מורידים תבניות וורדפרס חינם? היזהרו מדלת אחורית

וורדפרס היא מערכת ניהול התוכן הטובה ביותר לבלוגים לא רק בזכות הטכנולוגיה שלה אלא גם הודות לשיטת הרישוי שלה, המבוססת על קוד פתוח. כל אדם יכול לפתח תבניות לבלוגים בוורדפרס (templates, חבילות עיצוב ותצורה המעניקות לבלוג מראה ייחודי), ולהפיץ אותן, חינם או בתשלום. חשוב לזכור ששיטה מבוזרת מטילה על המשתמשים אחריות לבחון היטב את מקור תבנית הוורדפרס מכיוון שבניגוד לאפסטור, חנות האפליקציות של אייפון, למשל, אין גורם אחראי המאשר תבניות לוורדפרס.

אתר WPMU.org בדק ומצא ששמונה מתוך 10 תבניות הוורדפרס חינם שעולות בחיפוש " Free WordPress Themes" בגוגל העולמית מכילות base64, קידוד שמשמש לעתים להסתרת קוד זדוני, קישורים לא רצויים לאתרי ספאם וגורמים מסחריים וכו'. אחת מהן "נתונה בספק" ואילו אחת בלבד בטוחה לשימוש.

שיטת הגילוי של תבניות וורדפרס מקשה על אנשים וחברות שמעוניינים לפתוח בלוג מבוסס וורדפרס ואינה מספקת דירוג מוסמך של תבניות וורדפרס על פי טיבן ומהימנות המפיצים שלהן. אנשים רבים פונים לגוגל בחיפוש תבניות וורדפרס להורדה בסוברם בטעות שהקישורים בדף התוצאות הראשון הם "התבניות המומלצות ביותר". בפועל, אתם עלולים להתקין אתר שעלול להזיק לכם.

3769771267_99b93126c1

בתוך כך, סטיב צ'אנג, יו"ר חברת אבטחת המידע Trend Micro, עורר מחדש ויכוח ישן כשטען שתוכנה בקוד פתוח מאובטחת מאשר תוכנה בקוד סגור. בהתייחסו לאבטחת סמרטפונים, צ'אנג טען שהאייפון מאובטח יותר מאנדרואיד משום שפלטפורמה בקוד פתוח תמיד מאפשרת להאקרים לחקור את הארכיטקטורה ולגלות חולשות אבטחה שתמונות בה.

נתי דוידי, מנכ”ל אלטל שירותי אבטחת מידע, מציין שהיתרון העיקרי של פלטפורמות קוד פתוח הוא גם החיסרון העיקרי שלה. "מצד אחד, קהילת הקוד הפתוח עמלה כל העת על פיתוח מודולים ופתרונות שונים לפלטפורמה ובתוך כך גם חולקת מידע על חולשות אבטחה ופתרונות אבטחה.

"מנגד, מנצלים גורמים עוינים את היות הפלטפורמה פתוחה כדי לפתח מודולים אטרקטיביים וחינמיים הטומנים בחובם קוד עוין למשתמש".

דוידי מציין כי הקוד לרוב מוצפן וחבוי בשולי האתר, המאפשר גישה מרוחקת למספר משתמשים לא ידועים לממשק הניהול כמו גם הפעלה מרחוק של פונקציות לפגיעה באתר ולהפלתו. השיטה הזו תפיל בפח בעיקר משתמשים נאיביים, המשוכנעים ש"עדכון מעת לעת" של וורדפרס הוא מספק ואינם חוששים מפני אפשרות הפגיעה באתר שלהם דווקא באמצעות הפלטפורמה.

"בדיקת קוד שטחית של תבניות וורדפרס תראה שחלק בלתי מבוטל מהן נושאות קוד עוין, לרוב מוצפן וחבוי בשולי האתר, המאפשר גישה מרוחקת למספר משתמשים לא ידועים לממשק הניהול כמו גם הפעלה מרחוק של פונקציות לפגיעה באתר ולהפלתו. נוסף על כך, צריך לזכור שאותן חבילות מופצות פעמים רבות על ידי מפתחים חובבנים ועל כן עשויות להכיל טעויות קוד לא מכוונות שיאפשרו חדירה עתידית ופגיעה באתר".

כיצד נמנע מתרמיות כאלה? דרך אחת לזהות אתרי וורדפרס מפוקפקים היא זיהוי המילה Wordpress בשם הדומיין שלהם. וורדפרס הוא סימן מסחר רשום של Wordpress ואסור לחברות חיצוניות לעשות בו שימוש בשמן.

למשתמש המתקדם - בדיקת קוד שטחית של תבניות העיצוב בעזרת אפליקציות חינמיות תוכל לאתר קוד מוצפן שייעודו לא ברור, סיבה מספקת לא להשתמש בחבילה. לכל שאר המשתמשים: מומלץ להוריד תבניות עיצוב אך ורק מאתרים שדורגו כבטוחים ושעוברים בדיקה על ידי קהילת הקוד הפתוח בעצמה.

באופן טבעי, אפשר לסמוך על האתר הרשמי של וורדפרס. למי שכבר התקין תבנית ולא משוכנע במהימנותה, מומלץ כשלב ראשון לבצע חיפוש פשוט בגוגל כדי לוודא שאין כל מידע גלוי על היותן של החבילות "נגועות". עם עדיין קיים החשש, ניתן להיעזר בקהילת וורדפרס או באפליקציות שונות לזיהוי הקוד.

אם הבלוג שלכם באנגלית או שיש לכם אפשרות להתאים אותו לעברית, המקורות הבאים מומלצים על ידי WPMU.org לצורך הורדת תבניות אמינות חינם.

מקורות מומלצים לתבניות וורדפרס בתשלום:

גם בישראל פועלים מספר אתרים המציעים תבניות וורדפרס להורדה חינם או בתשלום. לא התנסינו בעבר עם מח מהחברות האלה ועל כן לא נוכל להמליץ עליהם. אם מי מהקוראים התנסו בעצמם נשמח אם תשתפו אותנו.

עשו לנו לייק ותקבלו את מיטב הכתבות של חורים ברשת ישירות לפייסבוק
ארכיון ״חורים ברשת״

ערוץ זה הוא ארכיון האתר, השומר את הסיפורים מהאתר הישן של ״חורים ברשת״.

ארכיון ״חורים ברשת״

ערוץ זה הוא ארכיון האתר, השומר את הסיפורים מהאתר הישן של ״חורים ברשת״.

סיפורים נוספים של ארכיון ״חורים ברשת״
הרשם/י לקבלת הניוזלטר שלנו
וידאו
דיווח על תוכן פוגעני
תוייג בתור:
  • קוד
  • קוד פתוח
  • תבניות וורדפרס
  • base64
  • אלטל
  • נתי דוידי
וידאו