WordPress Hacker’lar için mi Kullanılıyor?

Wordpress, hem sunucularında çalışan hem de ayrı olarak kurulabilen blog hizmetiyle hızla gelişiyor. Hızlı gelişimi, açık ve genişletilebilir blog tasarımı Wordpress’i tema kodlarına zararlı parçalar ekleyen hackerlar için de hedef haline getiriyor.

Wordpress’in başarısını sağlayan yeteneklerden biri özelleştirmede sağladı esneklik. Wordpress, The Loop adı verilen ve PHP’de yazılmış bir motor üzerinde çalışıyor. Bir blog her ziyaret edildiğinde The Loop, sayfanın başlık, gövde ve iletiler, yan paneller ve alt başlık bölümlerini işliyor. Blog düzenleyiciler ise bu elementler üzerinde tüm değişiklikleri yapabilir: Örneğin, yazar bilgisi, popüler etiketler gibi birimlerin gösterim şekillerini düzenleyen PHP kodlarını değiştirebilirler. Eklentiler sayesinde sitenin becerilerini artırabilirler.

Tasarımcılar temalara stil dosyaları, PHP kodları ve bazen de eklentileri yerleştiriyor. Bir WordPress teması sadece görsel değildir: Aynı zaman da program kodudur. Powerpoint’de bir temayı değiştirirseniz sadece renkler ve yazı tipleri değişir. Fakat WordPress’te bir temayı değiştirdiğinizde sitenin tüm altyapısı değişir ki buna veritabanı sorguları ve PHP kodları da dahildir.

Bu muazzam esnek yapı bize şu an gördüğüm tüm blog çeşitliliğini sunuyor. Wordpress, temalarının bazılarını kendi tema gezgini sitesinden sunuyor. Fakat, birçok site de bağımsız tasarımcıların temalarını kullanıma sunuyor. Wordpress ise bir temanın kurulumunu, dosyayı siteye kopyalayıp resminin üzerine tıklamak kadar kolay hale getirmek için çok çalıştı.

Her başarılı platformda olduğu gibi WordPress için de hackerlar fazla gerimizde değil. Apple’ın Mac sistemleri genelde Windows PC’lerden daha güvenli olarak bilinir, fakat bu durum pekala daha az kişinin Mac’lere saldırıyor olmasından da kaynaklanabilir. Yani, WordPress geliştikçe saldırganların da birinci hedefi haline geliyor.

WordPress temalarının zenginliği saldırganlar için büyük şans - ve tabii ki sunucu üzerinde çalıştırılabilen kodların her türlü kötü şeyi yapabilecek olması.Tema yüklemenin kolaylığı, blog sahiplerini test edilmemiş çeşitli kodları çalıştırmaları ve zararları kodlarla karşılaşmalarını da kolaylaştırıyor.

İşte gerçek bir örnek.

Seattle’lı tasarımcı Derek Punsalan alkışlanacak kalitede WordPress tamaları yapıyor ve bunları bazılarını da tüm kullanıcılar için yayınlıyor. Bazı tema siteleri ise o’nun temalarını kopluyor. Böyle bir tema-kopyalayıcı site de WP-Sphere.

Punsalan’ın temasını WP-Sphere sitesi üzerinden indirdiğiniz zaman, Punsalan’ın yerleştirmediği bazı kodlar ile karşılaşıyorsunuz. Fazladan kodda, birçok kullanıcının da tahmin edeceği gibi şifre görünümlü bir kısım var:

Metnin ilk kısmı küçük bir ipucu veriyor: Kod, base64 olarak şifrelenmiş metni çözen bir PHP fonksiyonu çağırıyor. Kodu benzer bir dekode fonksiyonuna biz gönderdiğimiz durum tahmn edildiği gibi biraz daha tehlikeli duruyor:

Kod, WordPress blog sunucusundan wpssr.com, wpsnc.com ve wpsnc2.com sitelerine bağlantı kuruyor ve bir barça javascript kodu indirmeye olanak sağlıyor. Siteler İngiliz Kolombiyası, Vancouver’da isimsiz bir kullanıcına kayıtlı.

"Bu ve benzer siteler, kullanıcıların, tüm temaların aynı koddan türediğini sanması hatasından faydalanıyor" diyor Punsalan. "Temaların yeniden dağıtılmasını engellemek zor olsa da, WordPress topluluğunun bu konuda bir şeyler yapma zamanı geldi gibi duruyor."

Yukarıda bahsettiğimiz şifreli metin birkaç hafta önce Paul Carroll‘un sitesinde deşifre edildi. Carroll, kodun, WP-Sphere’nin temalarını kimlerin kullandığını izlemek için bir takip aracı olduğu açıkladı ve kodu zararsız buldu. Fakat bu durum aynı zamanda zararlı kodları temalara eklemek için de zekice bir arka kapı olarak görünüyor. Teoride, WP-Sphere, bu temayı kullanan sitelerde bu kod sayesinde reklam yayınlayabilir. Punsalan da kendi blogunda konunun mevcut durumuyla ilgili bir değerlendirmede bulundu.

Belki de en rahatsız edici durum, daha düne kadar WP-Sphere’nin Google’da "WordPress Themes" arama anahtarı için birinci sıradaki "ücretli arama sonucu" olması. Bugün artık, güvenlik açıklarını inceleyen eklentiler ve özel siteler var.

GPL Lisanslı temalar hazırlayan, WordPress’in kurucularından, programcı Matthew Mullenweg şöyle diyor: "Bu durum çoğu zaman malwareden bile sakıncalı. Resmi veritabanımızdaki 2000 tema bu konuya karşı temiz."

NOT: Yukarıdaki yazı İngilice olarak 26 Kasım 2007′de http://gigaom.com/2007/11/26/wordpress-themes-security-problems/ adresinde Alistair Croll tarafından yayınlanmıştır.