Plugin: Visitor Like/Dislike Post Rating setzt versteckte Links

Das WordPress Plugin Visitor Like/Dislike Post Rating [wordpress.org/extend/plugins/visitor-likedislike-post-rating/] setzt einen versteckten Link zu einer Pokerseite. Ohne viel weitere Kommentare von mir hier die INFO wo der versteckte Link gefunden werden kann.

Ab Zeile 69 in der visitor-likedislike-post-rating.php

function FooterLink() {
		$l = array('en', 'de');
		$wpLang = 'en';
		echo '<div style="display: none;"><a  >Full Tilt Poker Referral Code    </a></div>';
	}

da ich den Codedarstellungsprogrammen niemals trau, habe ich hier oben den Link de facto unbrauchbar gemacht.

Ich meldete es auch im WordPress.org Forum.

11

11 Beiträge zu “Plugin: Visitor Like/Dislike Post Rating setzt versteckte Links

  1. Kommentar Autor
    Robert
    Kommentar

    Das werden wir noch oft erleben :( Die Versuchung für Pluginautoren ist einfach zu groß, hier schnell Kohle zu machen, und im WordPress-Pluginverzeichnis gibts de facto keine Qualitäts-Kontrolle.

  2. Kommentar Autor
    flöschen
    Kommentar

    Ehrlich gesagt, finde ich diese versteckten Links eine Frechheit. Ich hoffe nur, dass dies nicht allzu oft vorkommt bei Plugins auf wordpress.org, denn schliesslich kann ich nicht jedes mal hunderte Zeilen Code durchkämmen, um sicher zu gehen.

    Auf jeden Fall dir einen grossen Dank für diesen investigativen Blogartikel! ;-)

  3. Kommentar Autor
    Monika
    Kommentar

    och Danke Dir — und ich erfreue mich an Deinen Avatar – hach wie ich in Liebe .. ;) den Avatar!

    wenn es vorkommt, wirds bald publik, da kann man auf die WP Gemeinde vertrauen

  4. Kommentar Autor
    Malte
    Kommentar

    Wow … das ist eine Frechheit. Ich finde es unmöglich! Vielen Dank für den Hinweis.

    Wie bist du darauf gestoßen? Ich schaue immer mal wieder meinen Quelltext an … schadet nicht.
    Hast du dafür ein Script laufen? Gibt es da überhaupt soetwas?

  5. Kommentar Autor
    Thomas Scholz
    Kommentar

    Merke: Setze niemals Code ein, den du nicht vollständig gelesen und verstanden hast. Ein Plugin kann auch das Administratorpaßwort nach Hause mailen.

  6. Kommentar Autor
    Monika
    Kommentar

    stimmt Thomas, aber das kann für so unendlich viele WP Nutzer nicht die Realität sein, weil sie keine Programmierer sind.

    Es ist für mich einfach unverständlich, dass auf WP.org eingestellt Themes auf Herz und Nieren geprüft werden, dass man aber Plugins einfach so hochladen kann.

    lg

  7. Kommentar Autor
    Thomas Scholz
    Kommentar

    Plugins werden über SVN verwaltet, was kleine Änderungen sehr erleichtert und somit auch eine hohe Aktualisierungsfrequenz erzeugt. Um jede Änderung der aktuell 4245 Plugins zu prüfen, müßte man mehrere Leute einstellen. Und nicht irgendwelche Leute, sondern teure Profis. Wie soll sich das rechnen?

    Und welche Qualitätsstandards soll man anlegen? Ein Backlink zum Autor ist ja nicht immer schlimm. Und wenn dem nun eine Kartenspielseite gehört … tja, da wird es schwierig.

    Ich sähe beispielsweise gerne die Pflichten, den globalen Namensraum und die Optionstabelle so rein wie nur möglich zu halten, also Klassen und Options-Arrays zu benutzen. Außerdem müßte sich jedes Plugin einem harten XSS-Test unterziehen und einer Accessibilty-Prüfung für Front- und Backend.
    Da brächen gut 90% aller Plugins schon weg, ehe sie auch nur einen Link eingepflanzt hätten.

    Aber es gibt eben zu viele Leute, die sich mit zweit- oder drittklassigen Plugins begnügen, Sicherheitslücken, Performanceeinbrüche und Zugänglichkeitsprobleme in Kauf nehmen und sich bei einem Verbot solcher Schadware laut empörten.

    Eine echte Qualitätskontrolle halte ich bei den WordPress-Plugins für fast unmöglich.

  8. Kommentar Autor
    Malte
    Kommentar

    @Thomas: Ein paar sehr gute Anmerkungen, wie ich finde. Vielen Dank. Die Nicht-Programmierer werden allerdings immer auf Hinweise von außen angewiesen sein. Ich bin technisch nicht ganz unbewandert. Allerdings würde ich auch nur das Grobe entdecken. Sind euch Artikel bekannt, wie man Plugins auf Performance etc. prüfen kann. Ich würde mich da in nächster Zeit gern weiter einarbeiten, da jedes Plugin/Update mein Vertrauen erneut auf die Probe stellt und ich das schon gern kontrollieren möchte :-)

  9. Kommentar Autor
    Puh
    Kommentar

    Kann man nur hoffen dass der Plugin-Autor lebenslang auf WordPress.com für das Veröffentlichen von Plugins gesperrt wird.

  10. Kommentar Autor
    Tobi
    Kommentar

    Echt ne Sauerei, aber zum Glück gibts so viele Profis unter den Usern dass sowas recht schnell raus kommt.
    Hoffe auch dass der lebenslang gesperrt wird!