Ja, Sie haben richtig gelesen. Hier ist das Angebot:
- WPTavern interviewt einen Split-Testing-Dienst
- Split-Testing-Dienst-Website wird als Malware markiert (schrecklicher Zeitpunkt, ich weiß).
- Warum? Weil ihre style.css einen Kommentar enthielt, der sich auf eine andere Website mit einer tatsächlichen Malware-Infektion bezog. Das ist alles. Lesen Sie mehr darüber in diesem Kommentar.
Wenn Sie ein WordPress-Berater, -Entwickler oder etwas Ähnliches sind und Ihr Kunde mit einem „Malware“-Warnproblem zu Ihnen kommt, sollten Sie sich dieser Möglichkeit definitiv bewusst sein.
Die Oberseite der style.css-Datei eines WordPress-Themes
Ganz oben in der style.css-Datei jedes WordPress-Themes kann ein Theme die folgenden (optionalen) Informationen enthalten, um sich selbst zu beschreiben. Hier ist ein Beispiel:
/*
Theme Name: Theme Lab
Theme URI: http://www.themelab.com/
Description: Das Theme, das ich für Theme Lab verwende.
Author: Leland Fiegel
Author URI: http://leland.me/
Version: 1.0
License: Not Applicable License v2.0
License URI: http://example.com/not-for-release-i-dont-need-a-license
*/
WordPress verwendet dies, um bestimmte Informationen auf der Themes-Seite in Ihrem Adminbereich anzuzeigen (mehr dazu später). Es wird auch verwendet, um eine Seite im WordPress.org-Theme-Verzeichnis zu generieren, falls sie dort eingereicht und akzeptiert wird.
Wenn die URL, die neben „theme URI“ und „author URI“ aufgeführt ist, als Malware markiert ist, könnten auch Sie als Malware markiert werden, nur weil Sie darauf verweisen.
Gesponserte Themes und zwielichtige Websites
Es ist seit langem bekannt, dass Links zu zwielichtigen Websites Sie potenziell bestrafen und als Malware markieren können. Dies war ein heißes Thema während der Ära der „gesponserten Themes“ sowie bei der Diskussion über zwielichtige Theme-Websites.
Als Malware markiert zu werden, weil man auf eine mit Malware infizierte Website verlinkt, ist völlig verständlich, denn nun ja… Sie verlinken direkt auf eine möglicherweise infizierte Website, auf die Ihre Besucher dann klicken und sich ebenfalls infizieren könnten.
Aber als Malware markiert zu werden, weil ein auskommentierter URL-Verweis in einer Stylesheet-Datei vorhanden ist? Das ist sicherlich neu für mich. Wie schützt man sich davor?
Vorbeugendes Entfernen von URL-Verweisen in Stylesheets
So ziemlich alle veröffentlichten Themes enthalten einen Link zurück zu WordPress.org und/oder zur Website des Theme-Entwicklers. Viele entfernen diese ausgehenden Links (aus „SEO“-Gründen oder was auch immer).
Nicht viele denken überhaupt daran, die Kreditinformationen aus ihrer Stylesheet-Datei zu entfernen. Die einzigen Leute, die sich diese Dinge ansehen, sind meist andere Entwickler. Ich persönlich überprüfe häufig die style.css-Dateien von WordPress-Websites, um zu sehen, welches Theme sie verwenden, ob es vorgefertigt oder benutzerdefiniert ist usw.
Es stellt sich heraus, dass nicht nur Entwickler auskommentierte Dinge in Ihrer style.css-Datei überprüfen, sondern auch Google-Bots.
Da dies etwas ist, das Sie völlig nicht kontrollieren können (d. h. der Malware-Status einer Drittanbieter-Website, wahrscheinlich Ihres Theme-Entwicklers), könnte es sich lohnen, die Author URI und Theme URI in Ihrer style.css-Datei zu entfernen. Sogar die License URI, nur um auf der sicheren Seite zu sein.
Hoffentlich können neugierige Entwickler die Ursprünge eines Themes durch Googeln des Theme-Autors und/oder Namens herausfinden, um dessen hoffentlich nicht mit Malware infizierte Website zu finden.
Verweist lediglich auf eine auskommentierte URL in CSS… Malware?
Der vielleicht beunruhigendste Teil dieser Nachricht ist, dass selbst wenn ich die spammigste, mit Malware verseuchte Website in meinem CSS mit auskommentiertem Code referenziert hätte, wie stellt das eine Gefahr für meine Besucher dar?
Es ist nicht so, als würde ich eine externe Ressource von einer infizierten Website laden. Es ist nur ein Kommentar. In CSS. Völlig harmlos, oder?
Wie ich oben erwähnt habe, sind die meisten Leute, die den Stylesheet-Code überprüfen, andere Entwickler. Selbst wenn sie die URL in ihren Browser kopieren und einfügen und sich mit imaginärer Malware infizieren, bin ich der Meinung, dass Googles Richtlinie bestenfalls übertrieben ist (vorausgesetzt, dies ist tatsächlich eine Richtlinie und kein Fehler in ihren Malware-Überprüfungsmechanismen).
Es ist auch erwähnenswert, dass diese Theme- und Author-URIs als tatsächliche Links im WordPress-Adminbereich angezeigt werden. Es mag Googles seltsame Art sein, WordPress-Benutzer zu schützen, nicht unbedingt Leute, die Ihre style.css-Datei durchsuchen.
Fazit
Wir alle wissen, dass Google und andere große Suchmaschinen Ihr CSS scannen, um nach dummen „Black Hat“-Textverstecktechniken (negative Text-Einrückungen, display: none, visibility: hidden, passende Vordergrund- und Hintergrundfarben) und anderem zu suchen.
Man kann sicherlich dafür bestraft und gesperrt werden, wenn man so etwas Dummes tut, das ist eine bekannte Tatsache. Eine Malware-Warnung für auskommentierten Code in CSS? Nicht so bekannt.
Von Google wegen Malware markiert zu werden, ist so ziemlich der SEO-Selbstmord. Ich musste mich glücklicherweise noch nie damit auseinandersetzen, obwohl man davon ausgehen kann, dass mein Suchmaschinenverkehr einbrechen würde, wenn ich jemals eine bekommen würde.
Ich würde mich auch wirklich schlecht fühlen, wenn man bedenkt, dass jede Website, die ein Theme Lab-Theme verwendet, möglicherweise ebenfalls wegen Malware markiert werden könnte, nur weil die URL von Theme Lab im Theme-Stylesheet referenziert wird.
Sie möchten die Schuld für den Malware-Status einer anderen Website nicht mittragen, wenn Sie es nicht müssen, selbst wenn der Malware-Status der ursprünglichen Website versehentlich verursacht wurde.
Also ja, erwägen Sie, die Author URI und Theme URI in Ihrer style.css zu entfernen. Egal wie gut der Ruf des Autors/Themes ist, jeder kann potenziell gehackt werden, und es könnte Ihnen zukünftige Kopfschmerzen für etwas ersparen, das nicht Ihre Schuld ist.
Gut zu wissen, danke!
Danke fürs Teilen, Leland! Das ist das erste Mal, dass ich von dieser Art von Problem höre.
WordPress-Benutzer müssen das wissen. Ich werde dies in meiner Wochenend-Zusammenfassung vorstellen und wenn ich Zeit habe, werde ich vielleicht auch darüber posten.
Es ist wirklich wichtig, sorgfältig auszuwählen, woher Sie WordPress-Themes herunterladen oder kaufen.
Danke JP, ebenso, ich habe noch nie davon gehört, bevor ich das gepostet habe.
Das Beängstigende ist, dass selbst ein seriöses Theme-Unternehmen potenziell mit Malware infiziert sein kann. Sie könnten sogar das Ziel solcher Angriffe sein, weil sie so beliebt sind.
Es ist nicht nur eine Warnung vor der Verwendung von Themes von zwielichtigen Seiten.
Ja Mann, ich habe das schon mal gesehen und meine Links entfernt. Auch wenn es dem Theme-Autor Anerkennung verschafft. Ich lasse ihren Namen immer noch drin, wenn ich ein benutzerdefiniertes Theme verwende, das modifiziert wurde oder so etwas.
Verrückt, wie Bots funktionieren, ehrlich gesagt, es kann ein wenig nervig sein und Leute haben mich das schon mal gefragt.
Ich bin sicher, dieser Beitrag wird ihnen auf lange Sicht helfen 🙂
Hey Anto, wann hast du zum ersten Mal so etwas gesehen? Ich konnte keine anderen früheren Berichte darüber finden.