Как уберечься от скрытых ссылок и вирусов в шаблонах для Joomla и WordPress?

Обновлено 5 февраля 2022 Просмотров: 45 435 Автор: Дмитрий Петров

Здравствуйте, уважаемые читатели блога KtoNaNovenkogo.ru. Сейчас уже мало найдется вебмастеров, которые верстают свой сайт сами (на чистом Html, своем движке или хотя бы используют для CMS созданные своими руками шаблоны). В общем-то это верно, ибо не каждый способен сотворить что-то стоящее — тут нужен талант дизайнера. Чаще всего выходит как минимум «не очень», а иногда и «просто ужас».

Поэтому столь большое распространение получили шаблоны или темы оформления (в разных движках «шкурки» могут обозначаться разными терминами) для популярных CMS. Особливо много этого добра можно найти на просторах интернете для Joomla и WordPress, ибо это по праву самые популярные бесплатные движки сайта, как в рунете, так и в буржунете.

Скрытые ссылки

Собственно, только русскоязычных ресурсов с каталогами готовых шаблонов можно насчитать уже довольно много. Ну, а в буржунете их вообще не счесть. Вроде бы все так замечательно — ставь движок, находи подходящий шаблон (не секрет, что платные шаблоны не так уж и сложно найти в бесплатном доступе), скачивай его и наслаждайся профессиональным дизайном своего новенького сайта. Останется только добавить на него ценный контент и можно будет наблюдать за ростом популярности в сети вашего ресурса.

Но не все так просто и очевидно. Когда я еще давным-давно написал статью про варианты получения бесплатных и платных шаблонов для Joomla, то получал довольно регулярно от читателей по почте рекомендации удалить из списка тот или иной сервис, ибо в размещенных там шаблонах находят скрытые ссылки или даже вирусы. Получается, что пословица не врет — бесплатный сыр бывает только в мышеловке. Разработчики бесплатных шаблонов (или те, кто «нулит» платные) просто-напросто таким образом зарабатывают деньги и, судя по размаху, немалые.

Скрытые ссылки на сторонние (и зачастую занесенные поисковиками в черный список) ресурсы, а уж тем более вирусы, могут убить все надежды на раскрутку вашего ресурса (или серьезно их подорвать и попортить нервы). За это можно довольно легко получить фильтр, а то и бан от поисковиков, либо блокировку из-за того, что ваш сайт заражен вирусом. Как себя от всего этого уберечь при выборе шаблона?


Что плохого в бесплатных шаблонах для Joomla и WordPress?

По собственному опыту могу сказать, что «любителю» очень трудно тягаться с «профессионалом». В самом начале этой публикации я приводил ссылку на статью про вирусы, которыми были заражены большинство моих сайтов. Произошло это более двух лет назад, и за это время я уже не раз повторял эпопею борьбы за «чистоту кода», но по-прежнему с завидной регулярностью на ряде зараженных ресурсов происходят рецидивы (то спам-рассылка с них ведется, то дорвей формируется, то еще что-то мне совсем непонятное происходит, приводящее к чудовищно большой нагрузке на хостинг).

При этом я использую все доступные «нубу» методы поиска шелов и прочих бэкдоров в коде этих сайтов, но опять же повторюсь, что любителю тягаться с профи просто не под силу. Поэтому если вы думаете, что прокравшийся через шаблон вирус вы легко выведете, то, скорее всего, вы ошибаетесь. Дело это очень муторное, жутко раздражающее (когда вирусная активность, несмотря на все ваши предпринятые усилия, проявляется снова и снова) и отнимающее очень много времени и сил.

То же самое касается и скрытых ссылок. Хорошо, если вам попадется вариант их внедрения из прошлой эпохи, когда простым поиском по содержимому файлов через Тотал Коммандер можно будет найти место вставки и навсегда избавиться от них, получив в итоге чистый и бесплатный шаблон. В большинстве же случаев все намного сложнее. Для поиска места вставки скрытых ссылок понадобится софт (например, плагин TAC), но и он не всесилен, ибо бизнес по распространению ссылок через бесплатные и платные (взломанные) шаблоны для Joomla и WordPress приносит очень хороший доход, что стимулирует практикующих его людей к поиску новых решений, позволяющих сделать их «закладку» мало заметной.

Собственно, сегодня даже оперативно проверить шаблон на генерирование «левых ссылок» бывает довольно сложно. Например, вы скачали шаблон, поставили его на сайт, добавили контент и решили посмотреть, а не появились ли с него какие-то подозрительные (не вами проставленные) внешние ссылки. Их нет. Вы довольны, забываете об этой проблеме, занимаетесь наполнением сайта и его раскруткой, а потом вдруг случайно обнаруживаете (сами или после сигнала от поисковиков в виде фильтра или бана), что скрытые ссылки все же есть и ведут они на такую «гадость», на которую вам самим никогда бы и в голову не пришло ссылаться.

Самое обидное при этом, что на снятие фильтра и «обеление» сайта в глазах поисковиков может уйти очень много времени (месяцы и даже годы в некоторых случаях). А дело тут в том, что разработчики таких «закладок» в курсе того, что вы про них знаете и проверяете сайт после установки шаблона на предмет «излишеств всяких нехороших». Поэтому они тормозят начало генерации этих самых ссылок на некоторое время, достаточное по их мнению, чтобы даже самый мнительный юзер уверовал в чистоту доставшегося ему на халяву шаблона.

Причем скрытые ссылки теперь так закодированы, что не ищутся по словам md5 или base64 (зачастую их подгрузка вообще происходит с внешнего источника). Просто набор букв и спец символов, которые никак нельзя найти через поиск по всем файлам шаблона. А этих файлов может быть не одна сотня. Плюс появляются ссылки не сразу. То есть фактически нельзя никак вебмастеру (среднестатистическому) их обнаружить на этапе создания сайта.

А за ссылочный спам — это Гугл Пингвин (либо Панда) или АГС, если сайт и так особо ценности не представляет (на бесплатных или нуленных шаблонах создаются практически все ГС в рунете). Однако это не мешает заработку нечистых на руку разработчиков или посредников. Встречал на Серче предложения об услуге зашивки ссылок клиента в халявные шаблоны, которые потом выбрасываются в паблик и активно распространяются. Т.е. это все уже оформлено чуть ли не в легальный бизнес.

Как увидеть скрытые ссылки и где не стоит брать шаблоны

Топ 5 ресурсов, с которых однозначно не стоит скачивать ни расширения, ни шаблоны можно оформить наверное так (по личному опыту и по отзывам тех, кто мне в свое время отписывался):

  1. Joomla-Master.org — буквально нашпигованы эти шаблоны ссылками (сразу смотрите в \шаблон\html\com_content\article"", но и в других местах тоже много чего можно найти)
  2. Web-Creator.org
  3. Wp-Templates.ru
  4. Design4Free.org
  5. JoomFans.com

В принципе, увидеть скрытые ссылки ведущие с вашего сайта можно, например:

  1. С помощью программы Xenu Link Sleuth. Достаточно будет просто просмотреть все ведущие со страниц вашего сайта внешние ссылки, и если что-то вызывает подозрения, то посмотреть каким образом она вставлена на указанной программой странице.
  2. Либо можно воспользоваться сервисом Линкпад, но если ваш сайт уже в возрасте, то замучаетесь все это дело вручную анализировать.
  3. Можно еще задействовать инструмент проверки ссылок на отдельных страницах (все внимание на правую колонку с внешними ссылками) от pr-cy.

Вообще, фантазия у «редисок» размещающих скрытые ссылки богатая. Раньше использовались, например, такие способы, но сейчас все уже могло поменяться и разнообразиться:

  1. Самый простой вариант, это когда ссылка размещается в области копирайта (в районе надписи, на каком движке работает данный сайт).
  2. Возможен более хитрый вариант, когда, например, в папке с картинками размещается файлик в формате Html с нужным текстом и ссылками. Вы о нем не подозреваете, а поисковики лазят везде и вполне могут счесть его за одну из страниц вашего сайта. Это, кстати, еще один повод закрыть все ненужное (служебные директории сайта) от индексации в robots.
  3. Зачастую для того, чтобы вы или ваши посетители имеющиеся левые ссылки не нашли, их прячут средствами CSS. Например, добавляют к ним свойства:
    1. text-indent: -9999px (или -999em);
    2. display:none
    3. visibility:hidden
    4. position: absolute; left: -22222px
    5. Ну, и еще наверное с десяток нехитрых способов
  4. Добавленные в код шаблона ссылки раньше активно шифровали с помощью BASE64 (этим способом даже картинки можно зашифровать), чтобы неопытные пользователи не смогли найти их по Урлу. Сейчас, конечно же, все знают, что это такое и как эти вставки отыскивать, проверять (расшифровывать) и удалять.
    $str = 'PGRpdiBzdHlsZTsdgvvgd
    fhGxlZnQ6LTEwMjQzcHg7dfghdfFGHmPSJodHRwOi8vd3d3Lnp
    vb2ZHGjkhjsdGl0bGU9Inpvb2ZpcJtYS5ydkjsdglkm;lKHJG4='
    ; echo base64_decode($str);?
    Самое простое, это выкачать шаблон на компьютер и провести поиск по содержимому его файлов (можно, например, при помощи Тотала) на предмет нахождения таких слов, как md5 или base64.
  5. Но высока вероятность, что все будет намного сложнее. Ссылки будут прописаны где-нибудь в php файлике шаблона и никаких подозрений у вас этот код не вызовет, если вы, конечно же, не специалист. Искать такие закладки нужно уже с помощью специальных расширений (например упомянутого чуть выше плагина TAC для WordPress). Но не все можно найти и обезвредить вовремя. И не факт, что это гадость не вылезет снова, а жить на пороховой бочке не очень-то улыбается.

Поэтому проверять свой сайт на наличие не санкционированных вами внешних ссылок нужно, но их отсутствие вовсе не гарантирует их не появление в ближайшем будущем. Нужно проверять сам код шаблона еще до его установки, но опять же, методов проверки стопроцентно гарантирующих результат не существует. Эта область не настолько «вкусная» в плане полученной выгоды, чтобы создавался серьезный софт все это дело оперативно отслеживающий и удаляющий (на манер антивирусов). Кстати, большинство из таких антивирусов входят в состав онлайн сервиса ВирусТотал, что несколько облегчает задачу, ибо сервис этот бесплатный.

Кстати, еще одна проблема связана именно с удалением «закладки». Зачастую, даже найдя с помощью каких-то плагинов или расширений место вставки скрытых ссылок, вы ничего с ними поделать не сможете. Например, шаблон может отслеживать их наличие и не работать, если не обнаружит в нужном месте кода их вставки. Да и просто ваше банальное незнание языка PHP (или хотя бы его синтаксиса) может не позволить вам грамотно удалить «закладку», не зацепив чего-то жизненно важного для работы сайта.

В этом случае остается только доверить свой сайт профи для чистки, но тут опять же нужно найти спеца, которому можно довериться. В общем-то умный (либо находчивый) человек может решить практически любую проблему, но по-настоящему мудрый — постарается ее вообще не создавать. Имеет смысл в этом плане быть чуть умнее и стараться избегать ненужных проблем, пусть и решаемых.

Варианты безопасного получения шаблонов и расширений

Лично я сейчас уже не могу похвастаться былой беспечностью и трижды «дую на воду». Во избежании заражения непосредственно с моего компа, я обезопасил Файлзилу и пароли в нее передаю из хранилища в Кипасе.

Ну, а во избежании заражения через шаблон я предпочитаю заплатить денежку, чтобы потом не разгребать ворох проблем. Другое дело, что денежку можно заплатить большую, а можно и не очень большую. Я лично выбираю второй вариант, но сначала поясню суть первого.

Кое-что, конечно же, можно найти и в официальных репозиториях этих движков (читайте про то, где можно безопасно скачать бесплатные темы для WordPress и зайти на официальный сайт расширений для Joomla), но, во-первых, выбор там существенно ограничен, а во-вторых, в такие же «одежки» будут одеты еще многие тысячи сайтов по всему миру, что несколько снижает уникальность вашего проекта и в глазах посетителей, и в глазах поисковиков.

Однако, в мире существует очень много профессиональных компаний, занимающихся разработкой платных шаблонов для Joomla и WordPress. Априори (что это значит), у них закладок быть не должно, иначе они мгновенно растеряют авторитет и доверие клиентов. Однако, цена на один шаблон у них может составлять 50-100 долларов в зависимости от его функционала и новизны.

Кроме этого могут возникнуть некоторые проблемы с оплатой (придется знакомиться с такой системой международных платежей, как Пайпал, либо рискнуть и совершить покупку с оплатой напрямую с пластиковой карты). Однако, в результате вы получите заведомо «чистый» шаблон, что есть хорошо. Правда, идущая с ним в нагрузку техподдежка будет актуальна лишь при вашем знании языка, на котором она осуществляется. В большинстве случае знание русского языка вам в этом деле не поможет.

Второй вариант мне больше нравится в силу его более высокой рентабельности (соотношении потраченных денег к полученным возможностям), хотя по отношению к разработчикам он и не совсем «белый». Суть его заключается в том, что Joomla и WordPress распространяются по лицензии типа GNU/GPL, т.е. лицензии на свободное программное обеспечение ( такое ПО можно использовать, копировать, модифицировать и распространять). Собственно, об этом я уже писал и раньше в упомянутой в самом начале статье о шаблонах Joomla.

Если не вдаваться особо в подробности, то суть заключается в том, что и расширения (шаблоны, плагины и т.п.) для этих движков не могут являться частной собственностью авторов. Да, за них можно требовать плату, но вот наказать или преследовать по закону за несанкционированное использование или распространение этих расширений уже будет невозможно. Несмотря на это, рынок платных расширений для Joomla и WordPress огромен, хотя и не защищен законом об авторском праве. Наоборот, GNU/GPL лицензия на 100% защищает Вас от разработчика.

Многие компании разработчиков, кстати, предоставляют доступ к своим шаблона по подписке. Т.е. вы платите определенную сумму и в течении определенного времени может скачивать и дальше на постоянной основе использовать все их творения (шаблоны или расширения). Собственно, и второй способ безопасного получения тем оформления для WordPress, а также шаблонов для Joomla строится на примерно таком же принципе.

«Показал мне на него пальцем» не так давно мой товарищ, которого я упоминал в ряде статей (он уже несколько лет ищет идеальный вариант построения интернет-магазина, и на этом пути находит много такого, что мне кажется интересным и в дальнейшем активно используется). Речь идет о складчине премиум шаблонов и расширений CmsHeaven.org.

Суть складчины довольно простая — купить продукт и раздать всем, кто участвовал в складчине. В CmsHeaven.org еще больше упростили схему — тут не нужно скидываться на отдельные шаблоны или расширения, которые вам нужны. Вы просто оплачиваете временный доступ ко всему каталогу, который имеется в распоряжении этого сервиса (несколько тысяч наименований, разбитых для удобства поиска по движкам, авторам и тематикам).

Каждый из представленных продуктов был честно куплен у разработчиков на деньги складчиков (имеются и бесплатные шаблоны, но они опять же представлены известными брендами, которые им нужны в целях рекламы). И что немаловажно, организаторы постоянно пополняют каталог новыми экземплярами (с пылу с жару, что называется), которые еще долго придется ждать в паблике. Многим это придется по душе.

В общем, такой вот кооператив, куда можно вступить и пользоваться всеми благами. Но с некоторыми ограничениями. Дело в том, что организаторы хорошо понимают, что без введения ограничений весь их каталог утечет в паблик на раз-два. Поэтому имеет место быть ограничение на 36 скачиваний в месяц. Этого вполне достаточно обычному вебмастеру, фрилансеру и даже компании по созданию сайтов.

При этом гарантируется отсутствие в представленных расширениях и шаблонах «закладок» (скрытых ссылок, вирусов, троянов и «стучалок», которые сообщают разработчику о сайте использующем их шаблон). В виду этого покупаются только продукты известных брендов с открытым кодом, где можно все это проверить и при необходимости устранить.

Часть расширений переведена на русский язык, а при возникновении проблем с установкой или настройкой техподдержка обещает оказать помощь, что зачастую бывает ой как необходимо (наверное уже не раз прочесывали интернет в поисках решения возникшей на ровном месте проблемы). Этим, кстати, и отличают бесплатные движки от платных, что нет поддержки пользователей как таковой.

Да и скачивать понравившиеся вам продукты можно будет с нормальной скоростью и без просмотра рекламы на файлообменниках. Пустячок, ибо для получения вожделенной «няшки» можно и горы свернуть, а не только с файлообменником повоевать, но именно из пустяков складывается комфорт.

Вообще идея и ее реализация мне очень понравились, а вот пользоваться ли бесплатными шаблонами из репозиториев Joomla и WordPress, вступать ли в складчину на CmsHeaven.org или покупать шаблоны напрямую у разработчиков решать придется вам самим. Только «умоляю вас, не ешьте на ночь сырых помидоров», то бишь не скачивайте халявные продукты со всяких «замечательных» ресурсов, ибо можно массу проблем получить в нагрузку. А оно вам надо?

Удачи вам! До скорых встреч на страницах блога KtoNaNovenkogo.ru

Комментарии и отзывы (14)

Alex

Спасибо. Полезная статья. Сегодня же проверю сайт хотя бы с помощью Xenu Link Sleuth, а там посмотрю. Пока поисковики ко мне «доброжелательны», так я особенно и не заморачивался. Но на всякий случай стоит проверить.

Андрей Хвостов

У меня стоит бесплатная тема и мне пришлось изрядно повозиться с ней. Была куча ссылок, которые убрал. В хедере много ссылок было. Одна ссылка в футере была особенно зловредная. Про убирании её вся тема превращалась в белый лист. Справился с таким кодом. Потратил много времени. Сейчас бы поступал по другому. Есть фрилансеры, которые предлагают с техподдержкой и обратной связью отличные шаблоны для Вордпресса, как МЛМ блоги, так и бизнес блоги. Про одного такого специалиста — Анфису Бреус писал на своём блоге статью.

Елена

Здравствуйте. Думала воспользоваться CmsHeaven.org, но прочла эту статью и передумала (автору спасибо). Вот что меня смущает:

1) Цена вступления в CmsHeaven.org от 80$ (6 месяцев) до 240$ (36 месяцев).

2) Техническую поддержку по расширению лучше всего получать у разработчика расширения, а не у посредника.

3) Гарантия отсутствия всяких левых сюрпризов в коде расширения всё равно больше, если покупать у непосредственного разработчика, а не у перекупщика.

4) Помимо самого расширения и техподдержки очень часто предоставляется доступ к закрытым материалам видео\документация\дополнения к расширениям и так далее. Их тоже выкладывают на CmsHeaven.org? А как на счёт платного сервиса планировщика для AcyMailing? Там привязка по домену.

5) Где гарантия, что я оплачу на 3 года, а завтра CmsHeaven.org не закроется? Я так понимаю, что CmsHeaven.org организовали наши соотечественники (бывший совок), а бизнес в России построен на обмане и кидалове.

6) При покупке расширений у разработчиков, как правило, есть возможность возврата денег. А тут?

7) На странице выбора тарифного плана http://cmsheaven.org/about/#access есть список «Содержимое складчины». Если нажимать на названия разработчиков, то идёт странная переадресация на их сайты. Не прямая ссылка, а какой-то ридерект. Наверное из-за того, что владельцы CmsHeaven.org не хотят, чтобы о их «легальном сайте по лицензии GNU/GPL» знали разработчики. Интересно, почему?

8) Я так поняла, что владельцы CmsHeaven.org пытаются накрутить показатели своего сайта тут: https://www.mywot.com/ru/scorecard/cmsheaven.org так как сама система пишет: «WOT обнаружил необычное поведение в оценочной карте поэтому оценивание отключено», общая оценка сайта низкая, а комментарии положительные. Особая активность комментариев в сентябре-октябре 2014, а до и после этого тишина. Странно. Или мне кажется? Зачем хорошему сайту\бизнеу искусственно завышать свою оценку якобы от имени пользователей? Плюс, если посмотреть профили людей, которые оставили отзывы, то явно видно, что это новые непрокаченные аккаунты с низкой репутацией (в большинстве случаев).

9) Таким вот образом можно убить фирму разработчика и тот компонент\шаблон, который вы используете и вам нравиться перестанет поддерживаться, развиваться.

Фрилансер Олег aka mys1ik

Спасибо за ссылку на cmsheaven, вступил на пол года, реально халява. Ставлю шаблоны/расширения заказчикам, все работает как надо. Материалы обновляются, про тех. поддержку не обманули. Вообщем я доволен, заказчики тоже, сэкономили кучу денег.

Александр

Спасибо за статью. Искал тоже отзывы про этот сервис http://cmsheaven.org/

Сама идея мне очень понравилась, но все равно есть опасения.

Написано у них все красиво и грамотно, но меня не раз «кидали» технически грамотные мошенники. Это сейчас не показатель.

Так вот, соглашусь с Еленой — показатели отзывов явно «накручены». Уже 2 года прошло, была дикая вспышка отзывов, и с тех пор тишина. А «накруткой» честный человек заниматься не будет. А нечестному доверять опасно.

Кроме того, как раз на сайтах с «грязными» шаблонами в шапке огромные баннеры этого сервиса. Ну, знаете... Как-то это не то. Если уж они такие молодцы, от этого Г надо отдаляться.

https://www.dropbox.com/s/8n3i5708yplndsv/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202016-04-04%2014.06.24.png?dl=0

https://www.dropbox.com/s/czc4hz2gyo64hg0/%D0%A1%D0%BA%D1%80%D0%B8%D0%BD%D1%88%D0%BE%D1%82%202016-04-04%2014.12.28.png?dl=0

В общем — я засомневался. Буду покупать у разрабов.

Алексей

Спасибо!Есть полезные моменты, о которых не знал.

А

Задумался о приобретении шаблона на http://www.templatemonster.com/

Но очень сильно засомневался в целесообразности, когда уже четвертый день нет ответа на отправленный запрос по уточнению некоторых деталей по шаблону. Какое доверие может быть потом к потенциальной техподдержке, да и вообще к обещаниям этого ресурса?

Иван

Настоящее кидалово!!!! деньги взяли и подписку тут же заблокировали и ни ответа ни привета... половина ссылок битые.

Kladproraba

Здравствуйте :), для блога можно вполне использовать и бесплатный шаблон, на сегодняшний день, есть множество плагинов, с помощью которых можно украсить шаблон. Но бывают и проблемы с бесплатными шаблонами, ссылки, вредоносные коды. Говорю по своему опыту. Если всё же бесплатный (бюджет не позволяет), то я советую создать блог на гугл сайтах, там точно безопасно, разработчики недавно добавили новые шаблоны, у меня там есть сайтик, всё ок. Возможности, конечно, ограничены, но, зато бесплатно. Премиум шаблон я тоже покупал, для магазина kladproraba.com, покупал на ресурсе utema, было написано, что перевод русский, но очень корявый оказался перевод, да и шаблон постоянно обновляется, дочерней темой пока не пользуюсь, решение нашёл, программа для перевода шаблонов poedit. Надеюсь, будет полезно, рад был поделиться информацией. Удачи 🙂

Михаил

За статью огромное спасибо, многое прояснилось. В свое время тоже намаялся с бесплатным шаблоном, с тех пор использую коммерческий с https://www.templatemonster.com/ru/joomla-templates-type/ – полёт нормальный ). Если качество для вас действительно важно, рекомендую.

Владимир Николаевич

Дмитрий, здравствуйте! Спасибо за статью. Давно пользуюсь платными шаблонами, но для моего сайта pravo-wmeste.ru существует такая проблема-счётчик включенного на сайте блокиратора рекламы ABP показывает постоянно увеличивающиеся количество заблокированной рекламы на Главной, например:30, 31...45...и т.д. Рекламы на сайте нет, а ABP её находит и блокирует.

Подскажите пожалуйста, можно ли обнаружить этот «феномен» на сайте в коде шаблона. На вирусы проверял. К изготовителю шаблона обращался, говорит не обращай внимание...

Может посоветуете, как опытный блогер, есть ли путь к обнаружению и и ликвидации этой проблемы? Буду признателен за совет, а возможно и помощь.

С уважением, В.Н.

P.S.На сайте установлены плагины:Wordfence,iThemes Security

R0drigo

cmsheaven поощряет такие статьи, это материал из категории «напиши хвалебную статью — продлим подписку». Сам же сайт выкладывает скачанные с варезников архивы, на чем неоднократно палился — отзывов в сети предостаточно. Банят при первой же претензии — кидалы со стажем.

Алоена

Спасибо за статью, написали так что аж самой захотелось, купила на год — пока акция действует)

Александр

Спасибо вам за ценные советы и классную статью!!!

Ваш комментарий или отзыв