近日有大量shopify的店鋪出現問題,而且放的url是非常低俗和完全不搭邊的廣告。
這類垃圾URL收錄,會嚴重影響品牌或店鋪的聲譽,影響Google對站點的審查,同時還會影響SEO和用戶體驗。數百萬的Shopify站點已經被黑,趕緊處理,別再給那些黑帽SEO沙雕做"嫁衣"了。
先聲明下這篇文章不是專門黑Shopify,只是突然發現shopify的bug,覺得有必要在獨立站shopify賣家圈內發聲,不要再讓不法分子利用這個漏洞去謀利。
言歸正傳,說下這次的Shopify的缺陷?黑客是如何利用的?對你的shopify站點的影響?你應該如何解決?
1 背景
今天在檢測shopify網站時,通過site高級搜索指令時,在SERP發現了一些原本不屬于我自己創建的網頁,被Google收錄了。
當時在想這些鏈接,頁面的功能及頁面最初是如何創建的,是否含插件和自定義代碼,也有可能是某插件的惡意JavaScript代碼注入到DOM中實現的渲染。
2 問題排查與發現
因為這類垃圾URL收錄,會嚴重影響品牌或店鋪的聲譽,Google對站點的審查,會影響SEO和用戶體驗。
接下來我進行了排查,通過在Google搜索[病毒廣告關鍵詞] 后,竟然發現:
2.1 數百萬站點受影響
被Google收錄,并且含有這段病毒廣告的URL,竟然高達數百萬;
請馬上在Google上,使用高級搜索指令:
site: example/collections/vendors
搜索下,看下你的shopify站點,是不是也被黑了?(如果被黑了,請轉載給更多Shopify賣家)
同時,可以搜索下你的競爭對手shopify站點,99%也被黑了。
2.2 基本都是Shopify的店鋪
https://www.examplesite.com/collections/vendors?q=大都是上面這種URL,熟悉shopfiy的朋友都知道,shopify的Collection URL路由規則就是這樣的,經過源代碼分析和檢測,果真Shopify。
見下圖所示:
2.3 這些 URL 可以由任何人創建
經過測試發現,隨便訪問shopify的網站并將/collections/vendors?q=test添加到商店地址的末尾,并按回車鍵,會看到一個頁面顯示為“test”,但沒有找到任何產品。
2.4 不僅是國內的黑帽玩家做病毒廣告,也有國外黑帽玩家
看看下面這個沙雕寫的文案,真TM想錢想瘋了。(比如國內病毒廣告站點:xe66.com ?)
看看下面這張圖,我越看越氣!!
bing也是一樣的問題。
也有國外病毒廣告站點:fifa23coins.com ?(FIFA 23 硬幣)
2.5 流量越大時間越久的網站,被收錄的垃圾鏈接越多
新網站由于googlebot發現、收錄和審查等,會需要更多時間;
老站,DA高的shopify網站99.9%都已經被黑。
3 Shopify ?Bug 引發的黑帽SEO思路
任何人都可以創建這類查詢的動態URL時,黑帽SEO玩家嗅到了money的味道。
在講解實現思路前,我先定義下名詞:
Shopify商家站點:代指受影響的Shopify商家站點,比如 https://cstrecords.com/
病毒廣告站點:黑帽玩家推廣目的的服務或產品的站點,比如 zhanbu88.com (星盤/塔羅/八字/心理咨詢等)
-
垃圾外鏈站:黑帽玩家以該站點創建假的url,作為你的垃圾外鏈站,目的是讓Google蜘蛛能發現URL,比如https://ugs9.com/
畫了個簡易的流程圖,輔助理解。
惡意黑帽者通過利用shopify網站上的「vendor-供應商名稱」搜索查詢漏洞,生成以「病毒廣告站點」產品詳細信息作為標題的假頁面;并且在「垃圾外鏈站」上創建指向這個假 url ;最后谷歌對該頁面進行發現、索引并將其「Shopify商家站點」URL,顯示在SERP搜索結果中,以達到幫助推廣「病毒廣告站點」的服務或產品的目的。
注意,這個帶q參數的動態URL,該頁面本身并不獨立存在,它僅作為目標網站上搜索結果的一部分存在。
4 Shopify賣家解決方案(重點)
先給大家看下Shopify官方的回復的解決方案,
https://community.shopify.com/c/shopify-discussions/website-hacked-help/td-p/1748004 ?(也就是下面的4.1方案,我會再補充4.2/4.3解決方案,以及4.4檢查方案)
4.1 拒絕這些垃圾反向鏈接
1.?使用 SEO 診斷軟件,比如SEMrush、Ahrefs等,將所有垃圾反向鏈接收集到一個.txt 文件中
2.?通過Google 的拒絕工具提交這些URL,地址:
https://search.google.com/search-console/disavow-links
按照要求的拒絕鏈接格式上傳一個文本文件 (*.txt),其中包含要拒絕的鏈接或網域,地址:
https://support.google.com/webmasters/answer/2648487
比如*.txt文件:
3.?上傳成功后,見下圖:
注意:
這是一項高級功能,應謹慎使用。如果使用不當,此功能可能會損害您的網站在 Google 搜索結果中的表現。如果您認為有大量垃圾郵件、人工或低質量鏈接指向您的網站,并且您確信這些鏈接會給您帶來問題,我們建議您僅拒絕反向鏈接。
4.2 Google Search Console拒絕收錄垃圾頁面
1. 進入Google Search Console后臺 > 【編制索引】 > 【刪除】菜單處;
2.?點擊「新請求」按鈕
3.?選擇「僅移除此網址」或「移除所有帶此前綴的網址均可」
依次輸入被google收錄的垃圾廣告鏈接;或者輸入:你的域名/collections/vendors
4.3 編輯Robots.txt協議
操作步驟:
1.?進入Shopify Admin后臺,依次點擊 ?【在線商店】 -> 【模板】 -> 【編輯代碼】菜單:
2.? 在【模板】菜單下,點擊「添加新模板」按鈕;
3.?在彈窗中選擇「robots.txt」選項;
4、編輯Robots.txt協議
目的是禁止各類搜索引擎蜘蛛(如GoogleBot)抓取 ? /collections/vendors?q=test ?這類URL
代碼示例:
User-agent: *Disallow: /collections/vendors?q=
注意:
1.?robots.txt協議不要亂編輯,這里面會有規范,建議先閱讀Google官方文檔:
https://developers.google.com/search/docs/crawling-indexing/robots/intro,后續視情況,考慮整理發下robots.txt的教程?
2.?robots.txt協議屬于君子協議,搜索引擎會考慮遵守,但不排除特殊情況
4.4 最后:檢查
完成以上優化動作后,次日在Google搜索界面,搜索:
site:你的域名/collections/vendors
-------
文章為作者獨立觀點,不代表DLZ123立場。如有侵權,請聯系我們。( 版權為作者所有,如需轉載,請聯系作者 )
網站運營至今,離不開小伙伴們的支持。 為了給小伙伴們提供一個互相交流的平臺和資源的對接,特地開通了獨立站交流群。
群里有不少運營大神,不時會分享一些運營技巧,更有一些資源收藏愛好者不時分享一些優質的學習資料。
現在可以掃碼進群,備注【加群】。 ( 群完全免費,不廣告不賣課!)
