Sì, hai letto bene. Ecco l'accordo:
- WPTavern intervista un servizio di split-testing
- Il sito del servizio di split-testing viene segnalato per malware (tempismo terribile, lo so).
- Perché? Perché il loro style.css conteneva un commento che faceva riferimento a un altro sito con un'infezione malware attiva. Tutto qui. Leggi di più in questo commento.
Se sei un consulente WordPress, uno sviluppatore o altro, e il tuo cliente ti si presenta con un problema di avviso "malware", dovresti assolutamente essere consapevole di questa possibilità.
La parte superiore del file style.css di un tema WordPress
Nella parte superiore del file style.css di ogni tema WordPress, un tema può includere le seguenti informazioni (facoltative) per descriversi. Ecco un esempio:
/*
Theme Name: Theme Lab
Theme URI: http://www.themelab.com/
Description: Il tema che uso per Theme Lab.
Author: Leland Fiegel
Author URI: http://leland.me/
Version: 1.0
Licenza: Licenza Non Applicabile v2.0
URI Licenza: http://example.com/not-for-release-i-dont-need-a-license
*/
WordPress utilizza queste informazioni per visualizzare determinate informazioni nella pagina dei temi all'interno del tuo pannello di amministrazione (maggiori dettagli più avanti). Viene anche utilizzato per generare una pagina nella directory dei temi di WordPress.org, qualora venisse inviato e accettato lì.
Se l'URL elencato accanto a "theme URI" e "author URI" viene segnalato per malware, anche tu potresti essere segnalato per malware, semplicemente per averli referenziati.
Temi sponsorizzati e siti sospetti
È risaputo che collegarsi a siti sospetti può potenzialmente comportare penalizzazioni e potenzialmente segnalazioni per malware. Questo è stato un argomento caldo durante l'era dei "temi sponsorizzati" e della discussione sui siti di temi loschi.
Essere segnalati per malware per aver linkato a un sito infetto da malware è del tutto comprensibile poiché, beh... stai linkando direttamente a un sito potenzialmente infetto su cui i tuoi visitatori potrebbero cliccare e infettarsi a loro volta.
Ma essere segnalati per malware a causa di un riferimento URL commentato in un foglio di stile? Questa è certamente una novità per me. Come ci si protegge da ciò?
Rimozione preventiva dei riferimenti URL nei fogli di stile
Praticamente tutti i temi rilasciati includono un link a WordPress.org e/o al sito dello sviluppatore del tema. Molti rimuovono questi link in uscita (per ragioni di "SEO" o altro).
Non molti pensano nemmeno a rimuovere le informazioni di credito dal proprio foglio di stile. Le uniche persone che controllano queste cose sono per lo più altri sviluppatori. So che controllo frequentemente i file style.css dei siti WordPress per vedere quale tema stanno usando, se è predefinito o personalizzato, ecc.
A quanto pare, non sono solo gli sviluppatori a controllare le cose commentate nel tuo file style.css, ma anche i bot di Google.
Considerando che questo è qualcosa totalmente fuori dal tuo controllo (ad esempio, lo stato di malware di un sito di terze parti, probabilmente lo sviluppatore del tuo tema) potrebbe valere la pena rimuovere l'Author URI e il Theme URI nel tuo file style.css. Anzi, persino il License URI per stare sul sicuro.
Si spera che gli sviluppatori curiosi possano scoprire le origini di un tema cercando su Google l'autore del tema e/o il nome per trovare il loro sito, si spera non infetto da malware.
Fa Meramente Riferimento a un URL Commentato in CSS… Malware?
Forse la parte più preoccupante di questa notizia è che anche se avessi fatto riferimento al sito più spam, pieno di malware nel mio CSS con codice commentato, in che modo questo rappresenta un pericolo per i miei visitatori?
Non è come se stessi caricando una risorsa esterna da un sito infetto. È solo un commento. In CSS. Totalmente innocuo, giusto?
Come ho detto sopra, la maggior parte delle persone che controllano il codice del foglio di stile sono altri sviluppatori. Anche se copiassero e incollassero l'URL nel loro browser e venissero infettati da malware immaginario, ritengo che la policy di Google sia eccessiva nella migliore delle ipotesi (supponendo che questa sia effettivamente una policy, non un bug nei loro meccanismi di controllo malware).
Vale anche la pena considerare che questi URI del tema e dell'autore sono visualizzati come collegamenti effettivi nell'amministrazione di WordPress. Potrebbe essere il modo strano di Google di proteggere gli utenti di WordPress, non necessariamente le persone che esaminano il tuo file style.css.
Conclusione
Sappiamo tutti che Google e altri principali motori di ricerca scansioneranno il tuo CSS per verificare tecniche di occultamento di testo "black hat" (indentazioni di testo negative, display: none, visibility: hidden, colori di sfondo e primo piano corrispondenti), tra le altre cose.
Puoi certamente essere penalizzato e bannato per aver fatto qualcosa di stupido come quello, questo è un fatto ben noto. Ricevere un avviso di malware per codice commentato in CSS? Non così ben noto.
Essere segnalati per malware su Google è praticamente un suicidio SEO. Fortunatamente non ho mai dovuto affrontare una cosa del genere prima, anche se è sicuro presumere che il mio traffico dai motori di ricerca farebbe un tonfo se mai ne ricevessi uno.
Mi sentirei anche davvero male considerando che qualsiasi sito che utilizza un tema Theme Lab potrebbe anche essere potenzialmente segnalato per malware, solo per aver semplicemente fatto riferimento all'URL di Theme Lab nel foglio di stile del tema.
Non vuoi condividere la colpa con lo stato di malware di un altro sito se non devi, anche se lo stato di malware di quel sito originale è stato creato per errore.
Quindi sì, considera di rimuovere l'Author URI e il Theme URI nel tuo style.css. Non importa quale reputazione abbia l'autore/tema, chiunque può potenzialmente essere hackerato, e potrebbe salvarti un mal di testa in futuro per qualcosa che non è colpa tua.
Ottimo a sapersi, grazie!
Grazie per aver condiviso questo, Leland! È la prima volta che sento parlare di questo tipo di problema.
Gli utenti di WordPress devono saperlo. Lo presenterò nel mio riepilogo del fine settimana e, se avrò tempo, potrei anche scrivere un post al riguardo.
È davvero importante scegliere attentamente da dove scarichi o acquisti temi WordPress.
Grazie JP, allo stesso modo, non ne avevo mai sentito parlare prima di pubblicarlo.
La parte spaventosa è che anche un'azienda di temi rispettabile può essere potenzialmente infettata da malware. Potrebbero persino essere il bersaglio di tali attacchi perché sono così popolari.
Non è solo un avvertimento sull'uso di temi da siti loschi.
Sì amico, l'ho visto prima e ho rimosso i miei link. Anche se dà credito all'autore del tema. Lascio ancora il loro nome se sto usando un tema personalizzato che è stato modificato o qualcosa del genere.
Pazzesco come funzionano i bot, onestamente, possono essere un po' fastidiosi e la gente me l'ha chiesto prima.
Sono sicuro che questo post li aiuterà a lungo termine 🙂
Ciao Anto, quando hai visto qualcosa del genere per la prima volta? Non sono riuscito a trovare altri rapporti precedenti.