Zły plugin!

trzeba uważać
Oglądając się dokoła Google :) dochodzę do wniosku, że znowu powinienem napisać coś o spadkach i drastycznych posunięciach Google. O Pingwinie 2.1 czy też relacjonować zmagania Pozycjonerów z “działaniami ręcznymi”, bo wiele osób tylko o tym mówi.

Doszedłem jednak do wniosku, że jeszcze będzie okazja o tym napisać przy okazji Pingwina 2.2, nowej Pandy czy też kolejnej fali działań ręcznych.

Dziś napiszę o niedawanej sytuacji, która mnie spotkała a mianowicie o próbie wykorzystania mojego bloga do linkowania innego serwisu bez mojego pozwolenia.

Podczas aktualizacji Wordress do wersji 3.6, notabene widzę właśnie, że już proszą mnie o aktualizację do 3.7, moja wtyczka do Facebooka przestała działać poprawnie.
Jako, że nie miałem czasu wiele się nad tym zastanawiać, zainstalowałem pierwszą lepszą wtyczkę, która była popularna i miała wysokie oceny.
Mój wybór padł na poniższą wtyczkę

wtyczka-hack

Wtyczka zainstalowałem sprawdziłem czy działa i zapomniałem o sprawie.

Jakiś czas później otrzymałem od Google informację o wzroście błędów 404 dla mojego bloga.
Po zalogowaniu moim oczom ukazał się +- taki widok
GWT-bledy-hack

Jak widzicie nagle na moim blogu pojawiały się nowe podstrony o adresach jawnie i bezwstydnie przypominających subdomenę pewnego znanego serwisu blogowego.

Po chwili przeglądania kodu odnalazłem rzeczony fragment:
joomla-hack

Sprawdziłem logi, w strukturze nie pojawiło się nic nowego, więc skierowałem swe podejrzenia ku wtyczkom. Pamiętałem, które ostatnio instalowałem, więc metodą wyłączania i sprawdzania kodu szybko odnalazłem winowajcę.

Jak widać jakiś domorosły “hacker” umieścił we wtyczce link do jakieś stronki na blogspocie. Zapomniał na szczęście jak się konstruuje linki, dzięki temu nie był to link zewnętrzny tylko wewnętrzny.
Jakby był to poprawny link to nie wiem kiedy bym go odnalazł. Nauczony doświadczaniem innych ludzi przeglądam co jakiś czas kod ale nie jest to częste działanie.

Tak naprawdę nic się nie stało, mój blog na tym nie ucierpiał. Wtyczki już nie ma na liście przy wyszukiwaniu wtyczek do FB ale mogło być gorzej.
Mogłem przez wiele miesięcy emitować linki z np potencją lub kasynami, co na pewno nie polepszyłoby sytuacji tego bloga w Google.

Reasumując – w chwili wolnej, pomiędzy walką z Pinwinem lub zmianą profilu linków, polecam przeglądać co jakiś czas kod swoich stron, zwłaszcza po dodaniu nowych wtyczek albo skórek bo później można się zdziwić tak jak ja.

Ktoś miał ostatnio podobną przygodę ?

9 komentarzy

  1. Autor Mati dodany 28 października, 2013

    I dlatego jestem zdania aby do takich pierdół nie instalować wtyczek tylko dodać samemu, szczególnie gdy przy prostej skórce jak tutaj jest to łatwe. W przypadku “Lubię to” i “rekomendacje” (pewnie to okienko w rogu strony?) to w sumie kopiuj/wklej.

    PS Zgłosiłeś wtyczkę?

  2. Autor Magda dodany 29 października, 2013

    Nieźle. Proponuję zgłosić (zaraportować) tę wtyczkę w repozytorium WordPressa…

  3. Autor Instile dodany 29 października, 2013

    Niestety otwarty kod daje wiele możliwości, nie ufam darmowym rzeczom do wordpressa – kiedyś przez lukę w szablonie wgrywali mi pliki na ftp

  4. Autor Rafal dodany 29 października, 2013

    >>Ktoś miał ostatnio podobną przygodę ?
    Może nie do końca taka sama ale jeszcze wczoraj/przedwczoraj Pajmon pisał o podobnej sytuacji: http://www.pajmon.com/2013/10/28/pozyskuj-linki-z-zemante/

  5. Autor Pozycjoner dodany 29 października, 2013

    Ludzie, to potrafia byc bezczelni…

  6. Autor mkane dodany 29 października, 2013

    PS Zgłosiłeś wtyczkę?

    Nie, nie zgłosiłem, jednak nie ma jej już więc nie tylko ja miałem taką “przygodę” i ktoś zgłosił.

  7. Autor Rob dodany 31 października, 2013

    Miałem podobny problem na kilku blogach, gdzie od roku nie aktualizowałem wordpressa. Pojawiły się tam na kilku podstronach ukryte w kodzie linki w treści. Na każdym z blogów złośliwy kod podpinał się pod inną wtyczkę. Receptą było aktualizacja wp oraz całkowite wyrzucenie wtyczek oraz dodanie ich ponownie, zaktualizowanych z repozytorium wordpressa. Dziwne było to, że na takim zainfekowanym blogu, niektóre wtyczki nie zgłaszały, że dostępna jest ich aktualizacja.

  8. Autor Chris dodany 4 listopada, 2013

    Też się spotkałem z takim przypadkiem, gdy kiedyś mój przyjaciel miał identyczną sytuację jak Ty. Zrobił on to samo. I tak jak napisał ” Mati ” jestem tego samego zdania, aby takie drobiazgowe rzeczy robić ręcznie, a nie za pomocą różnego rodzaju wtyczek.

  9. Autor Damian dodany 20 listopada, 2013

    Powszechny problem w sporej ilości wordpressowych wtyczek. Nawet bardzo popularne pluginy stosują te “nieetyczne” strategie..

    Dlatego od jakiegoś czasu wychodzę z założenia, że lepiej zlecić komuś napisanie wtyczki niż kosztować z darmowych rozwiązań. W moim przypadku są to raczej proste widżety więc pierwszy “gimnazjalista” jest w stanie to zrobić po kosztach ;)