Sí, has leído bien. Este es el trato:
- WPTavern entrevista a un servicio de split-testing
- Elsitio de un servicio de split-testing es marcado por malware (terrible momento, lo sé).
- ¿Por qué? Porque su style.css tenía un comentario que hacía referencia a otro sitio con una infección real de malware. Y eso es todo. Más información en este comentario.
Si usted es un consultor de WordPress, desarrollador, o lo que sea, y su cliente viene a usted con un problema de advertencia de “malware”, definitivamente debe ser consciente de esta posibilidad.
La parte superior del archivo style.css de un tema de WordPress
En la parte superior del archivo style.css de cada tema de WordPress, un tema puede incluir la siguiente información (opcional) para describirse a sí mismo. He aquí un ejemplo:
/*
Nombre del tema: Theme Lab
URI del tema: http://www.themelab.com/
Descripción: El tema que uso para Theme Lab.
Autor: Leland Fiegel
URI del autor: http://leland.me/
Versión: 1.0
Licencia: Licencia no aplicable v2.0
URI de la licencia: http://example.com/not-for-release-i-dont-need-a-license
*/
WordPress usa esto para mostrar cierta información en la página de temas dentro de su administración (más sobre esto más adelante). También se utiliza para generar una página en el directorio de temas de WordPress.org en caso de que sea enviada y aceptada allí.
Si cualquier URL que aparezca junto a “theme URI” y “author URI” está marcada como malware, tú también podrías ser marcado como malware, simplemente por hacer referencia a ellas.
Temas patrocinados y sitios sospechosos
Es un hecho bien conocido que enlazar a sitios poco fiables puede hacer que te penalicen y te marquen por malware. Este ha sido un tema candente durante la era de los “temas patrocinados”, así como la discusión sobre sitios temáticos sospechosos.
Ser marcado por malware por enlazar a un sitio infectado con malware es totalmente comprensible ya que, bueno… estás enlazando directamente a un sitio posiblemente infectado en el que tus visitantes podrían hacer clic e infectarse también.
¿Pero ser marcado por malware debido a una referencia URL comentada en una hoja de estilo? Eso sí que es nuevo para mí. ¿Cómo te proteges de eso?
Eliminación preventiva de referencias URL en hojas de estilo
Casi todos los temas publicados incluyen un enlace a WordPress.org y/o al sitio del desarrollador del tema. Muchos eliminan estos enlaces salientes (por razones de “SEO” o lo que sea).
Muchos ni siquiera piensan en eliminar la información de crédito de sus hojas de estilo. Los únicos que realmente comprueban estas cosas son en su mayoría otros desarrolladores. Sé que con frecuencia compruebo los archivos style.css de los sitios de WordPress para ver qué tema están utilizando, si es prefabricado o personalizado, etc.
Resulta que no sólo los desarrolladores comprueban las cosas comentadas en tu archivo style.css, sino también los robots de Google.
Teniendo en cuenta que esto es algo totalmente fuera de tu control (es decir, el estado de malware de un sitio de terceros, probablemente tu desarrollador de temas) podría valer la pena eliminar el URI del autor y el URI del tema en tu archivo style.css. Demonios, incluso el URI de licencia sólo para estar en el lado seguro.
Con suerte, los desarrolladores curiosos pueden averiguar los orígenes de un tema buscando en Google el autor y/o el nombre del tema para encontrar su sitio web, con suerte no infectado por malware.
¿Es simplemente hacer referencia a una URL comentada en CSS… ¿Malware?
Posiblemente la parte más preocupante de esta noticia, es que incluso si hago referencia al sitio con más spam, plagado de malware en mi CSS con código comentado, ¿cómo es eso algún tipo de peligro para mis visitantes?
No es como si estuviera cargando un recurso externo de un sitio infectado. Es sólo un comentario. En CSS. Totalmente inofensivo, ¿verdad?
Como he mencionado antes, la mayoría de las personas que suelen comprobar el código de las hojas de estilo son otros desarrolladores. Incluso si copian y pegan la URL en su navegador y se infectan con malware imaginario, creo que la política de Google es exagerada en el mejor de los casos (suponiendo que esto sea realmente una política y no un error en sus mecanismos de comprobación de malware).
También hay que tener en cuenta que estos URIs de temas y autores se muestran como enlaces reales en la administración de WordPress. Puede que sea una extraña forma de Google de proteger a los usuarios de WordPress, no necesariamente a la gente que se cuela en tu archivo style.css.
Conclusión
Todos sabemos que Google y otros motores de búsqueda importantes escanearán tu CSS para comprobar si existen técnicas de ocultación de texto de “sombrero negro” (sangrías de texto negativas, display: none, visibilidad: hidden, colores de fondo y primer plano coincidentes), entre otras cosas.
Ciertamente puedes ser penalizado y baneado por hacer algo estúpido como eso, eso es un hecho bien conocido. ¿Recibir una advertencia de malware por código comentado en CSS? No es tan conocido.
Ser marcado por malware en Google es prácticamente un suicidio SEO. Afortunadamente, nunca he tenido que lidiar con uno antes, aunque es seguro asumir que mi tráfico en los motores de búsqueda caería en picado si alguna vez recibiese uno.
También me sentiría muy mal teniendo en cuenta que cualquier sitio que utilice un tema de Theme Lab también podría ser marcado por malware, simplemente por hacer referencia a la URL de Theme Lab en la hoja de estilos del tema.
Uno no quiere compartir la culpa del estado de malware de otro sitio si no tiene que hacerlo, incluso si el estado de malware del sitio original se hizo por error.
Así que sí, considera eliminar el URI del autor y el URI del tema en tu style.css. No importa lo buena que sea la reputación del autor/tema, cualquiera puede ser potencialmente hackeado, y puede ahorrarte un dolor de cabeza en el futuro por algo que no es culpa tuya.
Great to know, thanks!
Thanks for sharing about this Leland! This is the first time for me to hear about this kind of issue.
WordPress users need to know about this. I’ll feature this on my Weekend Roundup and if I have time, I might post about it too.
It really is important to choose carefully where you download or purchase WordPress themes from.
Thanks JP, likewise, I’ve never heard of it before I posted this.
The scary part is, even a reputable theme company can potentially be infected with malware. They might even be the target of such attacks because they’re so popular.
It’s not just a warning from using themes from sketchy sites.
Yeah man ive seen this before and removed my links. Even though its giving credit to the theme author. I still leave there name in if I’m using a custom theme thats been modified or something like that.
Crazy how bots work tbh, can be a little annoying and people have asked me this before.
Im sure this post will help them out in the long shot 🙂
Hey Anto, when did you first see something like this? I couldn’t find any other previous reports of it.