プラグインの行頭で eval(base64_decode(…)) しているのですが、この中に [ 72.9.228.239 ] と言うサーバに対してリクエストしているコードが隠されています。
情報ありがとうございます。こういう危険プラグインの情報は重要ですね 😉
さっそく英語フォーラムでも「スパムリンクが挿入された」とか苦情が出ていますね (プラグインの紹介ページ右下 See what others are saying… 参照)。
公式プラグインディレクトリーの登録申請時にはコードは一切提出しない、というのがある意味問題ですね。「It can’t do anything illegal, or be morally offensive (that’s subjective, we know).」というルールはあるんですが、違反しているプラグインをチクる窓口はないようで……。(英語フォーラムを使うしかない??)
プラグインやテーマの中身を見て、この手のコードがあれば報告するようなプラグイン (セキュリティースキャナーの類い) はあるので、それを使ってみるのは手ですね。
今、本家フォーラムで確認しました。
このプラグインの作者。かなり開き直ってると思うのですが…
作者曰く、プラグイン詳細にそう書いてるあるし、このブラグイン開発サポートの将来のために、スポンサーリンクを挿入するようになってると。
確かにそこまで確認しなかった自分もあれなんですが、でも、倫理的にどうなんでしょう。GNU下のリリースだからって、スパム広告挿入は逆に利用者が遠ざかりますよね。こういうのは、やっぱり一利用者として避けたいです。
作者曰く、プラグイン詳細にそう書いてるあるし、このブラグイン開発サポートの将来のために、スポンサーリンクを挿入するようになってると。
ただ、これってサーバから流すスポンサーリンクの中に危険な JavaScript コードでも仕込まれたら、目も当てられないことになりますからね。
わざわざ base64 エンコードして、作者の言う「スポンサーリンクを挿入」するコードを隠してるのは悪質ですね。
どんな危険なコードが組み込まれているか、知れたものではありませんから。
スポンサードリンク (飲み物にあらず) を挿入すること自体も是非が問われると思いますが、仮に挿入することが OK としても、コードにはっきり分かるように挿入すべきですよね。
おそらく、作者としては勝手に削除されないようにするという目的があるのだと思いますが、それは「利用者が自由に改変できる」というオープンソースソフトウェアの理念に反しています。オープンソース、とくに GPL は「ソフトウェアそのものが自由である (==作者に縛られない)」ことを目的としていますから、作者によって改変をやりにくくするようなコーディングは、GPL に (倫理的に) 矛盾していると思います (法的には反しないでしょうが)。
また、前述の通り、公式プラグインディレクトリーのルール (?) である「It can’t do anything illegal, or be morally offensive (that’s subjective, we know).」にも抵触すると思われます。
これは明確に、公式プラグインディレクトリーからの削除を管理者に要請すべきですね。時間をみつけて、本家フォーラムの当該トピックに書いてみたり、管理者 (窓口はどこ?) に通知すべきだと思います。