7 grzechów głównych twórców motywów
(okiem programisty)

Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl

Dlaczego atakować?

58.8% spośród CMSów to WordPress
(10 września 2015, w3techs.com)
8 804 tys. pobrań WP 4.3
(10 września 2015, wordpress.org/download/counter)

Po co atakować?

spamerskie linki
przekierowania
rozsyłanie spamu
ataki DDoS
zarażanie innych
itd.

Motywy są groźne

25% udanych ataków na WP kończy się sukcesem dzięki podatności motywu.
(wpwhitesecurity.com)

To co z tymi grzechami?

Lenistwo

Brak prawidłowego escape'owania

Brak sanityzacji

Brak weryfikacji requestów

Zawiść

Implementacja funkcjonalności w motywie

Formularze kontaktowe,
Własne (ogólne) typy wpisów,
Itp.

Zachłanność

Dołączanie wtyczek/bibliotek do motywu (w niepoprawny sposób)

WP-PageNavi
PHP Mailer

Pycha

Nieuzasadnione (najczęściej) "Ja zrobię to lepiej"

Własna obsługa uploadów,
Własne SQLe,
Własne mechanizmy opcji

Nieodpowiedzialność

Np. świadome (lub nie) używanie złych rozwiązań

TimThumb (i podobne)

Niekompetencja i lekkomyślność

To tylko motyw, choćby podstawowa umiejętność programowania jest zbędna

Requesty PHP bezpośrednio do motywu (nierozumienie admin-ajax, admin-post)
Pola do wstawiania kodu w treść strony
Miliony zapytań do baz danych, bo PHP jest zbyt trudne

Dzięki za uwagę!

Krzysiek Dróżdż
krzysiek@wpmagus.pl
WPmagus.pl