Wees voorzichtig met onbekende Joomla!extensies!

backlinksOnderstaande tekst is op 23 augustus geschreven en gepubliceerd door Jurian Even op de website van Twentronix. Voor Joomla!NL is dit vertaald door Wouter (WoodyF4u).

Vorige week bezocht ik de Joomla Extension Directory om te zien welke nieuwe extensies er waren uitgekomen. Daarbij kwam ik bij een plugin die mijn aandacht trok. De plugin was van een onbekende ontwikkelaar die nog niet eerder een Joomla!extensie had gepubliceerd en dus was ik benieuwd naar de gebruikte code. Na downloaden van de plugin, pakte ik deze uit en bekeek de code. Al snel viel mij deze code op:

// Let people know that the plugin is turned on.
if (!headers_sent())
{
 header("X-RP-Powered-By: Plg-RP-Joomla (SitesRUs.ca) 1.0.1");
}

Het plaatst code over de extensie en wat advertentie-info in de headers van je website. De ontwikkelaar maskeert de code door het toevoegen van het commentaar: "Let people know that the plugin is turned on". Neemt hij mij daar nu in de maling?! De Joomla!-back-end heeft al voldoende indicaties om te tonen dat een plugin is geactiveerd.


Ik werd nieuwsgierig naar meer code en vond al snel deze:

//Adjust the component buffer.
$doc = JFactory::getDocument();
$buf = $doc->getBuffer('component');
$buf = $buf . '<div style="display:none;">Reverse Proxy plugin provided by Sites R Us (sitesrus.ca)</div>';
$doc->setBuffer($buf, 'component');

Het voegt een verborgen backlink naar de website van de extensie-ontwikkelaar toe op elke pagina van jouw website. Met deze methode creëert de ontwikkelaar een enorme hoeveelheid links naar zijn eigen website en hoopt zo een betere positie te krijgen in de zoekmachines zoals Google. Verborgen blacklinks worden "black (zwart) hat SEO" genoemd omdat ze op een niet eerlijke manier SEO (Search Engine Optimalisation) opwekken. Het installeren van dit soort verborgen black links op websites is in mijn ogen verre van onaanvaardbaar.

Sinds verborgen backlinks als een oneerlijke methode voor het verhogen van je positie in zoekmachines wordt gezien, geeft Google vaak pennalties voor dit soort praktijken. In het voordeligste geval zal de link door de zoekmachine worden genegeerd. Maar in het slechtste geval blokkeert Google jouw website vanwege het gebruik van dit soort links.


Conclusie

Wees voorzichtig met het installeren van dit soort onbekende extensies. Gebruik alleen extensies van een ontwikkelaar die al enige reputatie heeft in de wereld van ontwikkelaars. Download extensies alleen van de website van de ontwikkelaar zelf.  Download nooit van zogenaamde warez-sites. Die bevatten vaak verkeerde code die kunnen resulteren in een gehackte website.

Update. Ik rapporteerde deze extensie vorige week en het JEDteam heeft er direct een waarschuwing bij geplaatst. Bij deze de hartelijke dank aan het JEDteam.