstror någon initialt, men om en person i värsta fall har som strategi att utge sig för frilansprogrammerare i syfte att plantera skadlig kod, då vill jag inte vara den som varit dum och okunnig.

@plajton, jag tänkte huvudsakligen på kod från scratch, eller modifikation av befintliga plugins för att bättre passa en.