Sí, leíste bien. Este es el asunto:
- WPTavern entrevista a un servicio de pruebas divididas
- El sitio del servicio de pruebas divididas es marcado por malware (terrible momento, lo sé).
- ¿Por qué? Porque su style.css tenía un comentario que hacía referencia a otro sitio con una infección de malware real. Eso es todo. Lee más al respecto en este comentario.
Si eres un consultor de WordPress, desarrollador o lo que sea, y tu cliente se acerca a ti con un problema de advertencia de "malware", definitivamente deberías ser consciente de esta posibilidad.
La parte superior del archivo style.css de un tema de WordPress
En la parte superior del archivo style.css de cada tema de WordPress, un tema puede incluir la siguiente información (opcional) para describirse a sí mismo. Aquí tienes un ejemplo:
/*
Nombre del tema: Theme Lab
URI del tema: http://www.themelab.com/
Descripción: El tema que uso para Theme Lab.
Autor: Leland Fiegel
URI del autor: http://leland.me/
Versión: 1.0
Licencia: Licencia No Aplicable v2.0
URI de la licencia: http://example.com/not-for-release-i-dont-need-a-license
*/
WordPress usa esto para mostrar cierta información en la página de temas dentro de tu administrador (más sobre esto más adelante). También se utiliza para generar una página en el directorio de temas de WordPress.org si se envía y se acepta allí.
Si la URL que aparece junto a "theme URI" y "author URI" es marcada por malware, tú también podrías ser marcado por malware, simplemente por hacer referencia a ellas.
Temas patrocinados y sitios sospechosos
Ha sido un hecho bien conocido que en realidad enlazar a sitios sospechosos puede potencialmente penalizarte y potencialmente marcarte por malware. Este ha sido un tema candente durante la era de los “temas patrocinados”, así como la discusión sobre sitios de temas turbios.
Ser marcado por malware por enlazar a un sitio infectado con malware es totalmente comprensible ya que, bueno… estás enlazando directamente a un sitio posiblemente infectado al que tus visitantes podrían hacer clic y contagiarse también.
¿Pero ser marcado por malware debido a una referencia de URL comentada en una hoja de estilos? Eso ciertamente es nuevo para mí. ¿Cómo te proteges de eso?
Eliminación preventiva de referencias de URL en hojas de estilos
Prácticamente todos los temas lanzados incluyen un enlace a WordPress.org y/o al sitio del desarrollador del tema. Muchos eliminan estos enlaces salientes (por razones de “SEO” o lo que sea).
No muchos piensan en eliminar la información de crédito de su hoja de estilos. Las únicas personas que realmente revisan estas cosas son en su mayoría otros desarrolladores. Sé que reviso frecuentemente los archivos style.css de los sitios de WordPress para ver qué tema están usando, ya sea prefabricado o personalizado, etc.
Resulta que no son solo los desarrolladores quienes revisan las cosas comentadas en tu archivo style.css, sino también los bots de Google.
Teniendo en cuenta que esto es algo totalmente fuera de tu control (es decir, el estado de malware de un sitio de terceros, probablemente tu desarrollador de temas), podría valer la pena eliminar el Author URI y el Theme URI en tu archivo style.css. Incluso el License URI, solo para estar seguro.
Esperemos que los desarrolladores curiosos puedan descubrir los orígenes de un tema buscando en Google al autor del tema y/o el nombre para encontrar su sitio, con suerte, no infectado con malware.
¿Es solo una referencia a una URL comentada en CSS... ¿Malware?
Posiblemente la parte más preocupante de esta noticia es que, incluso si hiciera referencia al sitio más spam y plagado de malware en mi CSS con código comentado, ¿cómo representa eso algún tipo de peligro para mis visitantes?
No es como si estuviera cargando un recurso externo de un sitio infectado. Es solo un comentario. En CSS. Totalmente inofensivo, ¿verdad?
Como mencioné anteriormente, la mayoría de las personas que suelen revisar el código de las hojas de estilo son otros desarrolladores. Incluso si copian y pegan la URL en su navegador y se infectan con malware imaginario, siento que la política de Google es exagerada en el mejor de los casos (asumiendo que esto sea realmente una política, no un error dentro de sus mecanismos de verificación de malware).
También vale la pena considerar que estas URIs de temas y autores se muestran como enlaces reales dentro del administrador de WordPress. Puede ser la extraña forma de Google de proteger a los usuarios de WordPress, no necesariamente a las personas que revisan tu archivo style.css.
Conclusión
Todos sabemos que Google y otros motores de búsqueda importantes escanearán tu CSS para verificar técnicas de ocultación de texto de “sombrero negro” (indentaciones de texto negativas, display: none, visibility: hidden, colores de fondo y primer plano coincidentes), entre otras cosas.
Ciertamente puedes ser penalizado y prohibido por hacer algo estúpido como eso, eso es un hecho bien conocido. ¿Recibir una advertencia de malware por código comentado en CSS? No es tan conocido.
Ser marcado por malware en Google es prácticamente un suicidio de SEO. Afortunadamente, nunca he tenido que lidiar con uno, aunque es seguro asumir que mi tráfico de motores de búsqueda se desplomaría si alguna vez tuviera uno.
También me sentiría muy mal considerando que cualquier sitio que use un tema de Theme Lab también podría ser marcado por malware, simplemente por hacer referencia a la URL de Theme Lab en la hoja de estilos del tema.
No querrás compartir la culpa con el estado de malware de otro sitio si no tienes que hacerlo, incluso si el estado de malware de ese sitio original se debió a un error.
Así que sí, considera eliminar el Author URI y el Theme URI en tu style.css. Sin importar cuán buena reputación tenga el autor/tema, cualquiera puede ser hackeado, y podría ahorrarte un dolor de cabeza en el futuro por algo que no es tu culpa.
¡Genial saberlo, gracias!
¡Gracias por compartir esto, Leland! Es la primera vez que oigo hablar de este tipo de problema.
Los usuarios de WordPress necesitan saber esto. Lo incluiré en mi Resumen de Fin de Semana y si tengo tiempo, también podría publicar sobre ello.
Realmente es importante elegir cuidadosamente de dónde descargas o compras temas de WordPress.
Gracias JP, igualmente, nunca lo había oído antes de publicarlo.
Lo aterrador es que incluso una empresa de temas de buena reputación puede verse infectada con malware. Incluso podrían ser el objetivo de tales ataques porque son muy populares.
No es solo una advertencia por usar temas de sitios sospechosos.
Sí, hombre, he visto esto antes y eliminé mis enlaces. Aunque le da crédito al autor del tema. Todavía dejo su nombre si estoy usando un tema personalizado que ha sido modificado o algo así.
Es una locura cómo funcionan los bots, la verdad, puede ser un poco molesto y la gente me ha preguntado esto antes.
Estoy seguro de que esta publicación les ayudará a largo plazo 🙂
Hola Anto, ¿cuándo viste algo así por primera vez? No pude encontrar ningún otro informe anterior al respecto.