W WordPress 4.7.4 do edytora wizualnego zostało dodane nowe zabezpieczenie, chroniące Twoich czytelników i klientów przed tabnabbingiem, sprytnym sposobie na kradzież prywatnych danych użytkowników.
Do ataku dochodzi przy zmianie zakładki w internetowej przeglądarce. Strona zawierająca złośliwy kod wykorzystuje moment, gdy internauta skupia swoją uwagę na innej witrynie, by w tym czasie całkowicie zmienić swój wygląd. Po szybkiej transformacji cyberprzestępcza witryna wygląda jak popularne strony logowania, np. do poczty Gmail.
Zabezpieczenie przed tabnabbingiem w edytorze wizualnym
Od teraz każdy link, który ma się otwierać w nowej karcie, otrzyma oprócz parametru terget=”_blank”, również rel=”noopener noreferrer„.
Na forum WordPress wiele osób masowo zaczęło ten problem zgłaszać.
Linki otwierane w tej samej karcie, nie posiadają dodatkowych znaczników:
Czy linki noreferrer traktowane są jak nofollow? Tego nie wiemy i na forum Google zdania są podzielone.
Jak usunąć rel=”noopener noreferrer” z linków wychodzących w WordPress?
- Usunięcie poprzez gotową wtyczkę – 3 dni temu do repozytorium trafiła wtyczka – No noopener noreferrer – Don’t add rel=”noopener noreferrer”, która dezaktywuje tę funkcję po jej aktywacji i TinyMCE nie dodaje więcej tych niepożądanych przez niektórych znaczników.
- Dodanie funkcji ręcznie do functions.php – Link do GitHub.
Źródło cytatu: „Tabnabbing”, czyli podmiana zawartości strony internetowej, gdy patrzysz na inną. Piotr Gontarczyk, PC LAB, 27.05.2010 r.
2 komentarze do wpisu “Jak usunąć rel=”noopener noreferrer” w linkach wychodzących w WordPress?”
piter
Czy ten kod do usunięcia rel=”noreferrer” działa? Umieściłem na końcu pliku functions.php i niestety ale wodrpess nadal dodaje te atrybuty.
Jakub Jaworowicz[ Autor Artykułu ]
Wtyczka nie działa z Gutenbergiem, a jedynie z edytorem wersji 4.0 tzw. Klasycznym.