Newsmag: ложная тревога
Когда клик в любом месте страницы вдруг инициирует переход на другой сайт, первая мысль, которая приходит в голову — сайт взломан. Оказывается — не всегда.
На днях столкнулся с такой задачей: нужно было выяснить откуда взялись эти странные редиректы на сайте.
Сайт построен на Newsmag — прекрасной премиум-теме для Вордпресс от не менее прекрасной румынской команды разработчиков tagDiv. Которой, кстати, я уже почти год обещаю сделать русскоязычный обзор их тем, но все не доходят руки. К слову, tagDiv — авторы той самой легендарной темы Newspaper, имеющей почти сотню тысяч продаж на ThemeForest.
Я уже было приготовился сканировать сайт на наличие вредоносного кода, но меня смутили несколько моментов. Во-первых, отсутствие обфускации, без которой не обходится ни одно вторжение. Второе — осмысленное имя переменной «td_ad_background_click_link» и третье — русский текст в юникоде. Все эти признаки очень не свойственны классическому взлому. Ссылку на сайт я скрыл звездочками.
td_magnific_popup_translation_image_tError="\u0418\u0437\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u0435 #%curr% \u043d\u0435 \u0443\u0434\u0430\u043b\u043e\u0441\u044c \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c.";
var td_ad_background_click_link="http:\/\/******.**\/";
var td_ad_background_click_target="";
Оказалось — все намного проще.
В Newsmag интегрировано множество рекламных блоков или плейсментов (как угодно), один из которых как раз отлавливает случайные клики. Называется эта штука Background click Ad.
Не попадайтесь и всегда проверяйте происхождение всех ссылок и редиректов с вашего сайта — это первые признаки взлома.
Фулстек веб‑разработчик, специализируюсь на платформе WordPress
Подробнее