Донецкий техникум промышленной автоматики

Як уберегтися від прихованих посилань і вірусів в шаблонах для Joomla та WordPress?

  1. Що поганого в безкоштовних шаблонах для Joomla та WordPress?
  2. Як побачити приховані посилання і де не варто брати шаблони
  3. Варіанти безпечного отримання шаблонів і розширень

Привіт, шановні читачі блогу KtoNaNovenkogo.ru. Зараз вже мало знайдеться вебмайстрів, які верстають свій сайт самі (на чистому Html, своєму движку або хоча б використовують для CMS створені своїми руками шаблони). В общем-то це вірно, бо не кожен здатний створити щось вартісне - тут потрібен талант дизайнера. Найчастіше виходить як мінімум «не дуже», а іноді і «просто жах».

Тому настільки великого поширення набули шаблони або теми оформлення (в різних двигунах «шкурки» можуть позначатися різними термінами) для популярних CMS. Особливо багато цього добра можна знайти на просторах інтернеті для Joomla та WordPress, бо це по праву найпопулярніші безкоштовні движки сайту , Як в рунеті, так і в буржунете.

Власне, тільки російськомовних ресурсів з каталогами готових шаблонів можна нарахувати вже досить багато. Ну, а в буржунете їх взагалі не злічити. Начебто все так чудово - став движок, знаходь варіант оформлення (не секрет, що платні шаблони не так вже й складно знайти в безкоштовному доступі), завантажуй його і насолоджуйся професійним дизайном свого новенького сайту. Залишиться тільки додати на нього цінний контент і можна буде спостерігати за ростом популярності в мережі вашого ресурсу.

Але не все так просто і очевидно. Коли я ще давним-давно написав статтю про варіанти отримання безкоштовних і платних шаблонів для Joomla , То отримував досить регулярно від читачів поштою рекомендації видалити зі списку той чи інший сервіс, бо в розміщених там шаблонах знаходять приховані посилання або навіть віруси. Виходить, що прислів'я не бреше - безкоштовний сир буває тільки в мишоловці. Розробники безкоштовних шаблонів (або ті, хто «нуліт» платні) просто-напросто таким чином заробляють гроші і, судячи за розмахом, чималі.

Приховані посилання на сторонні (і часто занесені пошуковими системами в чорний список) ресурси, а вже тим більше віруси, можуть вбити всі надії на розкрутку вашого ресурсу (або серйозно їх підірвати і попсувати нерви). За це можна досить легко отримати фільтр, а то і бан від пошукових систем , або блокування через те, що ваш сайт заражений вірусом . Як себе від усього цього вберегти при виборі шаблону?

Що поганого в безкоштовних шаблонах для Joomla та WordPress?

З власного досвіду можу сказати, що «любителю» дуже важко змагатися з «професіоналом». На самому початку цієї публікації я приводив посилання на статтю про віруси, якими були заражені більшість моїх сайтів. Сталося це більше двох років тому, і за цей час я вже не раз повторював епопею боротьби за «чистоту коду», але як і раніше із завидною регулярністю на ряді заражених ресурсів відбуваються рецидиви (то спам-розсилка з них ведеться, то дор формується, то ще щось мені зовсім незрозуміле відбувається, що приводить до жахливо великому навантаженні на хостинг).

При цьому я використовую всі доступні «нубу» методи пошуку Шелов і інших бекдор в коді цих сайтів, але знову ж таки повторюся, що любителю змагатися з профі просто не під силу. Тому якщо ви думаєте, що прокрався через шаблон вірус ви легко виведете, то, швидше за все, ви помиляєтеся. Справа ця дуже клопітно, моторошно подразнюючу (коли вірусна активність, незважаючи на всі ваші зроблені зусилля, проявляється знову і знову) і віднімає дуже багато часу і сил.

Те ж саме стосується і прихованих посилань. Добре, якщо вам попадеться варіант їх впровадження з минулої епохи, коли простим пошуком по вмісту файлів через Тотал Коммандер можна буде знайти місце вставки і назавжди позбутися від них, отримавши в підсумку чистий і безкоштовний шаблон. У більшості ж випадків все набагато складніше. Для пошуку місця вставки прихованих посилань знадобиться софт (наприклад, плагін TAC ), Але і він не всесильний, бо бізнес з розповсюдження посилань через безкоштовні і платні (зламані) шаблони для Joomla та WordPress приносить дуже хороший дохід, що стимулює практикуючих його людей до пошуку нових рішень, що дозволяють зробити їх «закладку» мало помітною.

Власне, сьогодні навіть оперативно перевірити шаблон на генерування «лівих посилань» буває досить складно. Наприклад, ви скачали шаблон, поставили його на сайт, додали контент і вирішили подивитися, а чи не з'явилися з нього якісь підозрілі (НЕ вами проставлені) зовнішні посилання. Їх немає. Ви задоволені, забуваєте про цю проблему, займаєтеся наповненням сайту та його розкручуванням, а потім раптом випадково виявляєте (самі або після сигналу від пошукачів у вигляді фільтра або бана), що приховані посилання все ж є і ведуть вони на таку «гидоту», на яку вам самим ніколи б і в голову не прийшло посилатися.

Найприкріше при цьому, що на зняття фільтру і «обілення» сайту в очах пошукових систем може піти дуже багато часу (місяці і навіть роки в деяких випадках). А справа тут в тому, що розробники таких «закладок» в курсі того, що ви про них знаєте і перевіряєте сайт після установки шаблону на предмет «надмірностей всяких нехороших». Тому вони гальмують початок генерації цих самих посилань на деякий час, достатній на їхню думку, щоб навіть самий недовірливий юзер увірував в чистоту дістався йому на халяву шаблону.

Причому приховані посилання тепер так закодовані, що ні шукаються за словами md5 або base64 (найчастіше їх подгрузка взагалі відбувається з зовнішнього джерела). Просто набір букв і спец символів, які ніяк не можна знайти через пошук по всіх файлів шаблону. А цих файлів може бути не одна сотня. Плюс з'являються посилання не відразу. Тобто фактично можна ніяк вебмайстру (середньостатистичному) їх виявити на етапі створення сайту.

А за контрольний спам - це Гугл Пінгвін (або Панда) або АГС, якщо сайт і так особливо цінності не представляє (на безкоштовних або нуленних шаблонах створюються практично всі ГС в рунеті). Однак це не заважає заробітку нечистих на руку розробників або посередників. Зустрічав на серч пропозиції про послугу зашивання посилань клієнта в халявні шаблони, які потім викидаються в паблік і активно поширюються. Тобто це все вже оформлено мало не в легальний бізнес.

Як побачити приховані посилання і де не варто брати шаблони

Топ 5 ресурсів, з яких однозначно не варто завантажувати ні розширення, ні шаблони можна оформити напевно так (з особистого досвіду і за відгуками тих, хто мені свого часу відписувався):

  1. Joomla-Master.org - буквально нашпиговані ці шаблони посиланнями (відразу дивіться в \ шаблон \ html \ com_content \ article "", але і в інших місцях теж багато чого можна знайти)
  2. Web-Creator.org
  3. Wp-Templates.ru
  4. Design4Free.org
  5. JoomFans.com

В принципі, побачити приховані посилання провідні з вашого сайту можна, наприклад:

  1. За допомогою програми Xenu Link Sleuth . Досить буде просто переглянути всі провідні зі сторінок вашого сайту зовнішні посилання, і якщо щось викликає підозри, то подивитися яким чином вона вставлена ​​на зазначеною програмою сторінці.
  2. або можна скористатися сервісом Лінкпад , Але якщо ваш сайт вже у віці, то замучить все це справа вручну аналізувати.
  3. Можна ще задіяти інструмент перевірки посилань на окремих сторінках (Вся увага на праву колонку з зовнішніми посиланнями) від pr-cy .

Взагалі, фантазія у «редисок» розміщують приховані посилання багата. Раніше використовувалися, наприклад, такі способи, але зараз все вже могло змінитися і урізноманітнити:

  1. Найпростіший варіант, це коли посилання розміщується в області копірайту (в районі написи, на якому движку працює даний сайт).
  2. Можливий більш хитрий варіант, коли, наприклад, в папці з картинками розміщується файлик в форматі Html з потрібним текстом і посиланнями. Ви про нього не підозрюєте, а пошуковики лазять скрізь і цілком можуть вважати його за одну зі сторінок вашого сайту. Це, до речі, ще один привід закрити всі непотрібне (службові директорії сайту) від індексації в robots .
  3. Найчастіше для того, щоб ви або ваші відвідувачі наявні ліві посилання не знайшли, їх ховають засобами CSS. Наприклад, додають до них властивості:
    1. text-indent: -9999px (або -999em);
    2. display: none
    3. visibility: hidden
    4. position: absolute; left: -22222px
    5. Ну, і ще напевно з десяток нехитрих способів
  4. Додані в код шаблону посилання раніше активно шифрували за допомогою BASE64 (цим способом навіть картинки можна зашифрувати), щоб недосвідчені користувачі не змогли знайти їх по УРЛу. Зараз, звичайно ж, всі знають, що це таке і як ці вставки відшукувати, перевіряти (розшифровувати) і видаляти. $ Str = 'PGRpdiBzdHlsZTsdgvvgd fhGxlZnQ6LTEwMjQzcHg7dfghdfFGHmPSJodHRwOi8vd3d3Lnp vb2ZHGjkhjsdGl0bGU9Inpvb2ZpcJtYS5ydkjsdglkm; lKHJG4 ='; echo base64_decode ($ str) ;? Найпростіше, це викачати шаблон на комп'ютер і провести пошук по вмісту його файлів (можна, наприклад, за допомогою Тотал) на предмет знаходження таких слів, як md5 або base64.
  5. Але висока ймовірність, що все буде набагато складніше. Посилання будуть прописані де-небудь в php файлі шаблону і ніяких підозр у вас цей код не викличе, якщо ви, звичайно ж, не фахівець. Шукати такі закладки потрібно вже за допомогою спеціальних розширень (наприклад згаданого трохи вище плагіна TAC для WordPress). Але не все можна знайти і знешкодити вчасно. І не факт, що це гидота НЕ вилізе знову, а жити на пороховій бочці не дуже-то посміхається.

Тому перевіряти свій сайт на наявність несанкціонованих вами зовнішніх посилань потрібно, але їх відсутність зовсім не гарантує їх не поява в найближчому майбутньому. Потрібно перевіряти сам код шаблону ще до його установки, але знову ж таки, методів перевірки стовідсотково гарантують результат не існує. Ця область не так «смачна» в плані отриманої вигоди, щоб створювався серйозний софт все це справа оперативно відслідковує і видаляє (на манер антивірусів). До речі, більшість з таких антивірусів входять до складу онлайн сервісу ВірусТотал , Що трохи полегшує завдання, бо сервіс цей безкоштовний.

До речі, ще одна проблема пов'язана саме з видаленням «закладки». Найчастіше, навіть знайшовши за допомогою якихось плагінів або розширень місце вставки прихованих посилань, ви нічого з ними вдіяти не зможете. Наприклад, шаблон може відстежувати їх наявність і не працювати, якщо не виявить в потрібному місці коду їх вставки. Та й просто ваше банальне незнання мови PHP (або хоча б його синтаксису) може не дозволити вам грамотно видалити «закладку», чи не зачепивши чогось життєво важливого для роботи сайту.

В цьому випадку залишається тільки довірити свій сайт профі для чищення, але тут знову ж таки потрібно знайти фахівця, якому можна довіритися. В общем-то розумний (або спритний) людина може вирішити практично будь-яку проблему, але по-справжньому мудрий - постарається її взагалі не створювати. Має сенс в цьому плані бути трохи розумніші і намагатися уникати непотрібних проблем, нехай і розв'язуваних.

Варіанти безпечного отримання шаблонів і розширень

Особисто я зараз вже не можу похвалитися колишньої безпечністю та тричі «дую на воду». Для уникнення зараження безпосередньо з мого компа, я убезпечив Файлзілу і паролі в неї передаю зі сховища в Кіпасе .

Ну, а в уникненні зараження через шаблон я вважаю за краще заплатити гроші, щоб потім не розгрібати купу проблем. Інша справа, що грошики можна заплатити велику, а можна і не дуже велику. Я особисто обираю другий варіант, але спочатку поясню суть першого.

Дещо, звичайно ж, можна знайти і в офіційних репозиторіях цих движків (читайте про те, де можна безпечно завантажити безкоштовні теми для WordPress і зайти на офіційний сайт розширень для Joomla ), Але, по-перше, вибір там істотно обмежений, а по-друге, в такі ж «одежинки» будуть одягнені ще багато тисяч сайтів по всьому світу, що кілька знижує унікальність вашого проекту і в очах відвідувачів, і в очах пошукових систем.

Однак, в світі існує дуже багато професійних компаній, що займаються розробкою платних шаблонів для Joomla та WordPress. апріорі ( що це означає ), У них закладок бути не повинно, інакше вони миттєво втратять авторитет і довіру клієнтів. Однак, ціна на один шаблон у них може становити 50-100 доларів в залежності від його функціоналу і новизни.

Крім цього можуть виникнути деякі проблеми з оплатою (доведеться знайомитися з такою системою міжнародних платежів, як Пайпал , Або ризикнути і зробити покупку з оплатою безпосередньо з пластикової карти). Однак, в результаті ви отримаєте явно «чистий» шаблон, що є добре. Правда, що йде з ним в навантаження техподдежка буде актуальна лише при вашому знанні мови, на якому вона здійснюється. У більшості випадків знання російської мови вам в цій справі не допоможе.

Другий варіант мені більше подобається в силу його більш високої рентабельності (співвідношення витрачених грошей до отриманих можливостям), хоча по відношенню до розробників він і не зовсім «білий». Суть його полягає в тому, що Joomla та WordPress поширюються за ліцензією типу GNU / GPL, тобто ліцензії на вільне програмне забезпечення (таке ПО можна використовувати, копіювати, модифікувати і поширювати). Власне, про це я вже писав і раніше в згаданій на самому початку статті про шаблони Joomla.

Якщо не вдаватися особливо в подробиці, то суть полягає в тому, що і розширення (шаблони, плагіни і т.п.) для цих двигунів не можуть бути приватною власністю авторів. Так, за них можна вимагати плату, але ось покарати або переслідувати за законом за несанкціоноване використання або поширення цих розширень вже буде неможливо. Незважаючи на це, ринок платних розширень для Joomla та WordPress величезний, хоча і не захищений законом про авторське право. Навпаки, GNU / GPL ліцензія на 100% захищає Вас від розробника.

Багато компаній розробників, до речі, надають доступ до своїх шаблону за передплатою. Тобто ви платите певну суму і в перебігу певного часу може завантажувати і далі на постійній основі використовувати всі їх творіння (шаблони або розширення). Власне, і другий спосіб безпечного отримання тем оформлення для WordPress, а також шаблонів для Joomla будується на приблизно такому ж принципі.

«Показав мені на нього пальцем» не так давно мій товариш, якого я згадував у ряді статей (він уже кілька років шукає ідеальний варіант побудови інтернет-магазину, і на цьому шляху знаходить багато такого, що мені здається цікавим і надалі активно використовується) . Мова йде про складці преміум шаблонів і розширень CmsHeaven.org .

Суть складчини досить проста - купити продукт і роздати всім, хто брав участь в складці. У CmsHeaven.org ще більше спростили схему - тут не потрібно скидатися на окремі шаблони або розширення, які вам потрібні. Ви просто оплачуєте тимчасовий доступ до всього каталогу, який є в розпорядженні цього сервісу (кілька тисяч найменувань, розбитих для зручності пошуку по двигунам, авторам і тематиками).

Кожен з представлених продуктів був чесно куплений у розробників на гроші Складчиков (маються і безкоштовні шаблони, але вони знову ж представлені відомими брендами, які їм потрібні в цілях реклами). І що не менш важливо, організатори постійно поповнюють каталог новими екземплярами (прямо з печі, що називається), які ще довго доведеться чекати в паблік. Багатьом це припаде до душі.

Загалом, такий от кооператив, куди можна вступити і користуватися всіма благами. Але з деякими обмеженнями. Справа в тому, що організатори добре розуміють, що без введення обмежень весь їх каталог витече в паблік на раз-два. Тому має місце бути обмеження на 36 завантажень на місяць. Цього цілком достатньо звичайного веб-майстру, фрілансеру і навіть компанії зі створення сайтів.

При цьому гарантується відсутність в представлених розширеннях і шаблонах «закладок» (прихованих посилань, вірусів, троянів і «стучалок», які повідомляють розробнику про сайт використовує їх шаблон). З огляду на це купуються тільки продукти відомих брендів з відкритим кодом, де можна все це перевірити і при необхідності усунути.

Частина розширень переведена на російську мову, а при виникненні проблем з установкою та налаштуванням техпідтримка обіцяє надати допомогу, що часто буває ой як необхідно (напевно вже не раз прочісували інтернет в пошуках вирішення виниклої на рівному місці проблеми). Цим, до речі, і відрізняють безкоштовні движки від платних, що немає підтримки користувачів як такої.

Та й завантажувати вподобані вам продукти можна буде з нормальною швидкістю і без перегляду реклами на файлообмінниках. Дрібничка, бо для отримання жаданої «няшки» можна і гори звернути, а не тільки з файлообмінників повоювати, але саме з дрібниць складається комфорт.

Взагалі ідея і її реалізація мені дуже сподобалися, а ось користуватися чи безкоштовними шаблонами з репозиторіїв Joomla та WordPress, вступати чи в складчину на CmsHeaven.org або купувати шаблони безпосередньо у розробників вирішувати доведеться вам самим. Тільки «благаю вас, не їжте на ніч сирих помідорів», чи то пак не завантажуйте халявні продукти зі всяких «чудових» ресурсів, бо можна масу проблем отримати в навантаження. А воно вам треба?

Удачі вам! До швидких зустрічей на сторінках блогу KtoNaNovenkogo.ru

Збірки по темі

Використовую для заробітку

Що поганого в безкоштовних шаблонах для Joomla та WordPress?
Як себе від усього цього вберегти при виборі шаблону?
Що поганого в безкоштовних шаблонах для Joomla та WordPress?
Str = 'PGRpdiBzdHlsZTsdgvvgd fhGxlZnQ6LTEwMjQzcHg7dfghdfFGHmPSJodHRwOi8vd3d3Lnp vb2ZHGjkhjsdGl0bGU9Inpvb2ZpcJtYS5ydkjsdglkm; lKHJG4 ='; echo base64_decode ($ str) ;?
А воно вам треба?