BlogSecurity hat eine Liste veröffentlicht aus der die zehn gefährlichsten WordPress Themes hervorgehen – sollen.
Ich habe da so meine Zweifel und das die Tabelle wirklich das wiedergibt was sie soll, nämlich anfälligkeit für Cross-Side-Scripting (XSS).
Auch das von mir benutzte Theme „Multiflex-3“ ist auf der Liste. Der Code entspricht zwar nicht dem originalem weil weitreichende Änderungen vorgenommen wurden, das ist aber erst mal egal.
Das Problem bei der veröffentlichten Tabelle ist folgendes:
Man hat die 1000 letzten gescannten Blogs nach den Themenamen sortiert und kommt dann auf eine Top 10.
Das wäre OK wenn alle Themes gleich wären. Der Scanner prüft aber den gesamten Code auf bestimmte Risiken.
Wenn nun aber ein Plug In dieses Risiko verursacht erkennt der Scanner das in der Regel nicht da die Liste der erkannten Plugins bisher recht kurz ist, er schiebt das ganze also auf das Theme.
Bei sehr beliebten Themes; die auch verbreitete Plugins nutzen (z.B. ein Suchfunktionswidget); ist die Wahrscheinlichkeit in der Liste als gefährlich aufzutauchen also recht hoch, auch wenn eben ein solches Plugin die eigentliche Ursache ist.
Es bietet sich also an erst mal alle Plugins zu checken bevor man überstürzt das Theme wechselt.
Wobei ich damit nicht sage dass die Themes wirklich sicher sind, mir ist eben nur genau diese Fehlerquelle an der Liste bzw. der Prüfungsform aufgefallen.
Zehn -nicht unbedingt- gefährliche WordPress Themes
Interessanter Hinweis! Danke! Habe mal den Scanner mal drüber gejagt: Aktuelle Version drauf, kein besagtes Alert-Fenster poppt auf, htmlspecialchars ist auch schon längst eingefügt. Und trotzdem … Ich schaue mir noch mal die Plugins an.