Temas gratuítos de WordPress y su código oculto (encriptado)

Si bien el tema por defecto de WordPress (o de cualquier otro CMS) es totalmente válido, en nuestro afán de dar una imagen única y personal, solemos buscar en internet algún tema (theme) más acorde a nuestros gustos así como a la temática del blog. El problema es que en lugar de buscar en WordPress Themes, lo hacemos en Google.

Lo que mucha gente no sabe es que algunos de estos temas esconden algún que otro secreto en su supuesto altruismo. En el mejor de los casos, será un simple enlace al blog del autor (a más enlaces entrantes, mayor relevancia en los buscadores), aunque los hay que cargan en nuestra web código javascript malicioso.
 

¿Cómo eliminar este código?

Personalmente, me leo por completo cada fichero .php de cada tema que aplico en los blogs que mantengo, pero el código malicioso se suele encontrar principalmente en uno de los siguientes archivos:

.- footer.php (el más utilizado)
.- functions.php
.- header.php
.- sidebar.php
 
Esto es lo habitual, pero el código se puede encontrar en cualquier .php del tema. También los hay mucho más elaborados, los cuales “rompen” el CSS o el fondo del blog si eliminas el enlace del footer, los cuales suelen ser combinaciones de ofuscación en varios de los archivos que acabo de mencionar. Ahí ya entra la pericia de saber interpretar algo de PHP y encontrar el código correspondiente.
 
Dentro de la ofuscación de código (que así se le llama, no es que leernos el código nos ofusque), nos podemos encontrar principalmente tres tipos de encriptación:
 

base64_decode(‘CODIGO-OCULTO‘)

Uno de los más utilizados. Copiaremos lo que hay entrecomillado (en rojo en el ejemplo) y lo pegaremos en esta aplicación web para poder desencriptarlo. Una vez conozcamos el código real, modificaremos convenientemente el archivo .php de donde hayamos obtenido dicha codificación, para dejarlo limpio de enlaces inapropiados.

 

$_F=__FILE__;$_X=’CODIGO-OCULTO‘;eval(base64_decode

La segunda opción más utilizada. Copiaremos el código entrecomillado (en rojo en el ejemplo) y lo pegamos en esta web para desencriptarlo. Cuando podamos leer su contenido sabremos qué eliminar y qué texto deberemos reemplazar en el .php correspondiente.
 

$o=”CODIGO-OCULTO

La opción menos conocida, pero también utilizada en algunos temas. Igual que en los otros casos, copiamos el texto entrecomillado y lo pegamos aquí para desencriptarlo.

eval(gzinflate(strrev(unserialize(str_rot13(base64_decode(‘CODIGO-OCULTO‘))))));

Ojo!, tendremos que copiar justo todo lo que aparece en la línea de arriba, es decir, desde “eval” hasta el punto y coma, para ir a esta página y poder descifrarlo convenientemente.
 

¿No entiendes nada?

Vale, no te preocupes. Afortunadamente alguien ideó un plugin que escanea los archivos de tu tema para encontrar el código malicioso por ti, pero aun así serás tu quien deba desencriptarlo y eliminarlo convenientemente.

Si no consigues dar con la manera, no dudes en preguntarme.