Архивы блога

DANGER! SEO-вредители! Проверьте свои темы WordPress на наличие «плохих тегов»

Заметил тут недавно в логах плагина поиска такие запросы вида :

<a href=http://superebanutyyseosait.ru>

причем IP посетителя везде 66.249.70.219 — гугловый бот и таких запросов сотни в сутки. Все сайты одной направленности типа вминск.ру, вбрянск.ру (все естественно по английски) и т.п.,

Добавлено: В логах вебсервера запросы выглядят так:

среди знакомых адресов увидел лишь altblog.ru, собственно с него и еще пары других сайтов все началось примерно недели две назад.
Кликнув сам по одному такому увидел что у меня выводится так на странице: Результаты поиска по ». Вроде на первый взгляд все чисто, но если навести мышкой на эти кавычки то видим вполне ЖИВУЮ ССЫЛКУ без всяких noindex и nofollow. Поиском по шаблону (в 99% случаев это в файле search.php) нашел что фраза выводится тегом:

<h2 class="pagetitle">Результаты поиска по <?php echo "'".$s."'";?></h2>

что не есть гуд.
Методом поиска по архиву тем нашел еще такое:

<h1>Search Results for '<?php echo $s; ?>' &amp;amp;amp;amp;amp;amp;amp;darr;</h1>
<p><?php _e('These are the search results for your search on') ?> <strong>"<?php echo $s ?>"</strong>:</p>

и тому подобные записи. Так вот все это ПЛОХИЕ ВАРИАНТЫ, от которых следует избавиться и чем скорее тем лучше.
Вместо них можно применить безопасные методы:

<h2 class="pagetitle">Результаты поиска по <?php the_search_query(); ?></h2>

или

<h2>Результаты поиска по <em>&amp;amp;amp;amp;amp;amp;amp;#8216;<?php echo wp_specialchars($s, 1); ?>&amp;amp;amp;amp;amp;amp;amp;#8217;</em></h2>

Кроме того в robots.txt лучше дописать такие строки:

Disallow: /?s= 
Disallow: /search/

После вышеописанных действий любые такие извращенные запросы будут выводиться на странице обычным текстом БЕЗ ССЫЛОК

Я не SEO специалист и не знаю работает ли у ахтунгов, занимающихся такими махинациями с ссылками, но лучше все равно запретить
Кроме того это позволит защититься от вставки практически любого HTML кода в страницу, вот живой пример, правда безобидный относительно (сверху показано то что выводится после модификации темы, а чуть ниже мы видим картинку, которую я «пропихнул» в форму поиска):

15 комментариев

Adobe Flash в окне загрузки файлов WordPress 2.5+ можно отключить!

Достаточно поставить вот этот крошечный плагин и будет работать загрузка «в стиле» WordPress 2.0-2.3.3
Это полезно если у вас в браузере отсутствует плагин Flash или вы не используете его принципиально

Один комментарий

Еще один плагин для создания «выпадающего меню» в WordPress 2.5+

lighter-admin-drop-menus
Достоинства: приятные глазу цвета (но кто захочет всегда перекрасит под себя), есть опции для настройки внешнего вида. Можно включать/отключать иконки и убирать лишний текст из шапки админки
Недостатки: если быстро перемещать мышкой по меню то приходится наводить мышку снова на верхний уровень, плохо выглядит при обновременной работе с «раскрашивалкой» baltic amber.
Так что уже есть три плагина для «выпадающего» меню. Два других уже рассмотрены ранее.

Комментарии к записи Еще один плагин для создания «выпадающего меню» в WordPress 2.5+ отключены

Русификатор для Bad Behavior 2.0.15 и 2.0.20

Скачать русификатор (для версии bad behavior 2.0.15) или для версии 2.0.20 bad_behavior2020rus_patchи распаковать два файла из архива в wp-content\plugins\Bad-Behavior\bad-behavior

Русификатор переводит на доступный язык сообщения, которые потенциально может получить нормальный посетитель если пользуется запрещенным прокси, если компьютер посетителя плагин считает зараженным троянчиками, если у него криво настроен браузер.

При выходе новых версий плагина в 99% случаев эти файлы также подойдут (меняются редко). Если нет — то нужно скопировать локализованные строки из старых файлов в новые.

4 комментария

И снова проблемная кодировка latin1

На этот раз попалась такая экзотика как база в кодировке latin1 c collation latin1_bin. Это уже третий пост (первый и второй) на тему latin1 и чувствую не последний, т.к. криворукость хостеров не знает границ:

Вчера я часа 3 мучался на своем сервере импортировал дамп этой базы и так и сяк, но максимум чего удавалось добиться это вернуть все на 90%, с пропажей всех кириллических букв С, Я и еще какой то, уже не помню.

Загружать базу пробовал и phpmyadmin’ом и скриптом bigdump и в консоле сервера с разными командами. Ничего не помогало.
Продолжить чтение →

15 комментариев

Защищаемся от ахтунгов: плагин для подмены версии WordPress

В продолжение темы, оказывается существует вот такой плагин, который все делает автоматически: в старых версиях (ДО 2.5) подменяет версию на произвольную, а в новых вообще убирает :-) Причем как на сайте, так и в RSS лентах

Кстати часто пользователи сами виноваты, т.к. постоянно пишут что «обновились до такой то версии». Я не исключение

12 комментариев

Знаете почему я запрещаю скачивать по прямым ссылкам?

Потому что какие то пидоры с IP 217.76.193.150 сегодня только за часа 3 инициировали скачивание WP2.5.1 каким то скриптом около 13000 раз и при этом повесили мне сервер нагрузив процессор и память по самое нехочу. Так что жалобы не принимаются. Правильно настраивайте свои браузеры

Если вы не можете скачать файлы через браузер, то воспользуйтесь видеоинструкцией:

как скачивать файлы с моего сайта через менеджеры закачек (900kb SWF VIDEO)

Спасибо за понимание.

30 комментариев

Опыт эксплуатации Bad Behavior в WordPress

Вас задолбал спам порнухи, фармпрепаратов и т.п?

Несколько месяцев пользуюсь этим плагином, так что можно сделать какие то выводы о его плюсах и минусах:

Что он делает

Посылает 403 ошибку вместо доступа к сайту всем, кто определяется по критериям плагина.

Как это работает?

По заверениям на сайте авторов — это «черная магия».

Положительные стороны

Автоматический спам и левые трэкбеки задерживает практически на 99%, т.е. он ВООБЩЕ не пропускает даже в очередь спама, а если смотреть по логам в базе (или через специальный плагин bb-log-reader), то в день таких попыток бывает в среднем 400.

Совместим с плагином wp-super-cache

Работает не только с WordPress, но также и с другими популярными системами, а также вообще с любым PHP-скриптом

Отрицательные стороны

По умолчанию, если вы не модифицировали плагин, он блокирует некоторые «хорошие» попытки доступа, например робота dobrobot. Решается это добавлением IP адреса в нужное место файла whitelist в каталоге плагина

По умолчанию, блокирует трэкбеки с блогов WordPress, но для этого достаточно в файле blacklist-а удалить строку «WordPress»

Создает дополнительную нагрузку на блог при загрузке страниц, а также при комментировании записей «хорошими» посетителями. По моим наблюдениям это дополнительная задержка около 1-2секунд

Рекомендую ли использовать?

Решать вам. В целом я доволен. Бывали моменты когда спам пролезал, но плагин постоянно обновляется и это исправляется. Последний автоматический спам я видел кажется в начале месяца :-)

За последнюю неделю заблокировано 1188 попыток

16 комментариев