وردپرس از این پس به صورت خودکار تگ های noopener و noreferrer را اضافه می کند
آیا متوجه شده اید که تگ های noopener و noreferrer هم به لینک های داخلی و هم لینک های خارجی ای که می خواهید در تب های جدید وبلاگ وردپرس شما باز شوند اضافه شده اند. یکی از کاربران متوجه این موضوع شد و پلاگین های وردپرس را غیر فعال کرد و حتی مرورگر و کامپیوترش را عوض کرد تا بفهمد که آیا چیز خاصی این تگ ها را به لینک ها اضافه می کند یا خیر. وقتی که او متوجه شد همچنان این اتفاق می افتد، در اینترنت به جستجو پرداخت و فهمید که کاربران دیگری هم این موضوع را در فروم های وردپرس گزارش کرده اند.
اگر لینکی را برنامه ریزی کنید تا در صفحه ای جدید باز شود، از این پس وردپرس جدای از اضافه کردن target=”_blank”، تگ rel=”noopener noreferrer” را نیز به طور خودکار اضافه خواهد کرد.
نه تنها این، بلکه اگر مطلبی قدیمی را باز و ذخیره کنید باز هم تگ به صورت خودکار به آن اضاف می شود. احتمالا دلیل این کار برای جلوگیری از Reverse Tabnabbing یا همان صفحه دزدی معکوس است. از آن جایی که وظیفه صاحب وبسایت که از این وقایع جلوگیری کند، وردپرس پا پیش گذاشته تا از کاربران محافظت کند.
Reverse Tabnabbing زمانی روی می دهد که حمله کننده از window.opener.location.assign() برای جایگزین کردن صفحه (Tab) یپش زمینه با محتوی مخرب استفاده می کند.
- وقتی که شما کلمه کلیدی noopener را اضافه می کنید، صفحه جدید یا صفحه دیگر نمی تواند از طریق opener به محتوی صفحه شما دسترسی پیدا کند.
- کلمه کلیدی norefferer به مرورگر دستور می دهد که وقتی لینک باز شد، اطلاعات ارجاع دهنده HTTP را دریافت نکنند.
- فایرفاکس از noopener پشتیبانی نمی کند به همین دلیل باید از rel=”noopenernoreferrer” استفاده کنید.
Reverse Tabnabbing چیست؟
Reverse Tabnabbing نوعی صفحه دزدی است که در فهرست حمله های فیشینگ (Phishing) قرار می گیرد و در آن مهاجم به کمک window.opener.location.assign() صفحه ای قانونی و قابل اعتماد ایجاد می کند که در آن محتوی مخرب وجود دارد.
به طور خلاصه، در Reverse Tabnabbing وقتی بر روی یک لینک در صفحه وب کلیک می کنیم تا صفحه ای جدید باز شود و آن صفحه هم باز می شود اما وقتی که به صفحه قبلی باز می گردیم همه چیز به ظاهر عادی است اما در واقع پشت سر ما تغییراتی صورت گرفته و به وضوح می توان تغییر را در آدرس اینترنتی آن صفحه مشاهده کرد. اما بسیاری از کاربران متوجه تغییر در URL نمی شوند.
وقتی که به صفحه اصلی بر می گردیم، امکان دارد از ما خواسته شود که بار دیگر وارد حساب کاربری شویم. مهاجمان در واقع صفحه اصلی را با محتوی مخرب تعویض کرده اند، این تغییرات شامل فاویکون و نوار آدرس سایت می شود اما ما متوجه آن نمی شویم. اطلاعات کاربری مان را وارد کرده و هک می شویم.
این مثال را برای درک بهتر ReverseTabnabbing ببینید.
از این رو اگر rel=”noopener noreferrer” را برای تمام لینک های target=”_blank” مشاهده می کنید و اگر به سایت تان اهمیت می دهید آن را حذف نکنید. و اگر آن ها را پاک کنید هم ورد پرس وقتی که شما مطلب را ذخیره می کنید آن را دوباره باز می گرداند. و تا آن جایی که ما اطلاع داریم راهی برای غیر فعال کردن این قابلیت وجود ندارد.
با این حال، برخی کاربران گزارش کرده بودند که این قابلیت جدید باعث شده است که تمام لینک های داخلی وقتی که در صفحه ای جدید باز می شوند nofollow بشوند که قطعا برای سئو سایت اصلا خوب نیست اما طبق مشاهدات بیشتر مشخص شد که اینگونه نیست و فقط تگ noopener به لینک ها اضافه می شود.