【发布时间】:2014-12-03 14:15:49
【问题描述】:
上下文:
第三方代码对于任何开源 CMS 都是通用的,例如 WordPress 插件和主题。我最近在网上看到有关向作者发送信息的插件/主题的文章。
我的担心:
- 我无法确定何时插件/主题正在向作者发送信息。
- 我不知道插件/主题发送给作者的什么信息(电子邮件、URL、站点访问跟踪、仅限于完整的数据库访问等)。
无论作者是否恶意使用此信息,对此事缺乏可见性让我感到沮丧。我只是想知道原则上。
我尝试过的:
- 我已禁用 CURL 和 fopen 等各种功能,但据我了解,可能存在后备功能来实现相同的功能。
- 我已通过多种方式保护我的网站,包括修改目录/文件权限、恶意软件扫描、黑名单、安全审核、防火墙等。
- 我一直在关注用于 FireFox 检测第三方的脚本阻止程序。
- 我对插件/主题运行各种代码扫描以查找已知恶意代码并定期更新定义。
- 我查看了 Ghostery for FireFox,但这需要激活插件/主题,如果插件/主题是恶意的,这可能已经太晚了。
我的问题:
我如何知道哪些插件/主题正在呼叫主页/发送信息以及发送的确切信息是什么?
- 是否存在插件或在线解决方案来检测这一点?
- 只是禁用某些 PHP 函数吗?
- 如果我需要手动查找代码(记住恶意代码已被扫描),我应该注意哪些功能?
【问题讨论】:
-
这样的事情让我很高兴我自己写东西;)关于您的问题,也许最好的建议是只安装来自受信任来源的插件和主题。最近有很多
social.png黑客来自安装免费主题... -
这些插件到底在哪里做“电话回家”的事情?如果插件在服务器上做电话回家,那么启用 ghostery 绝对是零点。
-
@NiettheDarkAbsol 为单挑欢呼。 My current definitions are checking for it.
-
@MarcB 这是一个example of a plugin,它公开拨号回家以获取安全定义更新(请参阅“通知”)。某些主题具有拨号回家以检查是否安装了当前版本的主题的脚本。当触发 fopen/CURL 错误消息时,我注意到了这一点。这似乎是一个向作者或潜在恶意方发送信息的机会。
-
那纯粹是服务器端的,像ghostery这样的客户端插件永远看不到。