Sie sind hier: Home / / Eine kleine Warnung für Nutzer von WooThemes-Themes

Eine kleine Warnung für Nutzer von WooThemes-Themes

von Christian am 20. August 2010

Momentan arbeite ich an einem Redesign des Blogs auf Basis des Themes “The Morning After” von WooThemes. Während ich auf der Suche nach einem kleinen Fehler war bin ich über eine Möglichkeit gestolpert wie man bei (anscheinend) allen Themes von WooThemes von aussen die Theme-Einstellungen des jeweiligen Themes abfragen kann.

In den Einstellungen der Themes stehen zwar keine wirklich kritischen Dinge, allerdings kann dort je nach Theme und Konfiguration die Kontakt-EMailadresse enthalten sein an die Kontaktformulare geschickt werden. Diese Adresse ist normalerweise für Besucher nicht sichtbar.

Problematisch finde ich diese Lücke aus drei Gründen:

  • Es geht mir generell gegen den Strich wenn irgendein Theme-Entwickler eine so leicht zu gebrauchende “Hintertür” in seinen Code einbaut mit der er (oder jeder der weiss wie es geht) Daten von meinem Blog abfragen kann.
  • Spammer könnten theoretisch problemlos einen Bot schreiben der die EMail-Adressen einsammelt.
  • Es fördert nicht gerade das Vertrauen in eine Firma wenn sie solche Mechanismen in ihre Produkte einbaut.

Da ich keinen Zugriff auf die Foren bei WooThemes habe weiss ich nicht, ob der Weg den ich entdeckt habe nicht offiziell irgendwo dokumentiert ist, aber für mich ändert sich dadurch eigentlich nichts. “Richtiger” wäre es gewesen dieses Feature über die Admin-Oberfläche an/auschaltbar zu machen.

Ich will hier keine Details veröffentlichen wie man diese “Lücke” nutzt, daher gibt es nur einen Fix mit der man sie schliesst:

In der Datei admin-setup.php (im functions-Ordner des jeweiligen Themes) muss man diese zwei Zeilen löschen:

if ($decode == 'true')
        echo '<meta name="generator" content="' . get_option('woo_settings_encode') . '" />';

danach können diese Infos nicht mehr von aussen abgefragt werden.

(( Ich weiss, dass jeder mit minimalsten PHP-Kenntnissen nach einem Blick auf den Code an dieser Stelle eh weiss wie man die “Lücke” nutzt – aber das kann ich leider nicht ändern ))

Und bevor jemand motzt: ich habe WT bzgl. dieser Funktion kontaktiert aber keine Antwort bekommen.

Veröffentlicht in

Kurz-URLs:http://tinyurl.com/4cfjjtm
http://bit.ly/cDdZSu

Verwandte Themen:

  1. loads.in – Von über 50 Orten aus testen wie schnell eine Seite lädt

Christian

Baujahr 1976, Software-Entwickler und Web-Designer aus Leidenschaft, Erfahrung in gefühlten 9342049 Programmiersprachen (PHP, Perl, C#, VB.Net, VB6, Delphi um nur einige zu nennen), in der Vergangenheit an diversen Open Source Projekten beteiligt (allen voran das gute alte YaBB und YaBB SE)