یکی از جنبه‌های مهم زیبایی یک وب‌سایت مبتنی بر وردپرس، قالب یا theme آن است و همیشه این وسوسه وجود دارد که از یک قالب «رایگان» استفاده کنیم.

آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , یکی از خوانندگان پرسیده است «تو وردپرس؛ این قالب رایگان‌هاش خطرناک نیست استفاده ازشون؟»

چه بخواهید یک وبلاگ یا فوتوبلاگ راه بیاندازید، و چه در پی آن باشید که یک وب‌سایت جمع و جور شخصی برای قرار دادن رزومه و مقاله‌هایتان بسازید، WordPress یک گزینه‌ی مناسب است. کافی است در wordpress.com یک حساب کاربری بسازید و در چند دقیقه اولین مطلب را منتشر کنید. اگر کمی در این کار جدی‌تر باشید، یک نام دامنه ثبت می‌کنید، کد وردپرس را از wordpress.org می‌گیرید، و در کم‌تر از نیم‌ساعت آماده‌ی انتشار مطلب هستید.

سادگی بخش فنی این کار عملا به ما این امکان را می‌دهد که وقت بیشتری صرف ظاهر و زیبایی وب‌سایت کنیم. یکی از جنبه‌های مهم زیبایی یک وب‌سایت مبتنی بر وردپرس قالب یا theme آن است. اگرچه وردپرس با مجموعه‌ای از قالب‌های پیش‌فرض می‌آید و علی‌رغم این‌که دسترسی به بانک نه‌چندان کوچک قالب‌های وردپرس داریم، همیشه این وسوسه نیز وجود دارد که از یک قالب «رایگان» استفاده کنیم. به این ترتیب، وب‌سایت یا وبلاگ ما ظاهری متفاوت با دیگران خواهد داشت.

کافی است در گوگل این کلمات را جستجو کنید “free wordpress theme” تا چند ده میلیون نتیجه ظاهر شود. اینجاست که احتمالا نگران این گفته‌ی مشهور می‌شویم که «چیزی به نام نهار مجانی وجود ندارد». تاریخچه‌ی این عبارت، که بیشتر از صد سال عمر دارد، در حقیقت بی‌شباهت به موقعیت قالب‌های رایگان وردپرس نیست: بارهایی به مشتریان خود وعده می‌دادند که درصورت خریدن یک نوشیدنی، نهار مجانی خواهند خورد. نکته‌ی مهم این بود که نهار معمولا خیلی شور بود و مشتری مجبور بود برای پایین دادن آن نوشیدنی‌های متعددی بخرد.

دلایل متعددی برای دوری جستن از قالب‌های رایگان وردپرس وجود دارد. قالب‌های رایگان معمولا کدنویسی ضعیفی دارند و احتمالا برخی از قابلیت‌های وردپرس را پشتیبانی نمی‌کنند. علاوه بر این، اگر شما مشکلی با چنین قالبی پیدا کنید، کسی برای حل آن وجود ندارد و مجبور هستید خودتان دست به کار شوید، و احتمالا در مسیر حل یک مشکل، مشکلات دیگری ایجاد خواهد شد. اما نکته‌ی مهم‌تر این است که وردپرس به‌سرعت به‌روز می‌شود ولی یک قالب مجانی احتمالا این روند را دنبال نخواهد کرد. به عبارت دیگر، با استفاده از یک قالب رایگان شما این خطر را پذیرفته‌اید که نتوانید همراه وردپرس در زمان جلو بروید. به‌روز نکردن وردپرس خود مقدمه‌ای بر خطرات مهم امنیتی است.

اما یکی از مهم‌ترین نگرانی‌ها درباره‌ی قالب‌های رایگان وردپرس، خطرات امنیتی خود این قالب‌ها است.

یک قالب وردپرس حاوی کد اجرایی php است. به‌عبارت دیگر، یک قالب بخش مهمی از توانایی‌هایی را دارد که نرم‌افزار وردپرس امکان آنها را دارد. اما نکته‌ی مهم این است که برای به‌خطر انداختن کاربر، باید بدافزار را جایی مخفی کرد، و این قابلیتی است که به کمک base64 encoding در قالب‌های وردپرس ممکن است. تخمین‌هایی وجود دارد که از هر ۱۰ قالب رایگان وردپرس، ۸ عدد از چنین ترفندی استفاده می‌کنند. و البته استفاده از این روش لزوما برای صدمه زدن به کاربر نیست و گاهی تنها برای جلوگیری از حذف نام سازنده‌ی قالب استفاده می‌شود. اما روش base64 encoding چیست؟

همان‌طور که گفتیم، یک قالب وردپرس حاوی کد php است که در زمان مشاهده‌ی وب‌سایت توسط یک بیننده روی سرور اجرا می‌شود. نکته‌ی مهم این است که این کد متنی، و نه باینری، است و بنابراین یک کاربر، با میزانی از آشنایی با زبان php و اصول امنیتی، می‌تواند کد خطرناک را تشخیص داده و آن را حذف کند. اما نکته‌ی مهم این است که می‌توان کدی نوشت که پس از اجرا بدافزار تولید کند. به این ترتیب، کدی با ظاهر بی‌خطر، حامل کد خطرناک اصلی است. چنین کدی گاهی در footer.php قرار داده می‌شود و ظاهری به این شکل دارد:

این کد پس از اجرا تبدیل به چنین کدی می‌شود:

که البته در این مورد این کد تنها تلاش می‌کند دست صاحب وب‌سایت را در تغییر پانویس ببندد. نکته‌ی مهم این است که نباید به کسی اجازه داد روی سرور کدی اجرا کند، و در این وضعیت این امکان باز شده است. این همان بهایی است که برای قالب‌های رایگان وردپرس می‌پردازیم.

با تشکر  :  ☪★..mohammad..☪★