Med WordPress version 4.7.4, kom der en opdatering til TinyMCE, som er det JavaScript lib der styrer feltet til redigering af indholdet på dine sider (som bl.a. denne tekst er skrevet i).
Opdateringen betyder, at når du vælger at et link til åbne i en ny fane/nyt vindue med den såkaldte target=”_blank” attribut, tilføjer WordPress selv rel=”noreferrer noopener” til linket.
Baggrunden for den opdatering er, at links der åbnes i ny fane/vindue, kan udnyttes af ondsindede personer til at sende folk videre til f.eks. phishing-sider, for at opsnappe passwords, kreditkortinfo eller andet følsomt information.
Lidt teknisk forklaring
Når man sætter target=”_blank” på et link i sit indhold, kan den side man linker til, få adgang til den side der linkes fra. Så hvis jeg nu ville lave ballade i gården, og du linker til mig, så kan jeg smide en stump JavaScript kode på min side, som på den fane hvor du har et link til mig placeret, som brugeren lige har klikket på, åbner en side som f.eks. kunne bede om password til noget, kreditkortinfo eller lignende.
Ikke helt med? Lad mig prøve at uddybe.
- På fane A vises din side, f.eks. et blogindlæg, med et link side B.
- Det link har du sat target=”blank” på, ved at sætte flueben i boksen “Åbn link i et nyt faneblad” når du laver linket i WordPress.
- Side B åbnes i en ny fane (fane B) når man klikker på linket.
- På side B, har jeg indsat en stump JavaScript kode, som kan tilgå fane A på en sådan måde, at jeg kan skifte url på fanen.
- Dvs. at koden på side B på fane B, altså kan vise en ny side på fane A så denne nu viser side C i stedet for side A.
Under alle omstændigheder
Så er det altså en sikkerhedsopdatering. Dvs. den er lavet for at du kan være sikker på, at du ikke risikerer at dine besøgende bliver udsat for f.eks. phishing-angreb når du laver et link der åbner i en ny fane/nyt vindue.
Problemet opstår hos sites, hvor det er vigtigt, at den side man linker til, kan opsamle data om hvem der har sendt brugeren videre til dem (referrer), f.eks. affiliatesites.
Men også Google Analytics kan ikke længere se hvor folk kommer fra, hvis de kommer fra en anden hjemmeside. Der vil den besøgende stå med “Direkte trafik” som kilde til trafikken. Hvilket jo også er ærgerligt.
Løsninger
Jeg har lavet et plugin, der sørger for, at når du gemmer indholdet, så tilføjes der ikke længere rel=”noferrer noopener” til links der er sat til at åbne i en ny fane/nyt vindue.
Det kan ikke fjerne rel=”noferrer noopener” fra links der allerede har fået sat det på, men i videoen herunder kan du se, både hvordan du fjerner dem og hvordan du så selv kan sætte det på links manuelt, hvis du har installeret mit plugin.
Indtil videre kan du downloade mit plugin her. Det kommer forhåbentlig på WordPress’ plugin bibliotek ved en senere lejlighed.
Kilder
- https://www.jitbit.com/alexblog/256-targetblank—the-most-underestimated-vulnerability-ever/
- https://wordpress.org/support/topic/remove-rel-noopener-noreferrer-in-wordpress-4-7-4/
- Tråd på Marketers.dk, hvor bl.a. Ken Schultz fra Partner-Ads og Per Allerup fra Siloo.dk bød ind med forklaringer.
Fedt med et plugin 🙂 – Godt arbejde!
Hej Per
Fedt du synes det 🙂
Og tak for dit input på Marketers.
Mvh Martin
Hej Martin
Tak for det gode arbejde.
Lad os antage at man har en side med affiliates links. Hvad med at bruge rel=”nofollow” i stedet for rel=”noferrer noopener” på en sådan side. Hvilken indflydelse vil den kode have ift fx klikreferencer og tracking? Eller er det bedst helt at fjerne hele rel=…. teksten, hvis man stoler på sin affilates partnere?
Venlig hilsen
Andreas
Affiliatelinks skal altid have rel=”nofollow”. rel=”noopener noreferrer” er en sikkerhedsforanstaltning. Så det er to forskellige ting.
Men du kan sagtens kombinere dem: rel=”noreferrer noopener nofollow”.
Hvis du stoler på dem du sender trafikken videre til, kan du jo godt fjerne “norereferrer noopener” delen. Men de kan jo også blive udsat for hacking, så man ved jo aldrig.
Jeg skal være helt ærlig og sige, at jeg ikke er klar over, om rel=”noreferrer noopener” er et problem for affiliatelinks længere, da man jo bl.a. med Apples ITP 2.0 og snart 2.1, er gået over til at lægge cookies til tracking serverside, i stedet for clientside (JavaScript). Det ved jeg i hvert fald Partner-Ads har.
Så vil ikke tro det er et problem, hvis det er Partner-Ads affiliatelinks.
Men jeg tør ikke sige det for andre affiliatebureauer.
Hvad angår Google Analytics, så kunne det måske godt stadig være et problem, men jeg ikke er sikker. Det vil kræve en test 🙂
Hej Martin,
Tak for god læsning. Når jeg forsøger at downloade dit plugin, får jeg en 404-fejl. Tilbyder du det ikke mere? Eller er der kommet en ny løsning?
Tak. Mvh. Markus
Hej Markus
Godt du lige gør opmærksom på det 🙂
Du skulle gerne kunne hente pluginnet nu.
Mvh Martin
Hej! Jeg har netop prøvet at installere dette plugin i et forsøg på at fjerne rel=”noopener noreferrer”, men det ser ikke ud til at virke på mit site. Jeg kører på WordPress 5.2.2. Virker pluginnet ikke til denne version?
Hej Trine
Du skal være opmærksom på, at pluginnet kun virker ved nye indlæg/sider, eller hvis du er inde og rette i et indlæg eller en side 🙂
Mvh Martin