如何检测/防止第三方代码拨号回家？

Question

上下文：

第三方代码对于任何开源的CMS都是常见的，例如WordPress插件和主题。最近，我在网上看到了一些关于插件/主题的文章，这些文章向作者发送信息。

我感到关切的是：

1. 当插件/主题向作者发送信息时，我无法告诉。
2. 我无法告诉插件/主题发送给作者的信息(电子邮件、URL、站点访问跟踪、仅限于完全数据库访问等)。

无论作者是否恶意使用这一信息，在这件事上缺乏可见度对我来说是令人沮丧的。我只是想从原则上知道。

我试过的是：

1. 我已经禁用了各种函数，如CURL和fopen，但据我所知，为了实现相同的功能，可能存在一些回退函数。
2. 我以多种方式保护了我的网站，包括修改目录/文件权限、恶意软件扫描、黑名单、安全审计、防火墙等。
3. 我密切关注FireFox的脚本阻止程序来检测第三方。
4. 我为已知的恶意代码运行各种插件/主题的代码扫描，并定期更新定义。
5. 我已经看过FireFox的Ghostery，但是这个插件/主题是活动的，如果插件/主题是恶意的，这可能已经太晚了。

我的问题是：

我怎样才能知道哪些插件/主题正在调用主/发送信息，以及到底发送了哪些信息？

• 是否存在插件或在线解决方案来检测这一点？
• 是否就像禁用某些PHP函数一样简单？
• 如果我需要手动查找代码(请记住，恶意代码已经被扫描)，我应该注意哪些功能？

Answer 1

如果这是一个.NET应用程序，您可以将Fiddler安装为系统级代理，信任它的根证书，并查看来自计算机的所有通信量。

关于如何配置this question，请参阅Eric对它的回答。

我不确定这是否也适用于PHP应用程序。我甚至不确定你是不是在Windows机箱上。