Chi usa WordPress è sempre alla ricerca di uno stile appropriato da conferire alla grafica del proprio blog o del proprio sito. I temi WordPress sono pensati per aiutare gli amministratori in questo arduo compito ed è per questo che spesso ci si ritrova a scartabellare fra la miriade di temi WordPress disponibili online per cercare il migliore, ossia quello che meglio rappresenta la propria idea grafica per il blog o il sito in costruzione.
Data la varietà di proposte, per quanto trovare quello graficamente giusto fra i temi WordPress disponibili online sia molto semplice, risulta comunque complicato individuare il tema che dia anche delle garanzie dal punto di vista della sicurezza. Come già discusso nella prima parte di questa tematica, i temi WordPress sono progettati in linguaggio PHP e JS e, di conseguenza, possono contenere al loro interno delle falle o comunque dei bug capaci di minare la sicurezza dell’intero blog o del sito in progettazione.
Esistono però tutta una serie di trucchi e di buone norme da seguire per essere sempre certi che il tema in questione che si sta acquistando sia sicuro e quanto meno privo di bug importanti dal punto di vista dell’integrità.
Nel corso dell’appuntamento precedente, si sono già affrontati i primi quattro trucchi per riconoscere un tema valido da uno che potrebbe risultare poco sicuro e nel prosieguo si darà conto di altre quattro buone norme da tenere sempre presenti quando si ricerca il migliore fra i tanti temi WordPress disponibili in Rete.
Temi WordPress: mai scaricare quelli gratuiti!
Se non provenienti da una fonte più che certa, come il repository disponibile direttamente sul portale di WordPress, è sempre meglio evitare di scaricare e utilizzare i temi WordPress disponibili gratuitamente sulla Rete. Questi temi WordPress potrebbero contenere codice malevolo o bug capaci di mettere a repentaglio le performance e la sicurezza del proprio blog. E’ infatti semplice inserire nel codice dei temi WordPress un sistema di controllo per inviare a chi li ha programmati i dettagli di accesso o degli utenti che visitano il blog o anche altri dati di una certa entità dal punto di vista della sicurezza. Per gli stessi motivi è bene evitare di individuare le versioni illegali e gratuite dei temi WordPress a pagamento.
Temi WordPress: il nemico è base64_decode
I più informati la conoscono già, ma molti ne ignorano l’esistenza. La funzione base64_decode, per quanto nata a fini benevoli, in realtà viene utilizzata spesso con fini poco ortodossi. Questa funzione può essere usata nei temi WordPress per nascondere l’integrazione nel tema di un determinato script esterno. Ad esempio, qualora si debba caricare uno script nel tema prescelto, invece che trovarsi la dichiarazione:
<script type=”javascript” href=”http://dodgy.com/script.js”> </script>
ci si potrebbe trovare la dicitura:
$str = base64_decode(‘PHNjcmlwdCB0eXBlPSJqYXZhc2NyaXB0IiBocmVmPSJodHRwOi8vZG9kZ3kuY29tL3NjcmlwdC5qcyI+PC9zY3JpcHQ+’);
In questo modo ci si troverebbe in esecuzione uno script di cui non si riuscirebbe a trovarne traccia nel codice del tema scelto. Qualora nei temi WordPress si trovasse questo riscontro, bisogna analizzare se vi sono script autorizzati che devono essere caricati, in caso contrario è consigliabile eliminare ogni singola istanza che fa riferimento alla funzione base64_decode. Se non si riesce a eliminarla, conviene contattare lo sviluppatore per chiedere come e perché la funzione viene utilizzata.
Temi WordPress: non fidarsi mai dello sviluppatore!
Per quanto lo sviluppatore del tema prescelto sia rinomato e abbia al suo attivo centinaia di temi WordPress già sviluppati, non bisogna mai fidarsi. Capita non raramente, purtroppo, che sviluppatori ufficiali per WordPress non tengano conto dei requisiti minimi indicati dalla comunità WordPress ai developer per evitare problemi, errori, cadute di performance e rallentamenti, ignorando quelle che in gergo si definiscono le best practices. Bisogna dunque sempre stare con gli occhi aperti e ricevere quanti più feedback possibili sul tema scelto e sul suo sviluppatore.
Temi WordPress e un piccolo test
Infine, anche i neofiti possono fare un piccolo test al tema prescelto. Ad esempio, si confrontino queste due porzioni di codice che si possono ritrovare nel codice dei temi WordPress acquistati. Se al posto di:
wp_register_style(‘random-css-style’, get_template_directory_uri() . ‘/css/random-style.css’); wp_enqueue_style(‘ random-css -style’); wp_enqueue_script(‘functions-script’, get_template_directory_uri() . ‘/js/functions.js’);
si trova:
<link rel=”stylesheet” type=”text/css” media=”all” href=”http://domain.com/wp-content/themes/themename/css/random-style.css” /> <script type=’text/javascript’ src=’ http://domain.com/wp-content/themes/themename/js/functions.js’>
allora forse è il caso di dubitare dell’intero tema e della bravura dello sviluppatore, visto che le funzioni wp_enqueue_style() e wp_enqueue_script() sono facili da implementare e fanno parte del core di WordPress. Nel caso in cui ci si accorgesse di una cosa del genere, conviene farsi rimborsare e tornare alla ricerca fra i tanti altri temi WordPress, nella speranza di trovare quello giusto anche dal punto di vista della sicurezza!