• 解決済 USBmegane

    (@usbmegane)


    先日、私が運営しているブログに、新しいテーマを適用しようかなと思い、WordPress公式サイトの「Commercially Supported GPL Themes( http://wordpress.org/extend/themes/commercial/ )」というページでWPテーマ配布元を探していました。すると、「Gabfire Themes」というテーマ供給元の紹介があったので、そちらの公式ページでテーマを探していると、
    「Snapwire( http://www.gabfirethemes.com/themes/snapwire/ )」という無料のマガジンテーマを見つけたので、早速利用させていただこうと思い、テーマをインストールしました。

    すると、以下のテーマ用セキュリティチェックプラグインのスキャンで、次のような結果が出てしまいました。

    ・「Theme Authenticity Checker (TAC)」によるスキャン結果
     「Encrypted Code Found! – wp-content/themes/snapwire-master/timthumb.php」

    ・「AntiVirus」によるスキャン結果
     「/themes/snapwire-master/timthumb.php」

    ここで、皆様にお伺いしたいことがあります。私は、WordPressの公式サイト内に記載されているテーマの供給元のサイトから、直接テーマファイルをダウンロードしたのですが、なぜ、こうした供給元のテーマから、「不審なコードが検出」されるのでしょうか。個人的には、単純なセキュリティチェックプラグインの誤検出かなぁ…と思っているのですが、私自身は、これらのコードの安全性を見極められるほどの知識や技能がないので、なんとも言えない状態です。

    WordPress公式サイト内に記載されているテーマの供給元であっても、やはり、不審なコードの埋め込みに注意が必要なのでしょうか…?

    以上です。お忙しいところ恐れ入りますが、よろしくお願い致します。

2件の返信を表示中 - 1 - 2件目 (全2件中)
  • こんにちは

    公式テーマというのは、

    http://wordpress.org/extend/themes/

    にホスティングされているテーマだけです。

    ここの仕組みは、新しいテーマを申請すると、アップロードの時に、機械的なチェック
    http://wordpress.org/extend/plugins/theme-check/

    を使って行うチェックと同等、を行ってから、
    ワードプレスのレビューチームの人間による審査が行われます
    数度のレビューの後、フルレビューといわれる ファイルないようすべてに問題がないかどうかチェックが行われ、ホスティングされる仕組みになっています。

    ご指摘の、timthumb.php も 明示的に使用できないファイルとしてルール化されています。
    レビューの合格率は、30%以下です。

    そのあたりが、比較的安全という根拠です。

    このようなテーマを供給しすると同時に、「プロ用」みたいなテーマを配布している場合がありますが、これらは、レビューチームが行うようなプロセスを経ていません。

    公式テーマを供給しているからといって、外部のサイトで供給しているテーマが安全とは、限りません。

    レビューの審査基準に適合できなかったようなテーマが配布されている可能性は、あるんじゃないかと思います。

    トピック投稿者 USBmegane

    (@usbmegane)

    お忙しい中、お返事いただきありがとうございました。

    テーマの配布・導入に関して、まだまだ知らない点が多いので、これからゆっくりと勉強していきたいと思います。

    この度は、ありがとうございました。

2件の返信を表示中 - 1 - 2件目 (全2件中)
  • トピック「WP公式サイト内に記載されている供給元のテーマの危険性について」には新たに返信することはできません。