--- title: "注意:很多开源建站程序的应用中心都含有恶意外链" url: "https://www.seosiguan.com/post/2247.html" id: "https://www.seosiguan.com/post/2247.html" language: "zh-Hans" --- 最近给不少公司的网站诊断发现个普遍性的问题,那就是很多企业建站都不知不觉的掉进了名正言顺的陷阱,简单的说就是在开源建站程序的应用中心购买主题和插件、既然含有类似于木马病毒的恶意外链,导致SEO是极大负面影响的结果。 **国内外有很多搞灰产和违法网站的人,会在有官方背景的开源社区的应用中心进行入驻,然后上传携带隐藏性的恶意外链。** 现在很多个人和公司都会先用免费开源的建站程序进行前期的低成本投入的试运营,这是个很明智的选择,但是由于相信官方背景,所以对应用中心的主题和插件是没有防范意识,导致不知不觉就是花钱成了冤大头,而且社区的官方是不会负责,因为是开源并且自愿购买,安全风险是自担的原则。 其实这就是以前在网上发布盗版、破解版、免费版的开源网站是一个套路,提供免费下载使用,从而滋生出大量的外链,现在是入驻正规的开源社区的应用中心,然后低价出售主题和插件,而且还会装模做样的在线提供服务,只要有了上当受骗的网站群体数量,就消失找不到人了,这是一举两得啊,赚点小钱还能培育出外链。 所以这种恶劣的情况,如果你对网站的建设以及技术是没有基础的知识,那就很有可能中招,在这我就不点名是哪个建站程序了,但是提醒你,国内外的开源社区的应用中心都是普通有这类陷阱,而且你正儿八经从正规渠道购买网站的主题和插件,甚至都很有可能还存在后门以及特制的漏洞。 **有些程序技术员就是在应用中心培育外链资源。** 很多人不知道,其实国内外有不少的程序编程方面的技术人员,他们的工作就是寄生在建站程序的官方应用中心,然后发布产品提供给用户下载,而且会有收费和免费的版本,只要有用户下载安装了他们的主题或是插件,那么就获取了用户网站后端的部分控制台的权限,接下来就可以自定义的调控外链指向了。 你可能有疑问,如此恶劣的行为是图什么好处呢,其实他们是培育外链资源,然后贩卖出去,而你的网站就是肉鸡,他们会把从你网站指向出去的外链贩卖给灰色产业和违法的网站,这样的结果就是你成了违法违规网站的外链来源方了。 **还有一种是JS和CSS的外链资源,这是挂靠形态。** 很多违法违规的网站为了降低被搜索引擎检测的几率,会采取读取外部的JS和CSS的资源,其实就是伪装术,但是受伤的就是源站(你),所以网站是有必要禁止外部读取JS和CSS文件,甚至是字体资源也要禁止,但是要注意允许搜索引擎正常的抓取,可以用防盗链解决这个问题。 所以这也是你必须要检查的安全事项,很有可能不是植入外链,而是盗取你的静态资源,但是形态属于外链,而后者是属于挂靠,你的网站就是个挡箭牌,如果你发现网站的日志记录有搜索引擎抓取你的静态文件是来源外部的网址,这个时候就已经说明有安全问题了,或者是已经被挂靠盗取了。 **严格检查网站的主题和插件是否存在外链特征码。** 教你个很简单的方法,那就是编辑打开源码文件,然后搜索“HTTP”,这是因为很多隐藏的恶意外链都会先识别并且依据HTTP协议进行适配,否则有可能过不了应用中心的安全检查,也就是不能上传被用户购买下载,而且由于市面上比较成熟的开源建站程序都有自己的固定函数标准,所以很大程度要遵循规范,这就有点容易暴露外链的特征。 具体就不细说了,你就按照这个简单的方法去操作,凡是用“HTTP”搜索出来的代码信息含不明来源的外链URL,那你就要注意了,这很有可能就是恶意外链,但是也要提醒你,这个方法不是百分百能检查出所有的恶意外链,而是不懂的你,最简单快速的方法,如果你懂编程技术、那肯定有更全面有效的检查方法,所以具体看你的知识情况了。 **验证网站的主题和插件是否支持PHP8.X以上版本。** 我们用PHP语言举例,如果你看中某个主题和插件,那么先验证是否支持PHP8.X以上版本,这是最直观的方法,也是最简单快速的验证是否有外链的安全风险,虽然也不是百分百的验证安全,但是会较大程度降低风险,原因是PHP8.X以上版本的技术特性在目前短时间内,还是有底层保障,甚至是建站程序为了支持PHP8.X以上版本,也会对结构以及语法进行升级,这些都会在一定程度从网站内部禁止了恶意外链的存在几率。 所以你可以用更先进的网站服务端技术方面的手段进行验证是否有恶意外链的可能性,或者说是降低可能存在恶意外链的几率,而且这个方法也确实能规避很多依靠老旧技术的不法分子,因为他们也是有技术及时间的成本,实际上搞这种陷阱套路的恶意外链,大多数也都是用落后的技术,比如说PHP8.X以上版本的技术内核就完善更细致的过滤非认证的URL机制,那么对于网站内部含有的恶意外链就不太友好了。 **结语:**如果你是在建站程序的应用中心购买网站的主题和插件,可以优先选择那些产品数量多的开发者,谨慎购买那些产品数量少,尤其是警惕长期已经不更新或是免费的主题和插件,其实很多都是地雷,就是上传到正规渠道搞外链的套路。