Sim, você leu certo. Eis o acordo:
- WPTavern entrevista um serviço de teste A/B
- Site de serviço de testes A/B é sinalizado por malware (péssimo momento, eu sei).
- Por quê? Porque o style.css deles tinha um comentário referenciando outro site com uma infecção de malware real. É só isso. Leia mais sobre isso em este comentário.
Se você é um consultor, desenvolvedor ou o que for do WordPress, e seu cliente vem até você com um problema de aviso de "malware", você definitivamente deve estar ciente dessa possibilidade.
O topo do arquivo style.css de um tema WordPress
No topo do arquivo style.css de todo tema WordPress, um tema pode incluir as seguintes informações (opcionais) para se descrever. Aqui está um exemplo:
/*
Nome do Tema: Theme Lab
URI do Tema: http://www.themelab.com/
Descrição: O tema que uso para o Theme Lab.
Autor: Leland Fiegel
URI do Autor: http://leland.me/
Versão: 1.0
Licença: Licença Não Aplicável v2.0
URI da Licença: http://example.com/not-for-release-i-dont-need-a-license
*/
O WordPress usa isso para exibir certas informações na página de temas dentro do seu painel (mais sobre isso depois). Também é usado para gerar uma página no diretório de temas do WordPress.org, caso seja submetido e aceito lá.
Se qualquer URL listado ao lado de "theme URI" e "author URI" for sinalizado por malware, você também pode ser sinalizado por malware, simplesmente por referenciá-los.
Temas Patrocinados e Sites Suspeitos
É um fato bem conhecido que, na verdade, linkar para sites suspeitos pode potencialmente levar a penalidades e ser sinalizado por malware. Este tem sido um tópico quente durante a era dos "temas patrocinados", bem como a discussão sobre sites de temas duvidosos.
Ser sinalizado por malware por linkar para um site infectado por malware é totalmente compreensível, pois, bem… você está linkando diretamente para um site possivelmente infectado que seus visitantes poderiam clicar e se infectar também.
Mas ser sinalizado por malware por causa de uma referência de URL comentada em uma folha de estilo? Isso certamente é novidade para mim. Como você se protege disso?
Removendo Preventivamente Referências de URL em Folhas de Estilo
Praticamente todos os temas lançados incluem um link de volta para o WordPress.org e/ou para o site do desenvolvedor do tema. Muitos removem esses links de saída (por razões de “SEO” ou o que for).
Muitos nem pensam em remover informações de crédito de sua folha de estilos. As únicas pessoas que realmente verificam essas coisas são a maioria dos outros desenvolvedores. Eu sei que verifico frequentemente os arquivos style.css de sites WordPress para ver qual tema eles estão usando, se é pré-fabricado ou personalizado, etc.
Acontece que não são apenas os desenvolvedores que verificam coisas comentadas no seu arquivo style.css, mas também os bots do Google.
Considerando que isso é algo totalmente fora do seu controle (ou seja, o status de malware de um site de terceiros, provavelmente o seu desenvolvedor de tema), pode valer a pena remover o Author URI e o Theme URI em seu arquivo style.css. Aliás, até o License URI, apenas para garantir.
Esperançosamente, desenvolvedores curiosos podem descobrir as origens de um tema pesquisando no Google o autor e/ou nome do tema para encontrar o site deles, que esperamos que não esteja infectado por malware.
É apenas uma referência a uma URL comentada em CSS... Malware?
Possivelmente a parte mais preocupante desta notícia é que, mesmo que eu referencie o site mais spam, cheio de malware no meu CSS com código comentado, qual é o perigo para os meus visitantes?
Não é como se eu estivesse carregando um recurso externo de um site infectado. É apenas um comentário. Em CSS. Totalmente inofensivo, certo?
Como mencionei acima, a maioria das pessoas que geralmente verificam o código de folhas de estilo são outros desenvolvedores. Mesmo que eles copiem e colem a URL em seus navegadores e sejam infectados com malware imaginário, sinto que a política do Google é exagerada, na melhor das hipóteses (assumindo que isso seja realmente uma política, não um bug nos mecanismos de verificação de malware).
Vale também considerar que esses URIs de tema e autor são exibidos como links reais no painel do WordPress. Pode ser a maneira peculiar do Google de proteger os usuários do WordPress, não necessariamente as pessoas que vasculham seu arquivo style.css.
Conclusão
Todos nós sabemos que o Google e outros principais mecanismos de busca verificarão seu CSS para detectar técnicas de ocultação de texto “black hat” (indentação de texto negativa, display: none, visibility: hidden, cores de fundo e primeiro plano correspondentes), entre outras coisas.
Você certamente pode ser penalizado e banido por fazer algo estúpido como isso, isso é um fato bem conhecido. Receber um aviso de malware por código comentado em CSS? Não é tão conhecido.
Ser sinalizado por malware no Google é praticamente suicídio de SEO. Felizmente, nunca tive que lidar com um antes, embora seja seguro assumir que meu tráfego de mecanismos de busca despencaria se eu recebesse um.
Eu também me sentiria muito mal considerando que qualquer site que usa um tema do Theme Lab também poderia potencialmente ser sinalizado por malware, apenas por referenciar a URL do Theme Lab na folha de estilos do tema.
Você não quer compartilhar a culpa com o status de malware de outro site se não precisar, mesmo que o status de malware desse site original tenha sido cometido por engano.
Então sim, considere remover o Author URI e o Theme URI em seu style.css. Não importa quão boa seja a reputação do autor/tema, qualquer um pode ser potencialmente hackeado, e isso pode te poupar uma dor de cabeça no futuro por algo que não é culpa sua.
Ótimo saber, obrigado!
Obrigado por compartilhar sobre isso, Leland! Esta é a primeira vez que ouço falar sobre esse tipo de problema.
Os usuários do WordPress precisam saber sobre isso. Vou destacar isso no meu Resumo do Fim de Semana e, se tiver tempo, talvez eu também poste sobre isso.
É realmente importante escolher cuidadosamente de onde você baixa ou compra temas do WordPress.
Obrigado JP, igualmente, eu nunca tinha ouvido falar disso antes de postar isso.
A parte assustadora é que, mesmo uma empresa de temas respeitável pode ser potencialmente infectada com malware. Eles podem até ser o alvo de tais ataques porque são muito populares.
Não é apenas um aviso por usar temas de sites duvidosos.
Sim, cara, eu já vi isso antes e removi meus links. Mesmo que esteja dando crédito ao autor do tema. Eu ainda deixo o nome dele lá se estiver usando um tema personalizado que foi modificado ou algo assim.
Louco como os bots funcionam, para ser honesto, pode ser um pouco irritante e as pessoas já me perguntaram isso antes.
Tenho certeza que este post os ajudará a longo prazo 🙂
Ei Anto, quando você viu algo assim pela primeira vez? Não consegui encontrar nenhum outro relato anterior sobre isso.