Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Schlagwortarchiv „Theme“

Warum man nicht mit Google nach freien WordPress-Themes suchen sollte

Mittwoch, 12. Januar 2011

Was herauskommt, wenn fragwürdige Gestalten die Indizes der Suchmaschinen manipulieren, kann man frisch (und in englischer Sprache) im Blog von wpmu.org nachlesen.

Das Problem

Siobhan Ambrose gab einfach nur den Suchbegriff „free WordPress themes“ in Google ein und schaute sich einmal an, was in den Themes der ersten zehn Treffer an fragwürdigem Code enthalten ist – mit folgendem Ergebnis:

  • Nur eine Site bot WordPress-Themes mit sicherem, modernen Code an, der problemlos alle Features der aktuellen WordPress-Versionen unterstützt. Diese Site war die offizielle Website wordpress.org.
  • Eine weitere Site bot technisch veraltete WordPress-Themes an. Diese können zwar durchaus funktionieren, unterstützen allerdings keine aktuelleren Features wie Avatare, die Aufspaltung der Kommentare in Unterseiten, Galerien, Formatierungen der eingebetteten Bilder oder Schlagwörter. Sie wurden also seit Jahren nicht mehr an die Weiterentwicklung von WordPress angepasst. Wer diese Features nicht benötigt, kann diese Themes durchaus verwenden, wird aber Probleme bekommen, wenn die Ansprüche einmal steigen sollten. Es ist ja durchaus kein unüblicher Wunsch, ein linksbündiges Bild mit einer Bildunterschrift einzubetten.
  • Acht Sites boten Themes an, die Spamlinks auf diverse, teils sehr fragwürdige Websites enthielten. In der Regel waren diese Links base64-codiert, also so realisiert, dass sie beim Bearbeiten der Theme-Dateien nicht direkt sichtbar werden und auch nicht leicht vom Anwender zu verstehen und zu bearbeiten sind. Zuweilen waren die Links auch offene SEO-Spam, mit CSS im Blog unsichtbar gemacht, aber weiterhin sichtbar für die Bots der großen Suchmaschinen. Jemand, der halbwegs koschere Absichten hat, würde nicht zu derartigen Mitteln greifen. Darüber hinaus wurde in einigen Themes auch ausgesprochen fragwürdiger und ebenfalls verborgener Code auf dem Webserver ausgeführt, auf welchem das Blog betrieben wird – insbesondere wurden Daten von anderen Servern im Internet nachgeladen und in der WordPress-Datenbank abgelegt. Es handelt sich bei diesen Themes um Spam, SEO-Spam und zuweilen sogar um Schadsoftware.

Kurze Zusammenfassung: Die Suche „free WordPress themes“ in Google liefert überwiegend gefährliche, aufdringlich nach Spam und Bloghack schmeckende Ergebnisse schon auf der ersten Ergebnisseite. Ein naiver Benutzer, der sich auf Google verlässt, ist verlassen und verwandelt sein selbstgehostetes WordPress-Blog in eine Spamschleuder oder stellt gar seinen Webspace Gestalten zur Verfügung, die in meinen Augen besser mit einer Gefängniszelle bedient wären. Ein „hübscher“ Beleg für die Tatsache, dass Google für Produkt-Suchen aller Art völlig nutzlos geworden ist.

Was tun?

Was soll nun aber ein interessierter Blogger machen, der gern ein hübsches Theme hätte, wenn er sich nicht einfach „schnell“ eines selbst machen kann. Die wenigsten Menschen werden Lust haben, nur für diesen einen Anwendungsfall PHP, CSS und HTML in der erforderlichen Breite zu lernen – man hat ja auch noch ein „richtiges Leben“. Ein nützliches Feature von WordPress, nämlich die einfache Anpassung des Designs durch das Hochladen und Aktivieren eines fertigen Themes, ist nutzlos geworden, weil das Angebot von Verbrechern und fragwürdigen SEO-Idioten überflutet wird, die über dieses Einfallstor Schadsoftware und Spamlinks auf private Websites bringen. Ein weiterer Schaden der Spam an einer Stelle, wo zunächst derartige Schäden gar nicht vermutet würden.

Nun, guter Rat ist gar nicht so einfach.

Wer sich bei seiner Theme-Suche auf offizielle WordPress-Sites beschränkt, ist auf einer relativ sicheren Seite. Die Themes, die bei wordpress.org oder bei WordPress Deutschland angeboten werden, haben eine breitere Nutzergemeinde, und sollte es dort einmal jemanden gelingen, ein „verseuchtes“ Theme hochzuladen, so ist die Wahrscheinlichkeit hoch, dass ein derartiger Missbrauch schnell erkannt und in offener Diskussion erörtert wird, was zum schnellen Entfernen des dreisten Versuches führen würde.

Doch selbst an solchen Stellen ist eine gewisse Aufmerksamkeit angemessen. Ein WordPress-Theme ist immerhin ein Stück Software, mit dem es einem anderen, in der Regel relativ anonym bleibenden Menschen ermöglicht wird, Code auf einem Webserver auszuführen. Diese Möglichkeit ist für Verbrecher und Spammer ausgesprochen attraktiv – es können Anmeldedaten ausgespäht, Links gesetzt, illegale und kriminelle Downloads angeboten und sogar gebloggte Text nachträglich verändert werden, wenn es gelingt, Bloggern ein verseuchtes Theme unterzujubeln. (Genau das gleiche gilt übrigens auch für Plugins, aber hier werden die meisten Menschen aufmerksamer und deshalb weniger geneigt sein, ein Plugin aus „irgendeiner“ Quelle zu verwenden.) Letztlich ist es eine Design-Schwäche von WordPress, dass Themes aus ausführbarem Code bestehen, und jeder WordPress-Anwender muss mit dieser Schwäche leben.

Um etwas selbstverantwortliches Handeln kommt also niemand herum. Das ist die wohl allgemeinste Aussage, die in Bezug auf Spam getroffen werden kann. Einfache, automatisiche Verfahren zur Erkennung fragwürdiger Themes – es gibt derartige Plugins – können nur eine Ergänzung sein und sind insofern gefährlich, als dass sie ein trügerisches Gefühl von Sicherheit erzeugen können. Natürlich kennen die Halunken, die einem Blogger ein Spam-Theme andrehen wollen, diese Plugins auch und werden gegebenenfalls nach Lücken in den automatischen Scans suchen, sollten derartige Plugins jemals eine größere Verbreitung finden.

Die folgenden Tipps sind nicht vollständig und liefern keine 100prozentige Sicherheit, aber sie helfen doch gegen die Mehrzahl der Versuche, ein Theme zur Spam zu machen:

  1. Nach Möglichkeit auf offizielle WP-Sites zurückgreifen!
    Hier sind die Chancen am größten, dass die Themes (und anderer Code) sauber sind.
  2. Vor der Installation Google fragen!
    Hat sich der Anbieter dieses Themes einen schlechten Ruf erworben, wird in Foren darüber diskutiert, dass die angebotenen Themes mit Spamlinks oder Malware angereichert sind? Wenn ja, denn herrscht Alarmstufe Rot. Natürlich kann einmal eine Panne passieren, aber Themes aus einer derartigen Quelle sollten mit äußerster Vorsicht behandelt und im Zweifelsfall besser gemieden werden.
  3. Keine automatische Theme-Installation!
    Es ist wirklich einfach geworden, direkt aus dem WordPress-Dashboard heraus ein Theme zu installieren. Der Nachteil ist, dass man bei diesem Vorgang die Theme-Dateien nicht mehr zu Gesicht bekommt und gar keine Chance mehr hat, sie zu überprüfen. Sicher, die Themes kommen aus einer seriösen Quelle und werden hoffentlich kurz überprüft. Aber warum sollte grundlos vertraut werden, wenn eine Kontrolle möglich ist? Jemanden anders ein Theme installieren lassen, bedeutet, dass man diesem Jemanden das Privileg einräumt, Code auf dem Webserver der eigenen Homepage auszuführen – solche Privilegien kann man vielleicht einem persönlich bekannten Menschen gewähren, aber in einem anonymen, technischen und abstrakten Medium ist das immer gefährlich. Zum Beispiel ist der Server, von dem die Themes heruntergeladen werden, ein Ziel, das wohl mancher Kriminelle gern angreifen würde, um auf diese Weise Schadsoftware und Spam zu verbreiten. So ein Angriff kann auch einmal gelingen, und wenn er gut durchgeführt wurde, kann er sogar eine beachtliche Zeitlang unbemerkt bleiben¹.
  4. Den Quelltext des Themes anschauen!
    Der Quelltext besteht aus ganz normalen Textdateien, die man sich in jedem Editor anschauen kann – Windows-Anwendern empfehle ich übrigens die Installation des für „normale“ Menschen gut bedienbaren Editors Proton, da Notepad eher ein Not-Pädd ist – und sich einmal anschauen sollte. Selbst, wenn man kein PHP lesen kann. Kein Programmierer macht seinen Quelltext ohne Not kryptischer, als es sein muss. Wenn in einem Theme Variablennamen wie $D8A0OQXQ0, oder auch Zeichenketten wie "U2NoYWRjb2Rl" oder "Vpu ova rva fcnzzraqre Vqvbg" auftauchen², denn will ganz offenbar jemand etwas verbergen. Warum sollte man das tun? Es gibt keinen Grund dafür, in einem offenen Quelltext Dinge verbergen zu wollen. Es ist ein ganz sicheres Zeichen dafür, dass in diesem Theme Dinge geschehen, die ein Leser ohne besondere Kenntnisse nicht nachvollziehen können soll.
  5. Den Quelltext durchsuchen!
    Es gibt PHP-Funktionen, die in einem WP-Theme niemals benötigt werden und dort (in aller Regel) nichts zu suchen haben, aber sehr gefährlich sind. Das gilt insbesondere für fsockopen, urlencode, fread, fwrite, system, exec und eval. Die Suchfunktion des Editors kann solche Funktionsaufrufe recht schnell finden. Wer den Proton benutzt, sollte sich einmal das „dateiübergreifende Suchen“ anschauen³. Wenn eine der benannten Funktionen in den Themedateien auftaucht, ist das ein sehr starkes Indiz dafür, dass etwas nicht in Ordnung ist. Im Zweifelsfall sollte von der Verwendung des Themes Abstand genommen werden. Aber selbst, wenn derartige Funktionen nicht auftauchen, können immer noch spammige SEO-Links im Theme enthalten sein.
  6. Das Theme anschauen!
    Was für Links erscheinen im Theme? Ist da ein Link auf die Homepage oder ein Blog des Designers? Gut, diese Eigenwerbung sei ihm für sein Geschenk gegönnt. Ist da ein Reklame-Link auf irgendeinen kommerziellen Anbieter oder Dienstleister, der auf diese Weise in Google und Konsorten nach oben gebracht werden soll? Da stinkt schon gewaltig. Gibt es irreführend beschriftete Links? Nicht gut. Gibt es Links, die nur erscheinen, wenn man JavaScript eingeschaltet oder ausgeschaltet hat? Alarm! Niemand muss einen seriösen Link mit JavaScript verstecken.
  7. Das Theme genau anschauen!
    Zu guter Letzt sollte das Theme noch einmal ganz genau betrachtet werden, um mit CSS versteckte Links zu finden. Wer den Firefox als Browser verwendet – und wer tut das nicht – hat es relativ einfach. Im Menü Ansicht ▷ Webseiten-Stil gibt es die Option „Kein Stil“. Wenn sie aktiviert wird, denn wird für die Darstellung der Seite kein CSS verwendet. Nun können auch versteckte Links gut erkannt werden. Ein Link, der in dieser Ansicht sichtbar ist und beim normalen Betrachten nicht auffällt, ist ein deutliches Indiz dafür, dass hier persönliche Blogs in SEO-Spamschleudern verwandelt werden sollen. Von einem Klick auf derartige Links rate ich ab. Das Versteckspiel ist deutlich genug in seiner Botschaft, die sich nur an die Bots von Suchmaschinen richtet. Websites, die mit solchen Methoden nach oben gebracht werden sollen, sind Websites von fragwürdigen und oft kriminellen Zeitgenossen.

Ich hoffe, dass diese – wohlgemerkt: unvollständigen – Tipps vielen Menschen dabei helfen, Spam- und Malware-Themes für WordPress zu erkennen und zu meiden. Die meisten Versuche, jemanden unerwünschten Code in sein Blog zu schmuggeln, lassen sich mit den beschriebenen Methoden entdecken, ohne dass besondere Kenntnisse in PHP erforderlich wären. Wenn sie ein bestimmtes Theme unbedingt einsetzen möchten, sie sich aber nach dieser Lektüre und einigen Tests unsicher geworden sind, ob dies gefahrlos möglich ist, kann ich ihnen auch nur empfehlen, sich an jemanden zu wenden, der die Quelltexte verstehen kann. Zum Glück für uns alle gibt es ein Internet. Eventuell ist das Forum von WordPress Deutschland eine gute erste Anlaufstelle.

Spam verschwindet erst, wenn wir alle ihr keinen Raum mehr geben, die von den Spammern erwünschten Wirkungen zu entfalten.

¹Aber klar, ich weiß, was ein intrusion detection system ist. Ich hoffe auch, dass es eingesetzt wird. Ich weiß aber nicht, ob es eingesetzt wird. Außer den Serverbetreibern weiß das niemand. Wenn Vorkehrungen getroffen werden, denn wird dies nicht kommuniziert, wird für unerheblich gehalten. Man soll vertrauen. Blind und unwissend vertrauen. Allein bei dieser Haltung werde ich skeptisch.
²Beides sind übrigens keine willkürlich gewählten Texte… ;-)
³Wer ein unixoides System benutzt, wird vielleicht mein kleines Shellskript mögen.

Dein Template sieht kaputt aus

Mittwoch, 5. Januar 2011

Ich finde es immer wieder erstaunlich, mit welchen seltsamen Konstruktionen in den Kommentarspam der Eindruck erweckt werden soll, es handele sich um einen „richtigen“ Kommentar. So zum Beispiel dieses Meisterwerk der schlechten Spamkunst hier im Spamblog:

Hey in Opera sieht dein Template irgendwie kaputt aus.

Nun, ich pflege es, mein bisschen Design mit allen verfügbaren Browsern – das sind alle außer dem Internet Exploiter, den es für mein Betriebssystem nicht gibt und den ich weder vermisse noch jemanden für die Benutzung im Internet empfehlen würde – zu testen, und das selbst dann noch, wenn es sich um so eine eher triviale Bearbeitung des alten WordPress-Standardthemes Kubrick handelt, wie ich es hier im Spamblog einsetze. Im Opera-Browser sieht „Unser täglich Spam“ übrigens so aus:

Screenshot von Unser täglich Spam, dargestellt im Opera-Browser

Der Opera kann nun einmal HTML und CSS, wie man es von einem Browser erwartet (und beim IE nicht bekommt), und in der aktuellen Version kann er es sogar verdammt gut und fühlbar performanter als der so beliebte bloaty Firefox (dafür ist Operas JavaScript-Engine etwas langsamer).

Von der tollen Website, die mit diesem Kommentar verlinkt werden sollte, kann ich leider aus Gründen des Jugendschutzes keinen Screenshot zeigen. :D

Wer ein Blog betreibt, kommt nicht umhin, sich auch die etwas plausibel wirkenden Kommentare genauer anzuschauen. Dies gilt vor allem, wenn der Bezug zum kommentierten Text ein eher lockerer und oberflächlicher ist. Was jeden Tag an fragwürdigen Links in die Welt gepustet werden soll, ist unfassbar. Wer sein Blog nicht zur Linkschleuder für meist kriminelle Websites machen will – die hier verlinkte war auch nur dem Anschein nach pornografisch, in Wirklichkeit ging es um die Verbreitung von Schadsoftware für Windows-Computer, mit der sich vorgeblich die Videos betrachten lassen – der muss auch schauen, was da verlinkt wird und immer wieder einmal beherzt durchlöschen. Tatsächlich ist ein nennenswerter Teil der Kommentarspam in deutscher Sprache inzwischen handgeschrieben, weil es wohl genug staatlich subventionierte Elendsarbeiter gibt, deren Dienste für die organisiert Kriminellen im Internet mit einem Euro pro Stunde so billig sind, dass sie gern in Anspruch genommen werden. Solche handgeschriebenen Spamkommentare rutschen auch immer wieder einmal durch Akismet, und natürlich wird auch ein Captcha oder ein anderer mechanischer Spamschutz bei dieser Spam nichts bringen.

Find out your missing source codes

Samstag, 3. Juli 2010

Normalerweise sind die Dinge, die in der Kommentarspam angeboten werden, ja nicht besonders toll. Aber hier bietet mal jemand an, dass der compilierte PHP-Quelltexte lesbar macht (und wohl nicht nur diese), damit man auch dann in den Genuss „quelloffener“ Software kommt, wenn man eine gar nicht so quelloffene Software gekauft hat:

Find out your missing php source codes

Sicher, gegen die Lizenzbestimmungen wird das wohl fast immer verstoßen, wenn man solcher Dienste bedarf. Vor allem, wenn man die Lizenzierungsinformationen gleich mitrausrücken soll, was den Vertrieb von allerlei nicht-lizenzierten Kopien ermöglicht. Aber das interessiert wohl keinen Beteiligten. Dass ich es nicht gerade empfehlen kann, solchen Anbietern gegenüber offenzulegen, welche Anwendungen man auf seinem eigenen Webserver laufen hat, ist wohl klar – zumal die meisten Anwendungen mit closed source eher anfälliger gegen die Attacken der Cracker sind, da sie tendenziell eher auf security by obscurity setzen.

Angesichts so ungewöhnlicher „Kommentare“ freut man sich fast schon über die Normalkost der Kommentarspam, etwa über einen Anbieter…

Wordpress Themes

…von WordPress-Themes, der sein tolles Angebot mit SEO-Spam in WordPress-Blogs bekannt machen will. Eine besondere Empfehlung für das Angebot von genericwpthemes (punkt) com ist diese Spamschweinerei allerdings nicht. Zumal es wirklich nicht schwierig ist, an jede Menge guter Themes zu kommen, die nicht bei irgendwelchen Spammern heruntergeladen werden müssen.

Frankye mit den Pr0nbildern

Samstag, 23. Januar 2010

Sei Gegrüßt. Magst du mir bitte erzählen, wie dein Theme heißt? Ich möchte es gern selbst für meine Seite nutzen. Danke.

Salve! Welch seltsam Förmlichkeit des Grußes, welch Gegensatz zur kalten Nüchternheit des Weltnetzes! Gut, dass du dazu erzählen mochtest, unter welcher Adresse deine Heimseite zu finden sei, auf dass Google und seine weniger beliebte Verwandtschaft solche Information finde und im Ranking bewerte, denn das machte es dem Spamfilter leicht:

pornobilder.pornxy.com

Nun grüße mit frohem Gruß den virtuellen Orkus, du kotgefüllter Schädel, du!

Theme-Spam in Webanwendungen

Sonntag, 23. August 2009

Spam nimmt viele Wege, nicht nur die Mail und den Blogkommentar. Eine wichtige Form von Spam ist es, Links auf fragwürdige Websites zu setzen, um auf diese Weise das Google-Ranking für diese Website zu manipulieren. Natürlich geschieht so etwas meist über Gästebücher, in Foren oder in Blogkommentaren, aber es geht auch anders, subtiler, hinterhältiger.

Ein Anwender der Forumsoftware bbPress hat sich etwa aus einer wohl sehr fragwürdigen Quelle ein Theme heruntergeladen, dessen Dateien mit folgendem Code „angereichert“ wurden:

<script language=“javascript“>
document.write(‘<style> #a1dd122 { margin: -40000px; position: absolute; text-align:right; } </style>‘);
</script>[Link entfernt…]Cialis 20mg

Der im Zitat entfernte, auf den Text „Cialis 20mg“ gelegte Link ging natürlich auf eine (französische) Website, die vorgibt, dass man dort gewisse Medikamente kaufen könnte. Wenn jemand dieses Theme für bbPress heruntergeladen hat und für sein Forum verwendet, denn gibt er den Halunken, die ihm so etwas heimlich unterjubeln, unsichtbare Links auf ihre kriminellen Websites. Diese Links sind aber nur für die meisten menschlichen Leser unsichtbar (wer einen Browser wie Lynx benutzt, sieht sie in jedem Fall), während sie von den Suchmaschinen ausgewertet und bei der Beurteilung der so verlinkten Seite berücksichtigt werden.

Und die gleiche Sauerei geht natürlich auch mit Themes für WordPress, beliebte Forensoftware, Serendipity, CMS wie Joomla und generell für jede themefähige Webanwendung. Und natürlich lassen sich auch Plugins in der gleichen Weise dazu verwenden, irgendwo einen kleinen SEO-Link auf die Website von fragwürdigen Zeitgenossen oder gar richtigen Verbrechern in anderer Leute Websites einzubauen. Da hilft dann auch kein noch so guter Spamfilter mehr, die Spam ist fester Bestandteil der eigenen Website geworden.

Da die wenigsten Menschen ihre Themes oder Plugins völlig selbst schreiben oder auch nur den Code eines Themes verstehen und beurteilen können, ist es gar nicht einmal schwierig, so eine Spam unter die Leute zu bringen. Es reicht aus, wenn entsprechend verseuchte Themes oder Plugins zum freien Download irgendwo angeboten werden, sie werden schon gefunden. Hier macht es nicht unbedingt die Masse, einige hundert Anwender der Spam-Themes reichen völlig aus, um eine auf diese Weise für Google relevant gemachte Website bei entsprechenden Suchbegriffen in der Ergebnisliste nach oben zu bringen, und mehr wollen solche Halunken nicht.

Für einen von derartiger Theme- oder Plugin-SEO-Spam betroffenen Menschen kann ein solcher Link sehr nachteilhaft sein. Zum einen ist jeder Sitebetreiber dafür haftbar, wenn seine Website Links auf kriminelle Websites enthält, zum anderen kann der so untergejubelte Verweis auf eine Schleuder für Schadsoftware auch schnell dazu führen, dass das eigene Projekt von Google abgestraft und als „gefährlich“ gekennzeichnet wird, was einer völligen Unsichtbarkeit des eigenen Forums, Blogs oder der eignen Website gleich kommt.

Wie kann man sich davor schützen?

Der beste Schutz gegen diese Form der Spam ist es, alles Themes und Plugins selbst zu schreiben. Das dürfte allerdings für viele Menschen inakzeptabel sein, da es mit unsinnig hohem Aufwand verbunden ist, da hierfür programmiert werden muss und da es passende und frei verfügbare Themes und Plugins bereits gibt, die auf ihren Einsatz warten. Niemand möchte noch einmal das Rad von Neuem erfinden.

Der zweitbeste Schutz, der für viele Menschen der beste mögliche Schutz sein wird, besteht darin, dass man alle Themes und Plugins ausschließlich über offizielle oder sehr vertrauenswürdige Download-Sites bezieht. Um zu prüfen, ob eine nicht ganz offizielle Download-Site für Themes und Plugins vertrauenswürdig ist, bleibt einem normalen Anwender kein anderes Mittel als die Suche nach Erfahrungen anderer Anwender.

Selbst bei einer zuverlässigen Quelle der Dateien ist noch eine gewisse Skepsis angemessen.

Deshalb ist es empfehlenswert, die eigene Website einmal so zu sehen, wie sie von einer Suchmaschine „gesehen“ wird, also in einer Form, in der keinerlei Inhalte versteckt sind. Die untergeschobenen Spamlinks sind dann sichtbar.

Dies kann man etwa mit einem textbasierten Webbrowser wie Lynx erreichen – dieser Browser erweist sich übrigens auch in anderen Situationen als nützliches Werkzeug, etwa, um damit zu beurteilen, wie ein Blinder oder schwer körperbehinderter Mensch eine Website „sieht“. In vielen Fällen ist die Barrierefreiheit einer Website wünschenswert und wichtig genug, so dass man darauf achten möchte.

Leider ist Lynx für viele Menschen etwas „schwierig“.

Doch es gibt noch eine andere Möglichkeit, eine Website so zu sehen, wie sie eine Suchmaschine sieht. Hierfür bedarf es des Webbrowsers Opera. dessen moderne Benutzerführung einem „normalen“ Anwender mit Konzepten begegnet, die ihm vertraut sind. Zu den wenig genutzten Features dieses Browsers gehört ein so genannter „Benutzermodus“, in welchem Websites ohne ihre vom Designer vorgesehene Gestaltung dargestellt werden.

Um einen Test der eigenen Website mit Opera durchzuführen, sollte zunächst JavaScript abgestellt werden, um das nachträgliche Verstecken eines eingeblendeten Links über JavaScript zu unterdrücken. (Die Suchmaschinen werten keine Skripte aus.) Dann in den Benutzermodus schalten und die eigene Website aufrufen. Das sieht zunächst ungewohnt aus, aber eine Suchmaschine oder ein Blinder „sieht“ die Inhalte genau so, frei von jeder visuellen Gestaltung. Und kunstvoll versteckte Links in Themes oder Plugins werden auch sichtbar.

Ein solcher Test ist sehr einfach, er geht schnell, er erfordert keine speziellen Kenntnisse und er kann viel unnötigen Ärger ersparen.

Außerdem: Wer möchte schon gern mit seinem eigenen Projekt im Internet die Pläne von Spammern, fragwürdigen „Apothekern“, Anbietern betrügerischer Glücksspiele oder Verkäufern nicht lizenzierter Software fördern? Deshalb sollte jeder einmal sein Blog, sein Forum oder seine Website auf diese Weise testen, wenn Code aus fremden Quellen darin verbaut ist. Dies gilt im besonderen Maße, wenn Themes oder Plugins von nicht offiziellen Websites darin verbaut sind.