Sim, você leu certo. O negócio é o seguinte:
- O WPTavern entrevista um serviço de teste de divisão
- O site do serviço de teste de divisão é sinalizado por malware (péssimo momento, eu sei).
- Por quê? Porque seu style.css tinha um comentário que fazia referência a outro site com uma infecção real por malware. É isso mesmo. Leia mais sobre isso neste comentário.
Se você é um consultor, desenvolvedor ou qualquer outro profissional do WordPress e seu cliente o procura com um problema de aviso de “malware”, você deve estar ciente dessa possibilidade.
A parte superior do arquivo style.css de um tema do WordPress
Na parte superior do arquivo style.css de cada tema do WordPress, um tema pode incluir as seguintes informações (opcionais) para se descrever. Aqui está um exemplo:
/*
Nome do tema: Theme Lab
URI do tema: http://www.themelab.com/
Descrição: O tema que uso para o Theme Lab.
Autor: Leland Fiegel
URI do autor: http://leland.me/
Versão: 1.0
Licença: Licença não aplicável v2.0
URI da licença: http://example.com/not-for-release-i-dont-need-a-license
*/
O WordPress usa isso para exibir determinadas informações na página de temas em seu painel de administração (mais sobre isso posteriormente). Ele também é usado para gerar uma página no diretório de temas do WordPress.org, caso seja enviado e aceito lá.
Se qualquer URL listado ao lado de “theme URI” e “author URI” for sinalizado como malware, você também poderá ser sinalizado como malware, simplesmente por fazer referência a eles.
Temas patrocinados e sites duvidosos
É um fato bem conhecido que a criação de links para sites de baixa qualidade pode fazer com que você seja penalizado e sinalizado por malware. Esse foi um tópico importante durante a era dos “temas patrocinados”, bem como da discussão sobre sites temáticos obs curos.
Ser sinalizado por malware por criar um link para um site infectado por malware é totalmente compreensível, pois, bem… você está criando um link direto para um site possivelmente infectado, no qual seus visitantes poderiam clicar e ser infectados também.
Mas ser sinalizado por malware por causa de uma referência de URL comentada em uma folha de estilo? Isso certamente é novidade para mim. Como você se protege contra isso?
Remoção prematura de referências de URL em folhas de estilo
Quase todos os temas lançados incluem um link para o WordPress.org e/ou para o site do desenvolvedor do tema. Muitos removem esses links de saída (por motivos de “SEO” ou outros).
Poucos sequer pensam em remover as informações de crédito de suas folhas de estilo. As únicas pessoas que realmente verificam essas coisas são, em sua maioria, outros desenvolvedores. Sei que verifico com frequência os arquivos style.css dos sites do WordPress para saber qual tema eles estão usando, se é pré-fabricado ou personalizado etc.
Acontece que não são apenas os desenvolvedores que verificam as informações comentadas em seu arquivo style.css, mas também os bots do Google.
Considerando que isso é algo totalmente fora do seu controle (ou seja, o status de malware de um site de terceiros, provavelmente o desenvolvedor do tema), talvez valha a pena remover o URI do autor e o URI do tema no arquivo style.css. Talvez até mesmo o URI da licença, só para garantir.
Esperamos que os desenvolvedores curiosos possam descobrir as origens de um tema pesquisando no Google o autor e/ou o nome do tema para encontrar o site que não esteja infectado por malware.
A simples referência a um URL comentado no CSS é… Malware?
Talvez a parte mais preocupante dessa notícia seja o fato de que, mesmo que eu tenha feito referência ao site mais cheio de spam e malware em meu CSS com código comentado, como isso pode representar algum tipo de perigo para meus visitantes?
Não é como se eu estivesse carregando um recurso externo de um site infectado. É apenas um comentário. No CSS. Totalmente inofensivo, certo?
Como mencionei acima, a maioria das pessoas que normalmente verifica o código da folha de estilo são outros desenvolvedores. Mesmo que elas copiem e colem o URL no navegador e sejam infectadas por um malware imaginário, acho que a política do Google é, na melhor das hipóteses, exagerada (supondo que isso seja realmente uma política, e não um bug em seus mecanismos de verificação de malware).
Também vale a pena considerar que esses URIs de tema e autor são exibidos como links reais na administração do WordPress. Pode ser uma maneira estranha do Google de proteger os usuários do WordPress, não necessariamente as pessoas que se infiltram no seu arquivo style.css.
Conclusão
Todos nós sabemos que o Google e outros mecanismos de pesquisa importantes analisarão seu CSS para verificar se há técnicas de ocultação de texto de “chapéu preto” (recuos de texto negativos, display: none, visibility: hidden, cores de fundo e de primeiro plano correspondentes), entre outras coisas.
Você certamente pode ser penalizado e banido por fazer algo estúpido como isso, esse é um fato bem conhecido. Receber um aviso de malware por um código comentado em CSS? Não é tão conhecido.
Ser sinalizado por malware no Google é praticamente um suicídio de SEO. Felizmente, nunca tive que lidar com isso antes, embora seja seguro presumir que meu tráfego nos mecanismos de pesquisa cairia vertiginosamente se eu recebesse um aviso.
Eu também me sentiria muito mal se considerasse que qualquer site que usasse um tema do Theme Lab também poderia ser sinalizado como malware, apenas por fazer referência ao URL do Theme Lab na folha de estilo do tema.
Você não quer compartilhar a culpa pelo status de malware de outro site se não for necessário, mesmo que o status de malware do site original tenha sido criado por engano.
Portanto, sim, considere remover o URI do autor e o URI do tema em seu style.css. Não importa quão boa seja a reputação do autor/tema, qualquer pessoa pode ser hackeada e isso pode evitar uma dor de cabeça no futuro por algo que não é culpa sua.
Great to know, thanks!
Thanks for sharing about this Leland! This is the first time for me to hear about this kind of issue.
WordPress users need to know about this. I’ll feature this on my Weekend Roundup and if I have time, I might post about it too.
It really is important to choose carefully where you download or purchase WordPress themes from.
Thanks JP, likewise, I’ve never heard of it before I posted this.
The scary part is, even a reputable theme company can potentially be infected with malware. They might even be the target of such attacks because they’re so popular.
It’s not just a warning from using themes from sketchy sites.
Yeah man ive seen this before and removed my links. Even though its giving credit to the theme author. I still leave there name in if I’m using a custom theme thats been modified or something like that.
Crazy how bots work tbh, can be a little annoying and people have asked me this before.
Im sure this post will help them out in the long shot 🙂
Hey Anto, when did you first see something like this? I couldn’t find any other previous reports of it.