¿Como influye un theme para wordpres en cuestiones de seguridad?

Alguien sabe si existe una relacion entre la seguridad de nuestro sitio con worpres y

el theme del mismo.


¿Como podriamos saber qu el theme que utilizamos es seguro y no implica que sea mas vulnerable ?

Hay themes que meten mucha mano en la base de datos, cren directorios, etc...
Pero en realidad depende del control que tengas sobre el sitio.
Revisa que no tenga archivos desconocidos para WP y que no haya archivos codificados...

depende y mucho.
un theme que de la opcion de agregar post (desde una pagina, no desde el panel de WP) es una bomba atomica si no esta bien cuidado, lamentablemente yo tengo que usar unos de esos themes por que asi se adapta mi pagina. Y eso si.. busca una empresa de renombre si lo necesitas si o si, no compres el mas barato, lo digo por experiencia propia.

en cambio si usas un theme que no agrega post (como mencione arriba) la seguridad pasa por las licencias.
Muchos themes premium, si miras, en el footer mayormente, ponen un codigo codificado en BASE64. Ese codigo no esta de adorno, porque hace 2 cosas:

1. da una funcion al theme para que funcione como se debe (y asi no lo puedas sacar y quede si o si el codigo base64)
2. el codigo base64 mayormente incluye un GET hacia algun servidor, es la unica forma que ellos tienen para controlar quien tiene su theme premium y asi, el que lo robo o lo consiguio pirata, lo dan de baja al dominio y de la noche a la mañana te encuentra con miles de post spam (los mas sutiles) o cosas peores.

por ende.. ten en cuenta:

• El mejor theme, es el que vos creas. Si no sabes o podes crear...
• El segundo mejor theme es el que compras de una empresa respetable de renombre y confiable que podes editar el theme a tu gusto.
• El tercero es un theme OpenSource donde puedas ver que hace cada cosa. (pongo esto como tercero y no segunda lugar porque en muchos casos, es mas facil encontrar fallas de algo opensource (porque el codigo esta abierto a todos) que de un theme privado (que no da el codigo, solo muestra el resultado el server)

Los archivos codificados con BASE64...podes
Borrar el codigo...
O
Reemplazar el archivo completo, haciendo las llamadas logicas al style...

si en el codigo BASE64 pongo las siguientes funciones:

1. llamo a los CSS
2. genero un ajax que muestra post relacionados con cierto criterio respecto a una estadistica determinada
3. chequea el usuario que esta en la pagina
4. y genera permalink y un texto con especificaciones.
5. llama a un server externo para comprobar que el theme "premium" que usas es legal.

la opcion 1 y 4 la puedo hacer a mano, la opcion 5 es inecesaria, pero la opcion 2 y 3 son necesarias y muy importanes, por lo tanto, no puedo borrar el BASE64 porque dejara de funcionar el theme y no me sirve.

ahora... de que podes borrarlo eso es seguro y no te lo discuto.
pero hay funciones que estan ocultas y no te la van a decir para que no modifiques el theme (y en especial, el verificador de "legalidad" jeje)
te lo digo porque trabajo seguido con themes premium y casi siempre me pasa eso con los BASE64
Como poder borrarlos, obvio que podes borrarlos, ahora.. de ahi a que al borrarlos no pierdas funcionalidad, es otro tema enorme.

No solo en themes premium ahora ves codificaciones....se las ve tambien en los gratuitos.
No deberia perder ninguna funcionalidad...por ejemplo si reemplazas un footer.php de un theme, le repones las funciones o creas otras nuevas

He visto algun que otro generador de clicks codificados y ya el hecho de la codificacion, me pone en duda todo el theme...y tenes que revisar archivo por archivo...

si podes sacarlo al BASE64, pero repito...
como sabes que no afecta al funcionamiento o que con solo la primera ejecución modifique algo en el nucleo del WP o deje algo por ahi dando vueltas?
(pongamosnos sinceros y admitamos que la gran mayoria, instala un theme, lo ACTIVA, ve que se ve bien y luego empieza a modificar)

o sea... no podes saber que hace un BASE64, solo suponer y con el suponer no tenemos seguridad.

Claro...justamente...como a veces no se puede decodificar para ver...es mejor no tenerlo...

Y...lo ideal, antes de instalar, siempre seria mejor revisarlo por las dudas....

Y si no se es conocedor de wp...tratar de no colocar nada que no sea oficial...aunque no es 100% garantia tampoco...