Afgelopen week postte DailyM een stuk ‘geheime’ tracking code uit een WordPress thema op Flickr. Enorm geheim is deze tracking code niet maar als je geen verstand van PHP of programmeren hebt zul je ‘m niet snel tegenkomen. Deze code zat verstopt in het thema Cellar Heat, gemaakt door Evan Eckard.

Wat doet deze code?

De code controleert of het bestand whatwhat.css bestaat in de template-map. Als dit bestand aanwezig is zal de code dit bestand verwijderen (het bestand is leeg en wordt niet gebruikt dus dat geeft niet) en zal vervolgens een mail versturen naar cellarheat.theme@gmail.com. In deze mail staat op welke domeinnaam dit thema wordt gebruikt en in welke directory het thema geinstalleerd is.

Waarom gebruikt de maker deze code?

Evan gaf aan dat deze code veel gratis WordPress themes te vinden is en daar heeft hij gelijk in. Ik ben deze code (maar controleert dan op een andere bestandsnaam en verstuurt de mail naar een ander e-mailadres) al erg vaak tegenkomen in gratis themes. De reden dat de makers deze code gebruiken is dat ze graag willen weten hoe vaak hun thema geinstalleerd wordt. Dit aantal schijnt behoorlijk af te wijken van het aantal downloads. Dat is goed mogelijk want je zou je kunnen voorstellen dat je zo’n thema zou willen delen met vrienden via MSN of iets dergelijks.

Waarom is dit spyware?

De mening over de exacte definitie van ‘spyware’ wil wel eens verschillen, daarom zal ik mijn definitie geven:

Spyware is (een deel van) software die zonder medeweten van de gebruiker wordt geïnstalleerd en gegevens over het gedrag van de gebruiker registreert.

Ik ben tijdens het downloaden van een gratis thema nog nooit een waarschuwing tegengekomen dat er (eenmalig) een mail wordt verstuurd als het thema wordt geinstalleerd. Het installeren is het verslepen van de map van je computer naar de webserver dus daar kan ook geen melding worden weergegeven. Wat wel een oplossing voor de makers zou kunnen zijn is een melding weergeven in de omschrijving van het thema, maar dat ben ik tot dusver nog nooit ergens tegengekomen.

Het gevaar

In dit geval worden er geen ‘echte’ persoonsgegevens gestuurd naar de maker van dit thema maar dit zou technisch gezien wel kunnen.

Eigenlijk zijn er twee grote gevaren als je gratis WordPress thema’s installeert zonder eerst de code te controleren:

• WordPress thema’s zouden persoonlijke gegevens uit je WordPress installatie (of webserver) naar iemand kunnen sturen;
• WordPress thema’s zouden gebruik kunnen maken van je webserver om bijv. spam te versturen. Elke keer als een bezoeker een pagina aanroept zou het script bijvoorbeeld 100 mails naar willekeurig adressen kunnen versturen.

 

De oplossing voor de gebruikers

Als je geen verstand van PHP of programmeren hebt is het lastig te snappen wat de code in thema’s doet. Zelf controleren of er ‘kwaadaardige’ code instaat zal dus lastig blijven. Ook als je wel verstand van PHP of programmeren hebt zal het niet leuk zijn om de code na te lopen want het is wel tijdrovend. Wat ik wel aan kan raden is:

• het thema altijd downloaden vanaf de site van de maker zodat niet iemand anders ‘kwaadaardige’ code heeft kunnen toevoegen
• reacties van andere gebruikers over het thema nalezen
• als het besturingssysteem het ondersteunt: zoeken op ‘mail’ in de inhoud van bestanden van het thema

Helemaal feilloos zal het niet zijn maar het is wel belangrijk om in elk geval op de hoogte te zijn van de risico’s. 

 

P.S. Evan Eckard heeft de tracking code uit zijn thema verwijderd na aanleiding van de afbeelding op Flickr. Hulde! Dit illustreert tevens nog eens het probleem: als je zijn thema niet vanaf zijn site maar vanaf een andere website download zal de tracking code er nog steeds inzitten.