¿Qué tanto acceso a la instalación de WP tiene un tema de WP?

Hola.

La pregunta es esa: ¿Qué tanto acceso a la instalación de WordPress puede tener un tema de WordPress?

Verán, es que buscando un tema, fui a parar a una página de esas de warez donde podía descargar un (muchos) tema premium de pago.

Me vino una duda y a la cual viene mi pregunta: Si yo fuera un programador de PHP malintencionado que de alguna manera me consiguiera un tema de pago legal muy codiciado (comprándolo o hackeando el sitio, por qué no) para luego “regalarlo” en uno de estos sitios warez, ¿yo podría insertar código que, por ejemplo, una vez instalado el tema en un sitio lea el usuario y la contraseña de la base de datos (que están en texto plano en wp-config.php) y me los envíe a un servidor FTP, por ejemplo?

¿Eso sería posible? ¿Puede un tema tener acceso a todos los archivos del sitio en el que se encuentra?

Como posible, es posible. Se puede preparar el theme para que al instalarse envíe un correo con alguna información relevante como puede ser la url en la que se ha instalado. Yo he trabajado artículos para graphicriver (que a nivel de themes para wordpress es themeforest) y los archivos pasan por una buena revisión antes de ser aprobados. Ese tipo de conductas seguro que son penalizadas y también estoy seguro de que revisan los themes a fondo.

Así que desde mi punto de vista, posible es. Probable, lo dudo.

lo unico que tiene que tener permisos 777 es la carpeta del /themes/tutema...asi no habria escalamiento de privilegios...

Puede ser posible. Pero por lo general, themes de pago vienen con algún script en sus funciones que al hacer este tipo de modificaciones te lanzan warnings al acceder.

Asegúrate comprando el theme a servicios reconocidos o desarróllalo tu mismo, hay mucho material para poder hacerlo.

Bye.