Med WordPress version 4.7.4, kom der en opdatering til TinyMCE, som er det JavaScript lib der styrer feltet til redigering af indholdet på dine sider (som bl.a. denne tekst er skrevet i).
Opdateringen betyder, at når du vælger at et link til åbne i en ny fane/nyt vindue med den såkaldte target=”_blank” attribut, tilføjer WordPress selv rel=”noreferrer noopener” til linket.
Baggrunden for den opdatering er, at links der åbnes i ny fane/vindue, kan udnyttes af ondsindede personer til at sende folk videre til f.eks. phishing-sider, for at opsnappe passwords, kreditkortinfo eller andet følsomt information.
Lidt teknisk forklaring
Når man sætter target=”_blank” på et link i sit indhold, kan den side man linker til, få adgang til den side der linkes fra. Så hvis jeg nu ville lave ballade i gården, og du linker til mig, så kan jeg smide en stump JavaScript kode på min side, som på den fane hvor du har et link til mig placeret, som brugeren lige har klikket på, åbner en side som f.eks. kunne bede om password til noget, kreditkortinfo eller lignende.
Ikke helt med? Lad mig prøve at uddybe.
- På fane A vises din side, f.eks. et blogindlæg, med et link side B.
- Det link har du sat target=”blank” på, ved at sætte flueben i boksen “Åbn link i et nyt faneblad” når du laver linket i WordPress.
- Side B åbnes i en ny fane (fane B) når man klikker på linket.
- På side B, har jeg indsat en stump JavaScript kode, som kan tilgå fane A på en sådan måde, at jeg kan skifte url på fanen.
- Dvs. at koden på side B på fane B, altså kan vise en ny side på fane A så denne nu viser side C i stedet for side A.
Under alle omstændigheder
Så er det altså en sikkerhedsopdatering. Dvs. den er lavet for at du kan være sikker på, at du ikke risikerer at dine besøgende bliver udsat for f.eks. phishing-angreb når du laver et link der åbner i en ny fane/nyt vindue.
Problemet opstår hos sites, hvor det er vigtigt, at den side man linker til, kan opsamle data om hvem der har sendt brugeren videre til dem (referrer), f.eks. affiliatesites.
Men også Google Analytics kan ikke længere se hvor folk kommer fra, hvis de kommer fra en anden hjemmeside. Der vil den besøgende stå med “Direkte trafik” som kilde til trafikken. Hvilket jo også er ærgerligt.
Løsninger
Jeg har lavet et plugin, der sørger for, at når du gemmer indholdet, så tilføjes der ikke længere rel=”noferrer noopener” til links der er sat til at åbne i en ny fane/nyt vindue.
Det kan ikke fjerne rel=”noferrer noopener” fra links der allerede har fået sat det på, men i videoen herunder kan du se, både hvordan du fjerner dem og hvordan du så selv kan sætte det på links manuelt, hvis du har installeret mit plugin.
Indtil videre kan du downloade mit plugin her. Det kommer forhåbentlig på WordPress’ plugin bibliotek ved en senere lejlighed.
Kilder
- https://www.jitbit.com/alexblog/256-targetblank—the-most-underestimated-vulnerability-ever/
- https://wordpress.org/support/topic/remove-rel-noopener-noreferrer-in-wordpress-4-7-4/
- Tråd på Marketers.dk, hvor bl.a. Ken Schultz fra Partner-Ads og Per Allerup fra Siloo.dk bød ind med forklaringer.