DANGER! SEO-вредители! Проверьте свои темы WordPress на наличие «плохих тегов»

Заметил тут недавно в логах плагина поиска такие запросы вида :

<a href=http://superebanutyyseosait.ru>

причем IP посетителя везде 66.249.70.219 — гугловый бот и таких запросов сотни в сутки. Все сайты одной направленности типа вминск.ру, вбрянск.ру (все естественно по английски) и т.п.,

Добавлено: В логах вебсервера запросы выглядят так:

среди знакомых адресов увидел лишь altblog.ru, собственно с него и еще пары других сайтов все началось примерно недели две назад.
Кликнув сам по одному такому увидел что у меня выводится так на странице: Результаты поиска по ». Вроде на первый взгляд все чисто, но если навести мышкой на эти кавычки то видим вполне ЖИВУЮ ССЫЛКУ без всяких noindex и nofollow. Поиском по шаблону (в 99% случаев это в файле search.php) нашел что фраза выводится тегом:

<h2 class="pagetitle">Результаты поиска по <?php echo "'".$s."'";?></h2>

что не есть гуд.
Методом поиска по архиву тем нашел еще такое:

<h1>Search Results for '<?php echo $s; ?>' &amp;amp;amp;amp;amp;amp;amp;darr;</h1>
<p><?php _e('These are the search results for your search on') ?> <strong>"<?php echo $s ?>"</strong>:</p>

и тому подобные записи. Так вот все это ПЛОХИЕ ВАРИАНТЫ, от которых следует избавиться и чем скорее тем лучше.
Вместо них можно применить безопасные методы:

<h2 class="pagetitle">Результаты поиска по <?php the_search_query(); ?></h2>

или

<h2>Результаты поиска по <em>&amp;amp;amp;amp;amp;amp;amp;#8216;<?php echo wp_specialchars($s, 1); ?>&amp;amp;amp;amp;amp;amp;amp;#8217;</em></h2>

Кроме того в robots.txt лучше дописать такие строки:

Disallow: /?s= 
Disallow: /search/

После вышеописанных действий любые такие извращенные запросы будут выводиться на странице обычным текстом БЕЗ ССЫЛОК

Я не SEO специалист и не знаю работает ли у ахтунгов, занимающихся такими махинациями с ссылками, но лучше все равно запретить
Кроме того это позволит защититься от вставки практически любого HTML кода в страницу, вот живой пример, правда безобидный относительно (сверху показано то что выводится после модификации темы, а чуть ниже мы видим картинку, которую я «пропихнул» в форму поиска):

Связанные записи

15 комментариев на запись “DANGER! SEO-вредители! Проверьте свои темы WordPress на наличие «плохих тегов»”

  1. Руслан Ахметов 11 мая 2008 в 1:42

    про XSS ниче неслышал штоли? Применялся раньше для накрутки тИЦа
    Потому его кстати отменили недавно в Яше. Про robots.txt верно написал.

  2. Flector 11 мая 2008 в 10:57

    дык уже как несколько недель на яндексе отрубили учет XSS — кому теперь надо так изгаляться не совсем понятно.

    а вообще это ошибка плагина, который не фильтрует html теги. таким макаром можно не просто левую ссылку поиметь, но и шелл на сервер залить.

  3. Lecactus 11 мая 2008 в 12:31

    про XSS ниче неслышал штоли? Применялся раньше для накрутки тИЦа
    Потому его кстати отменили недавно в Яше. Про robots.txt верно написал.

    на яндексе отрубили учет XSS

    смотрите выше — IP ГУГЛА а не Яндкса

    а вообще это ошибка плагина

    в данном случае — это не ошибка плагина, а ошибкатемы и я поискал по темам давно скачанным — ошибка распространенная среди темописатилей

  4. Emili013 11 мая 2008 в 16:28

    А плагин anti-xss-attack случайно не от этого защищает?

  5. Mons 11 мая 2008 в 16:39

    О тут уже упоминали про XSS — это есть ничто иное как оно. Лучшее решение в данном случае просто игнорировать такие ссылки и все.

  6. Lecactus 11 мая 2008 в 16:43

    А плагин anti-xss-attack случайно не от этого защищает?

    лучше спросить об этом у Авторов

  7. Daemony 11 мая 2008 в 17:38

    Обновляя тему на своем сайте, я первым делом перепроверил

    А вот про robots.txt как-то не подумал. Сенкс.

  8. sonika 11 мая 2008 в 20:45

    Плагин anti-xss-attack защищает от взлома блога с помощью xss, а тут немного другое…

  9. vp2 13 мая 2008 в 23:00

    смотрите выше — IP ГУГЛА а не Яндкса

    просто гугль сожрал карту ссылок с XSS инжектами и нанес визит вежливости.
    вполне нормальное поведение.

  10. sonika 14 мая 2008 в 1:49

    vp2, а почему Гугл так быстро приходит? И откуда он берет эту «карту»? Админ видит из админки список запросов, а гугл откуда?

  11. Alex 21 мая 2008 в 2:01

    все просто, это сайт посетил гугловский бот адсенса, чтобы узнать что за контент на сайте по этой ссылке, так как видит ее впервые

  12. CrashOver 31 мая 2008 в 13:14

    Спасибо за предупреждение, пошёл проверять тему.

  13. Observer 1 июня 2008 в 10:39

    Система собственно была простая.
    Находятся сотни сайтов с такой уязвимостью.
    Потом создаётся псевдосайт с сотнями ссылок.
    Яндекс проходит по этим ссылкам и на сайтах-жертвах индексирует новые страницы со ссылками на нужный сайт.
    Соответственно сайт заказчика получает сотни-тысячи халявных ссылок.
    Ну а для чего накачивали тиц думаю и так понятно: сапа и ЯК….

  14. igrok54 4 июля 2008 в 1:46

    Вывод в результатах поиска конструкции: «Результаты поиска по фразе:…» уже повод для поиска данной уязвимости на сайте. Остается правильно сформулировать поисковый запрос для данного сайта, чтобы вывеласть ссылка.
    Врианты на вскидку:
    (a href=http://URL-sites.ru)URL-sites(/a)
    (a href=»http://URL-sites.ru»)URL-sites(/a)
    «(a href=http://URL-sites.ru)URL-sites(/a)»

Трэкбеки и пингбеки

  1. Из жизни в IT - Блог системного администратора » robots.txt для WordPress