Як уберегтися від прихованих посилань і вірусів шаблонів для Joomla та WordPress?

Категорія: Створення сайтів Опубліковано: Понеділок, 02 травня 2016

Здрастуйте, шановні читачі блогу ITstatti.in.ua. Зараз вже мало знайдеться вебмайстрів, які верстають свій сайт самі (на чистому Html, своєму движку або хоча б використовують для CMS створені своїми руками шаблони). Загалом-то це вірно, бо не кожен здатний створити щось варте уваги — тут потрібен талант дизайнера. Найчастіше виходить як мінімум «не дуже», а іноді й «просто жах».

Тому таке велике поширення отримали шаблони, теми оформлення (у різних движках «шкурки» можуть позначатися різними термінами) для популярних CMS. Особливо багато цього добра можна знайти на просторах інтернеті для Joomla та WordPress, бо це по праву найпопулярніші безкоштовні движки сайту, як в рунеті, так і в буржунете.

приховані ссилки

 

Власне, тільки російськомовних ресурсів з каталогами готових шаблонів можна нарахувати вже досить багато. Ну, а в буржунете їх взагалі не злічити. Начебто все так чудово — став движок, знаходь підходящий шаблон (не секрет, що платні шаблони не так вже й складно знайти в безкоштовному доступі), скачуй його і насолоджуйся професійним дизайном свого новенького сайту. Залишиться лише додати на нього цінний контент і можна буде спостерігати за зростанням популярності в мережі вашого ресурсу.

Але не все так просто і очевидно. Коли я ще давним-давно написав статтю про варіанти отримання безкоштовних і платних шаблонів для Joomla, то отримував досить регулярно від читачів поштою рекомендації видалити зі списку той чи інший сервіс, бо розміщених там шаблонах знаходять приховані посилання або навіть віруси. Виходить, що прислів'я не бреше — безкоштовний сир буває тільки в мишоловці. Розробники безкоштовних шаблонів (або ті, хто «нулит» платні) просто-напросто таким чином заробляють гроші і, судячи з розмаху, чималі.

Приховані посилання на сторонні (і часто занесені пошуковцями в чорний список) ресурси, а вже тим більше віруси, можуть убити всі надії на розкручування вашого ресурсу (або серйозно підірвати їх і попсувати нерви). За це можна досить легко отримати фільтр, а то і бан від пошукачів, або блокування із-за того, що ваш сайт заражений вірусом. Як себе від усього цього вберегти при виборі шаблону?

Що поганого в безкоштовних шаблонів для Joomla та WordPress?

З власного досвіду можу сказати, що «любителю» дуже важко змагатися з «професіоналом». На самому початку цієї публікації я наводив посилання на статтю про віруси, якими були заражені більшість моїх сайтів. Сталося це більше двох років тому, і за цей час я вже не раз повторював епопею боротьби за «чистоту коду», але як і раніше з завидною регулярністю на ряді заражених ресурсів відбуваються рецидиви (то спам-розсилка з них ведеться, то дорвей формується, то ще щось мені зовсім незрозуміле відбувається, приводить до дуже велике навантаження на хостинг).

При цьому я використовую всі доступні «нубу» методи пошуку шелов та інших бекдорів у коді цих сайтів, але знову ж таки повторюся, що любителю змагатися з профі просто не під силу. Тому якщо ви думаєте, що прокравшийся через шаблон вірус ви легко виведете, то, швидше за все, ви помиляєтеся. Справа це дуже тоскне, моторошно дратує (коли вірусна активність, незважаючи на всі ваші зусилля, проявляється знову і знову) і віднімає дуже багато часу і сил.

Те ж саме стосується і прихованих посилань. Добре, якщо вам попадеться варіант їх впровадження з минулої епохи, коли простим пошуком по вмісту файлів через Тотал Командер можна буде знайти місце вставки і назавжди позбутися від них, отримавши в підсумку чистий і безкоштовний шаблон. У більшості ж випадків все набагато складніше. Для пошуку місця вставки прихованих посилань знадобиться софт (наприклад, плагін TAC), але і він не всесильний, бо бізнес по розповсюдженню посилань через безкоштовні і платні (зламані) шаблони для Joomla та WordPress приносить дуже хороший дохід, що стимулює практикуючих його людей до пошуку нових рішень, що дозволяють зробити їх «закладку» мало помітною.

Власне, сьогодні навіть оперативно перевірити шаблон на генерування «лівих посилань» буває досить складно. Наприклад, ви завантажили шаблон, поставили його на сайт, додали контент і вирішили подивитися, а чи не з'явилися з нього якісь підозрілі (не вами проставлені) зовнішні посилання. Їх немає. Ви задоволені, забуваєте про цю проблему, займаєтеся наповненням сайту і його розкруткою, а потім раптом випадково виявляєте (самі або після сигналу від пошукачів у вигляді фільтра або бана), що приховані посилання все ж є і ведуть вони на таку «гидота», на яку вам самим ніколи б і в голову не прийшло посилатися.

Найприкріше, що на зняття фільтра і «обілення» сайту в очах пошукових систем може піти дуже багато часу (місяці і навіть роки в деяких випадках). А справа тут в тому, що розробники таких «закладок» у курсі того, що ви про них знаєте і перевіряєте сайт після установки шаблону на предмет «надмірностей всяких нехороших». Тому вони гальмують початок генерації цих самих посилань на деякий час, достатній на їхню думку, щоб навіть самий недовірливий юзер увірував в чистоту дістався йому на халяву шаблону.

Причому приховані посилання тепер так закодовано, що не шукаються за словами md5 або base64 (найчастіше їх завантаження взагалі відбувається з зовнішнього джерела). Просто набір букв і спец символів, які ніяк не можна знайти через пошук файлів шаблону. А цих файлів може бути не одна сотня. Плюс з'являються посилання не відразу. Тобто фактично не можна ніяк вебмайстру (середньостатистичному) їх виявити на етапі створення сайту.

А за посилальний спам — це Гугл Пінгвін (або Панда) або АГС, якщо сайт і так особливо цінності не являє (на безкоштовних або нуленных шаблони створюються практично всі ГС в рунеті). Однак це не заважає заробітку нечистих на руку розробників або посередників. Зустрічав на Серч пропозиції про послугу зашиття посилань клієнта в халявні шаблони, які потім викидаються в паблік і активно розповсюджуються. Тобто це все уже оформлено мало не в легальний бізнес.

Як побачити приховані посилання і де не варто брати шаблони

Топ 5 ресурсів, з яких однозначно не варто завантажувати ні розширення, ні шаблони можна оформити напевно так (з особистого досвіду і за відгуками тих, хто мені в свій час відписуватися):

  1. Joomla-Master.org — буквально нашпиговані ці шаблони посиланнями (відразу дивіться в \шаблон\html\com_content\article"", але і в інших місцях теж багато чого можна знайти)
  2. Web-Creator.org
  3. Wp-Templates.ru
  4. Design4Free.org
  5. JoomFans.com

В принципі, побачити приховані посилання провідні з вашого сайту можна, наприклад:

  • За допомогою програми Xenu Link Sleuth. Досить просто переглянути всі провідні зі сторінок вашого сайту зовнішні посилання, і якщо щось викликає підозри, то подивитися яким чином вона вставлена на зазначеною програмою сторінці.
  • Або можна скористатися сервісом Линкпад, але якщо ваш сайт вже у віці, то замучитеся все це справа вручну аналізувати.
  • Можна ще задіяти інструмент перевірки посилань на окремих сторінках (всі увагу на праву колонку з зовнішніми посиланнями) від pr-cy.

Взагалі, фантазія у «редисок» розміщують приховані посилання багата. Раніше використовувалися, наприклад, такі способи, але зараз уже все могло змінитися і разнообразиться:

  1. Найпростіший варіант, це коли посилання розміщується в області копірайту (в районі напису, на якому движку працює даний сайт).
  2. Можливий більш хитрий варіант, коли, наприклад, в папці з картинками розміщується файлик у форматі Html з потрібним текстом і посиланнями. Ви про нього не підозрюєте, а пошуковики лазять скрізь і цілком можуть вважати його за одну з сторінок вашого сайту. Це, до речі, ще один привід закрити все непотрібне (службові директорії сайту) від індексації в robots.
  3. Часто для того, щоб ви або ваші відвідувачі наявні ліві посилання не знайшли, їх ховають засобами CSS. 
  4. Додані в код шаблону посилання раніше активно шифрували з допомогою BASE64 (цим способом навіть картинки можна зашифрувати), щоб недосвідчені користувачі не змогли знайти їх за Урлу. Зараз, звичайно ж, всі знають, що це таке і як ці вставки відшукувати, перевіряти (розшифрування) та видаляти.
  5. Але є висока ймовірність, що все буде набагато складніше. Посилання будуть прописані де-небудь в php файлику шаблону і жодних підозр у вас цей код не викличе, якщо ви, звичайно, не фахівець. Шукати такі закладки потрібно вже з допомогою спеціальних розширень (наприклад згаданого трохи вище плагіна TAC для WordPress). Але не все можна знайти і знешкодити вчасно. І не факт, що це гидота не вилізе знову, а жити на пороховій бочці не дуже-то посміхається.

Тому перевіряти свій сайт на наявність не санкціонованих вами зовнішніх посилань потрібно, але їх відсутність зовсім не гарантує їх не поява в найближчому майбутньому. Потрібно перевіряти сам код шаблону ще до його встановлення, але знову ж таки, методів перевірки стовідсотково гарантують результат не існує. Ця область не настільки «смачна» в плані отриманої вигоди, щоб створювався серйозний софт все це справа оперативно відслідковує і видаляє (на манер антивірусів).

До речі, ще одна проблема пов'язана саме з видаленням «закладки». Найчастіше, навіть знайшовши з допомогою якихось модулів або розширень місце вставки прихованих посилань, ви нічого з ними зробити не зможете. Наприклад, шаблон може відслідковувати їх наявність і не працювати, якщо не виявить у потрібному місці коду їх вставки. Та й просто ваше банальне незнання мови PHP (або хоча б його синтаксису) може не дозволити вам грамотно видалити «закладку», не зачепивши чогось життєво важливого для роботи сайту.

В цьому разі залишається тільки довірити свій сайт профі для чищення, але тут знову ж таки треба знайти фахівця, якому можна довіритися. Загалом-то розумний (або меткий) людина може вирішити практично будь-яку проблему, але по-справжньому мудрий — постарається її взагалі не створювати. Має сенс в цьому плані бути трохи розумніші і намагатися уникати непотрібних проблем, нехай і вирішує.

Варіанти безпечного отримання шаблонів і розширень

Особисто я зараз вже не можу похвалитися колишньої безпечністю і тричі «дмухаю на воду». У уникнення зараження безпосередньо з мого компа, я убезпечив Файлзилу і паролі в неї передаю зі сховища Кипасе.

Ну, а для уникнення зараження через шаблон я волію заплатити гроші, щоб потім не розгрібати купу проблем. Інша справа, що гроші можна заплатити велику, а можна і не дуже велику. Я особисто обираю другий варіант, але спочатку поясню суть першого.

Дещо, звичайно ж, можна знайти і в офіційних репозиторіях цих движків (офіційний сайт розширень для Joomla), але, по-перше, вибір там суттєво обмежений, а по-друге, такі ж «одежинки» будуть одягнені ще багато тисяч сайтів по всьому світу, що дещо знижує унікальність вашого проекту і в очах відвідувачів, і в очах пошуковиків.

Однак, в світі існує дуже багато професійних компаній, що займаються розробкою платних шаблонів для Joomla та WordPress. Апріорі, у них закладок бути не повинно, інакше вони миттєво розгублять авторитет і довіру клієнтів. Однак, ціна на один шаблон у них може становити 50-100 доларів в залежності від його функціоналу і новизни.

Крім цього можуть виникнути деякі проблеми з оплатою доведеться знайомитися з такою системою міжнародних платежів, як Пайпал, або ризикнути і зробити покупку з оплатою безпосередньо з пластикової картки). Однак, в результаті ви отримаєте свідомо «чистий» шаблон, що є добре. Щоправда, йде з ним у навантаження техподдежка буде актуальна лише при вашому знанні мови, на якому вона здійснюється. У більшості випадку знання російської мови вам у цій справі не допоможе.

Другий варіант мені більше подобається в силу більш високої рентабельності (співвідношення витрачених грошей до отриманими можливостями), хоча по відношенню до розробників він і не зовсім «білий». Суть його полягає в тому, що Joomla та WordPress поширюються за ліцензією типу GNU/GPL, тобто ліцензії на вільне програмне забезпечення ( таке можна використовувати, копіювати, модифікувати і поширювати). Власне, про це я вже писав раніше у згаданій на початку статті про шаблони Joomla.

Якщо не вдаватися особливо в подробиці, то суть полягає в тому, що і розширення (шаблони, плагіни і т. п.) для цих движків не можуть бути приватною власністю авторів. Так, за них можна вимагати плату, але от покарати або переслідувати за законом за несанкціоноване використання або поширення цих розширень вже буде неможливо. Незважаючи на це, ринок платних розширень для Joomla та WordPress величезний, хоча і не захищений законом про авторське право. Навпаки, GNU/GPL ліцензія на 100% захищає Вас від розробника.

Багато компаній розробників, до речі, надають доступ до своїх шаблону за передплатою. Тобто ви платите певну суму і протягом певного часу може завантажувати і далі на постійній основі використовувати всі їхні творіння (шаблони або розширення). Власне, і другий спосіб безпечного отримання тем оформлення для WordPress, а також шаблонів для Joomla будується на приблизно такому ж принципі.

«Мені показав на нього пальцем» не так давно мій товариш, якого я згадував у ряді статей (він вже кілька років шукає ідеальний варіант побудови інтернет-магазину, і на цьому шляху знаходить багато такого, що мені здається цікавим і надалі активно використовується). Мова йде про складчини преміум шаблони і розширень CmsHeaven.org.

Суть складчини досить проста — придбати продукт і роздати всім, хто брав участь у складчини. В CmsHeaven.org ще більше спростили схему — тут не треба скидатися на окремі шаблони або розширення, які вам потрібні. Ви просто оплачуєте тимчасовий доступ до всього каталогу, який є у розпорядженні цього сервісу (декілька тисяч найменувань, розбитих для зручності пошуку по движкам, авторам і тематик).

Кожен з представлених продуктів був чесно куплений у розробників на гроші складчиков (є і безкоштовні шаблони, але вони знову ж таки представлені відомими брендами, які їм потрібні в цілях реклами). І що важливо, організатори постійно поповнюють каталог новими екземплярами (з запалі з жару, що називається), які ще довго доведеться чекати в паблике. Багатьом це припаде до душі.

Загалом, такий от кооператив, куди можна вступити і користуватися всіма благами. Але з деякими обмеженнями. Справа в тому, що організатори добре розуміють, що без введення обмежень весь каталог витече в паблік на раз-два. Тому має місце бути обмеження на 36 завантажень в місяць. Цього цілком достатньо звичайного вебмастеру, фрілансеру і навіть компанії по створенню сайтів.

При цьому гарантується відсутність у поданих розширення та шаблони «закладок» (прихованих посилань, вірусів, троянів і «стучалок», які повідомляють розробнику про сайт використовує їх шаблон). В виду цього купуються тільки продукти відомих брендів з відкритим кодом, де можна все це перевірити і при необхідності усунути.

Частина розширень переведена на російську мову, а при виникненні проблем з установкою або налаштуванням техпідтримка обіцяє надати допомогу, що часто буває ой як необхідно (напевно вже не раз прочісували інтернет у пошуках вирішення виниклої на рівному місці проблеми). Цим, до речі, і відрізняють безкоштовні движки від платних, що немає підтримки користувачів як такої.

Та й завантажувати вподобані вам продукти можна буде з нормальною швидкістю і без перегляду реклами на файлообмінниках. Дрібничка, бо для отримання жаданої «няшкі» можна і гори звернути, а не тільки з файлообмінником повоювати, але саме з дрібниць складається комфорт.

Взагалі ідея і її реалізація мені дуже сподобалися, а от користуватися безкоштовними шаблонами з репозиторіїв Joomla та WordPress, вступати в складчину на CmsHeaven.org або купувати шаблони безпосередньо у розробників вирішувати доведеться вам самим. Тільки «благаю вас, не їжте на ніч сирих помідорів», тобто не скачивайте халявні продукти зі всяких «чудових» ресурсів, бо можна масу проблем отримати в навантаження. А воно вам треба?