Hostenko — лучший WordPress-хостинг

DANGER! SEO-вредители! Проверьте свои темы WordPress на наличие “плохих тегов”

Заметил тут недавно в логах плагина поиска такие запросы вида :

<a href=http://superebanutyyseosait.ru>

причем IP посетителя везде 66.249.70.219 – гугловый бот и таких запросов сотни в сутки. Все сайты одной направленности типа вминск.ру, вбрянск.ру (все естественно по английски) и т.п.,

Добавлено: В логах вебсервера запросы выглядят так:

среди знакомых адресов увидел лишь altblog.ru, собственно с него и еще пары других сайтов все началось примерно недели две назад.
Кликнув сам по одному такому увидел что у меня выводится так на странице: Результаты поиска по ”. Вроде на первый взгляд все чисто, но если навести мышкой на эти кавычки то видим вполне ЖИВУЮ ССЫЛКУ без всяких noindex и nofollow. Поиском по шаблону (в 99% случаев это в файле search.php) нашел что фраза выводится тегом: 

<h2 class="pagetitle">Результаты поиска по <?php echo "'".$s."'";?></h2>

что не есть гуд.
Методом поиска по архиву тем нашел еще такое:

<h1>Search Results for '<?php echo $s; ?>' &amp;amp;amp;amp;amp;amp;amp;darr;</h1>
<p><?php _e('These are the search results for your search on') ?> <strong>"<?php echo $s ?>"</strong>:</p>

и тому подобные записи. Так вот все это ПЛОХИЕ ВАРИАНТЫ, от которых следует избавиться и чем скорее тем лучше.
Вместо них можно применить безопасные методы:

<h2 class="pagetitle">Результаты поиска по <?php the_search_query(); ?></h2>

или

<h2>Результаты поиска по <em>&amp;amp;amp;amp;amp;amp;amp;#8216;<?php echo wp_specialchars($s, 1); ?>&amp;amp;amp;amp;amp;amp;amp;#8217;</em></h2>

Кроме того в robots.txt лучше дописать такие строки:

Disallow: /?s=
Disallow: /search/

После вышеописанных действий любые такие извращенные запросы будут выводиться на странице обычным текстом БЕЗ ССЫЛОК

Я не SEO специалист и не знаю работает ли у ахтунгов, занимающихся такими махинациями с ссылками, но лучше все равно запретить
Кроме того это позволит защититься от вставки практически любого HTML кода в страницу, вот живой пример, правда безобидный относительно (сверху показано то что выводится после модификации темы, а чуть ниже мы видим картинку, которую я “пропихнул” в форму поиска):

Опубликовано 11 мая 2008 в 0:00 Автор
Рубрики: Internet & Wordpress Метки: , ,
Не понравилосьМогло быть лучшеНеплохоХорошоОтлично! (голосов: 6, средний: 4.67 из 5)
Loading ... Loading ...
Распечатать

Связанные записи

15 комментариев

  1. 1 Руслан Ахметов 11 мая 2008 в 1:42 (GMT+6)

    про XSS ниче неслышал штоли? Применялся раньше для накрутки тИЦа
    Потому его кстати отменили недавно в Яше. Про robots.txt верно написал.


  2. 2 Flector 11 мая 2008 в 10:57 (GMT+6)

    дык уже как несколько недель на яндексе отрубили учет XSS – кому теперь надо так изгаляться не совсем понятно.

    а вообще это ошибка плагина, который не фильтрует html теги. таким макаром можно не просто левую ссылку поиметь, но и шелл на сервер залить.


  3. 3 Lecactus 11 мая 2008 в 12:31 (GMT+6)

    про XSS ниче неслышал штоли? Применялся раньше для накрутки тИЦа
    Потому его кстати отменили недавно в Яше. Про robots.txt верно написал.

    на яндексе отрубили учет XSS

    смотрите выше – IP ГУГЛА а не Яндкса

    а вообще это ошибка плагина

    в данном случае – это не ошибка плагина, а ошибкатемы и я поискал по темам давно скачанным – ошибка распространенная среди темописатилей


  5. 4 Emili013 11 мая 2008 в 16:28 (GMT+6)

    А плагин anti-xss-attack случайно не от этого защищает?


  6. 5 Mons 11 мая 2008 в 16:39 (GMT+6)

    О тут уже упоминали про XSS – это есть ничто иное как оно. Лучшее решение в данном случае просто игнорировать такие ссылки и все.


  7. 6 Lecactus 11 мая 2008 в 16:43 (GMT+6)

    А плагин anti-xss-attack случайно не от этого защищает?

    лучше спросить об этом у Авторов


  8. 7 Daemony 11 мая 2008 в 17:38 (GMT+6)

    Обновляя тему на своем сайте, я первым делом перепроверил

    А вот про robots.txt как-то не подумал. Сенкс.


  9. 8 sonika 11 мая 2008 в 20:45 (GMT+6)

    Плагин anti-xss-attack защищает от взлома блога с помощью xss, а тут немного другое…


  10. 9 vp2 13 мая 2008 в 23:00 (GMT+6)

    смотрите выше – IP ГУГЛА а не Яндкса

    просто гугль сожрал карту ссылок с XSS инжектами и нанес визит вежливости.
    вполне нормальное поведение.


  11. 10 sonika 14 мая 2008 в 1:49 (GMT+6)

    vp2, а почему Гугл так быстро приходит? И откуда он берет эту «карту»? Админ видит из админки список запросов, а гугл откуда?


  12. 11 Alex 21 мая 2008 в 2:01 (GMT+6)

    все просто, это сайт посетил гугловский бот адсенса, чтобы узнать что за контент на сайте по этой ссылке, так как видит ее впервые


  13. 12 CrashOver 31 мая 2008 в 13:14 (GMT+6)

    Спасибо за предупреждение, пошёл проверять тему.


  14. 13 Observer 1 июня 2008 в 10:39 (GMT+6)

    Система собственно была простая.
    Находятся сотни сайтов с такой уязвимостью.
    Потом создаётся псевдосайт с сотнями ссылок.
    Яндекс проходит по этим ссылкам и на сайтах-жертвах индексирует новые страницы со ссылками на нужный сайт.
    Соответственно сайт заказчика получает сотни-тысячи халявных ссылок.
    Ну а для чего накачивали тиц думаю и так понятно: сапа и ЯК….


  15. 14 igrok54 4 июля 2008 в 1:46 (GMT+6)

    Вывод в результатах поиска конструкции: “Результаты поиска по фразе:…” уже повод для поиска данной уязвимости на сайте. Остается правильно сформулировать поисковый запрос для данного сайта, чтобы вывеласть ссылка.
    Врианты на вскидку:
    (a href=http://URL-sites.ru)URL-sites(/a)
    (a href=”http://URL-sites.ru”)URL-sites(/a)
    “(a href=http://URL-sites.ru)URL-sites(/a)”


Трэкбеки и пингбеки

  1. Из жизни в IT - Блог системного администратора » robots.txt для WordPress

Комментарии не по теме удаляются! Читайте реадми дистрибутива, комментарии выше и FAQ! Прежде чем задавать вопрос, прочитайте это. Научитесь ценить чужое время!

 Имя (обязательно)  EMAIL (обязательно)  АДРЕС ЛИЧНОГО БЛОГА

Вы соглашаетесь с правилами


При добавлении HTML|CSS|JS|PHP кода в комментарий, оформляйте его через кнопку КОД

 

Получать комментарии по RSS Адрес трэкбека