WordPressテーマをググって探すのは超ハイリスクなので気をつけよう!

無料のものだけが危ないみたいな誤解を与えてるっぽかったのでタイトルを修正しました。

先日海外のブログ wpmu.org で興味深い記事がありました。

Free WordPress Themes: Why You Should Never Search For Them on Google

タイトルを直訳すると、”無料テーマをグーグルで探すべきではない理由”って感じです。

とても重要な情報なので日本語で解説を。

free wordpress themes でググって出てくるサイトは危険がいっぱい!

この記事では、”free wordpress themes”でGoogle 検索を行なって、ヒットしたサイトのテーマを順番にダウンロードして、それぞれのテーマについて安全性をチェックしています。

で、先に結論を言いますと、なんとwordpress.org(本家)以外のすべてのサイトのテーマにリスクがあるコードが含まれていたとのことです。

全てですよ。す・べ・て!

私自身リスクがあることは認識してたので、公式ディレクトリ以外からテーマを拾うことはなかったんですが、まさかここまでとは思いませんでした。

検証方法について

検証方法は元の記事でも紹介されていますが、公式ディレクトリで配布されている検証用プラグインをインストールしてチェックしているだけです。

ただし、実際に私が試してみたところ、この記事のようにはっきりとしたエラーが出なくても、他のテーマやWordPressコアのソースを書き換える悪意のあるコードが存在しました。

私が試した結果ではライブプレビューを行った時点で不正なコードを埋め込まれたので、もし怖いもの見たさで試す場合はくれぐれもご注意を!

そんなわけで、あえて検証方法は伏せておきます。

詳細を知りたい方は、元記事をよく読んで慎重にお願いします。

ちなみに一発でした。適当に選んだ一つ目のテーマ。そいつはすべてのテーマのfunctions.phpを書き換えてくれやがりました。ほんとにやばいっす。笑

テーマは公式ディレクトリからが鉄則です!

おさらいですが、公式ディレクトリ上のテーマを使用することは以下の様なメリットがあります。

  • 自動アップデートが利用できるので、手軽に最新版を使用することができる。
  • 膨大なフィードバックがあり、それらのフィードバックそのものもオープンにされている。
  • Codexに準拠したテストが行われているので互換性の問題が発生しにくい。
  • 無料!

よほど自信がない限り、公式ディレクトリ上のテーマを使うように心がけましょう。

これは僕も反省

公式ディレクトリ以外のサイトから拾ったテーマやプラグインが安全かどうかを検証するのは、残念ながら非常に困難です。

とか何とか言いながらも、私自身このサイト上で直接ダウンロードできるようにしているプラグインがあったりします。

このサイトで配布してるのは安全だよって言うのは簡単ですが、やっぱそれはちょっと違うなーとつくづく思いました。

さいわいほとんどのプラグインは公式ディレクトリにアップしていますが、まだそうでないものもいくつかありますので、順次公式ディレクトリにアップしていこうと思います。