ヤバイWordPressテーマを見分けるための方法

お陰様でとても拡散したんですが、危険なテーマを見わけるための検証方法を伏せたのが裏目でちょっとあれだったので、それについて解説します。

Theme Authenticity Checker (TAC) によるチェック

結論から言いますが、このプラグインによるチェックでは不完全でした。

実際に “free wordpress themes” で Google 検索して出てくる１つ目（苦笑）の ”http://www.themesbase.com/” というサイトのテーマで検証してみましょう。

今回は、このサイトの一つ目で紹介されている Pioneer というテーマに対して、TACプラグインでチェックしてみました。

TACプラグインは ”OK” といってますが、残念ながら違うんです…。

このプラグインでは悪意のあるコードを検出できていません。

なので、このプラグインでチェックしてOKだったからといって安心するのは大間違いです。

これも結論からいうと不完全です。でもTACよりは、ちょっとはヒントになる情報を提供してくれます。

theme-checkプラグインでチェックして見た結果が以下の画面です。

仮に悪意のあるコードがなかったとしても、ギャラリー機能が崩れることが明白だったり、セキュリティホールで悪名高いライブラリ（timthumb.php）をつかってたり、突っ込みどころが満載で使い物になりません。

でも、そんな中で特に目を引くのが以下の行です。

え？画像を include() してる…？

普通は画像をHTMLに埋め込むには <img /> を使いますよね。

include() するのは、PHPのはずです。しかも tif だし…w

というわけで、テキストエディターで無理やり開いてみました。

ご覧のとおり、拡張子が tif のファイルの中に、PHPのソースが埋め込まれていますねー。

実行するのは嫌だし、ソースを見るのもめんどくさいので、詳しく検証していませんが、こんなことカタギがやる仕事じゃないです。断じて。

というわけで、theme-checkプラグインでかろうじて見つけることができましたが、ここで注意を！

theme-checkプラグインは、不正なコードを見つけたと明確に言ってるわけではありません。

警告のレベルも一番低い info です！

つまりマグレなんです…。そこはよーく理解しましょう。

やばいテーマを見わけるための簡単な方法はないです！

唯一の方法はPHPソースを読んでしっかりと確認することです。

でも、安全なテーマを見つける方法は、割と簡単です。

信頼出来るところからテーマをゲットするだけでいいんですから！

念のため安心できるテーマの入手先について僕なりの考えをご紹介します。

などなど。

公式ディレクトリ以外のテーマは自動アップデートがきかないというデメリットはありますが、サポートなどの足まわりで頑張ってくれることを期待できる配布元がいいですよね！

ちなみにプラグインでも同じくです。

日本人でtwitter等でコンタクトが取れる人のプラグインなら、安心できるんじゃないかと思います。

僕としては、一部の不届きな人たちのために、WordPress = 危ないになってしまうのはとても残念なのでしつこく言いますが、入手先さえ間違えなければ、WordPressはほんっと素晴らしいですよ。

11/10 のWordBecn 福井に講師として参加します。

AWS を使った超高速WordPressサイトの構築をハンズオン形式でみんなで構築する超お得な勉強会なので、福井県内と言わず全国津々浦々から参加どうぞーｗ

デジタルキューブの高速化サービス WP Booster の威力も体感してもらえますよー。

この記事で紹介した theme-check プラグインはテーマを作る際には超便利です。

11/3の WordCamp Osaka 2012 でそのへんの話をさせて頂きますので、ぜひぜひ来てください。