前回、”free wordpress themes”って検索してテーマを探すと超ヤバイよ という記事を書きました。
お陰様でとても拡散したんですが、危険なテーマを見わけるための検証方法を伏せたのが裏目でちょっとあれだったので、それについて解説します。
Theme Authenticity Checker (TAC) によるチェック
WordPress › Theme Authenticity Checker (TAC) « WordPress Plugins
結論から言いますが、このプラグインによるチェックでは不完全でした。
実際に “free wordpress themes” で Google 検索して出てくる1つ目(苦笑)の ”http://www.themesbase.com/” というサイトのテーマで検証してみましょう。
今回は、このサイトの一つ目で紹介されている Pioneer というテーマに対して、TACプラグインでチェックしてみました。
TACプラグインは ”OK” といってますが、残念ながら違うんです…。
このプラグインでは悪意のあるコードを検出できていません。
なので、このプラグインでチェックしてOKだったからといって安心するのは大間違いです。
同じテーマに対してtheme-checkプラグインで検証した。
WordPress › Theme-Check « WordPress Plugins
これも結論からいうと不完全です。でもTACよりは、ちょっとはヒントになる情報を提供してくれます。
theme-checkプラグインでチェックして見た結果が以下の画面です。
仮に悪意のあるコードがなかったとしても、ギャラリー機能が崩れることが明白だったり、セキュリティホールで悪名高いライブラリ(timthumb.php)をつかってたり、突っ込みどころが満載で使い物になりません。
でも、そんな中で特に目を引くのが以下の行です。
え?画像を include() してる…?
普通は画像をHTMLに埋め込むには <img /> を使いますよね。
include() するのは、PHPのはずです。しかも tif だし…w
というわけで、テキストエディターで無理やり開いてみました。
ご覧のとおり、拡張子が tif のファイルの中に、PHPのソースが埋め込まれていますねー。
実行するのは嫌だし、ソースを見るのもめんどくさいので、詳しく検証していませんが、こんなことカタギがやる仕事じゃないです。断じて。
というわけで、theme-checkプラグインでかろうじて見つけることができましたが、ここで注意を!
theme-checkプラグインは、不正なコードを見つけたと明確に言ってるわけではありません。
警告のレベルも一番低い info です!
つまりマグレなんです…。そこはよーく理解しましょう。
というわけで結論
やばいテーマを見わけるための簡単な方法はないです!
唯一の方法はPHPソースを読んでしっかりと確認することです。
でも、安全なテーマを見つける方法は、割と簡単です。
信頼出来るところからテーマをゲットするだけでいいんですから!
安心できるテーマの入手先
念のため安心できるテーマの入手先について僕なりの考えをご紹介します。
- なんてったって wordpress.orgの公式テーマディレクトリ
- wordpress.org内の Commercially Supported GPL Themes で紹介されているテーマ
- BizBektor など開発元さんと連絡が取れる配布元のテーマ
などなど。
公式ディレクトリ以外のテーマは自動アップデートがきかないというデメリットはありますが、サポートなどの足まわりで頑張ってくれることを期待できる配布元がいいですよね!
ちなみにプラグインでも同じくです。
日本人でtwitter等でコンタクトが取れる人のプラグインなら、安心できるんじゃないかと思います。
僕としては、一部の不届きな人たちのために、WordPress = 危ない になってしまうのはとても残念なのでしつこく言いますが、入手先さえ間違えなければ、WordPressはほんっと素晴らしいですよ。
お知らせ(1)
11/10 のWordBecn 福井に講師として参加します。
AWS を使った超高速WordPressサイトの構築をハンズオン形式でみんなで構築する超お得な勉強会なので、福井県内と言わず全国津々浦々から参加どうぞーw
第10回勉強会『Amazon Web Services ハンズオン 〜ブラウザだけでWordPressサイトをつくってみるよ〜』のお知らせ | WordBench 福井
デジタルキューブの高速化サービス WP Booster の威力も体感してもらえますよー。
お知らせ(2)
この記事で紹介した theme-check プラグインはテーマを作る際には超便利です。
11/3の WordCamp Osaka 2012 でそのへんの話をさせて頂きますので、ぜひぜひ来てください。
タイトルは「信頼性が高くハイパフォーマンスなテーマ開発テクニックでライバルに差をつけろ!」です。