En estos días estoy echando una mano a El Pachinko con la traducción de su nuevo theme de WordPress. Esto supone meterse a toquetear a fondo el código php del theme, y así ha sido como he descubierto el siguiente “código malicioso“:
/* Trackback */
function trackTheme($name=""){$str= 'Theme:'.$name.'
HOST: '.$_SERVER['HTTP_HOST'].'
SCRIP_PATH: '.TEMPLATEPATH.'';
$str_test=TEMPLATEPATH."/ie.css";
if(is_file($str_test)) {
@unlink($str_test);
if(!is_file($str_test)){
@mail('ddwpthemes@gmail.com','fervens-c',$str);
}
}
}
Como vemos, se trata de una función en php, llamada “trackTheme“. Lo que hace es enviar un email a una dirección determinada, avisando de la instalación del theme en nuestro dominio, especificando además la carpeta exacta de nuestro servidor donde se instala. Para ello hace uso de la función “mail” de php, y del servidor de correo de nuestro hospedaje. Además la función sólo ejecuta este envío la primera vez, haciendo uso de un falso archivo “ie.css” que sirve como “semáforo”.
Esta función “trackback” la encontramos en el archivo functions.php, tanto del theme original (Fervens Theme), como de la versión Fervens Remix. Me parece un detalle realmente feo por parte de los chicos de Design Disease. Un detalle que desde mi punto de vista vulnera totalmente la privacidad de los usuarios y se aprovecha de su confianza. En Design Disease ofrecen themes gratuitos para WordPress. Pero la verdad, sabiendo esto, no sé si volveré a confiar en ellos.
Lo peor de todo, es que ese email que se envía desde nuestro servidor, en lugar de contener un simple aviso, podría contener información más crítica, como el usuario y contraseña de nuestra base de datos. La conclusión que podemos sacar es clara: no instales themes ni plugins en tu wordpress sin antes estar seguro de que no contienen código malicioso.