導讀:一個網站的死去,和一個孩子的溺水一樣,都是悄無聲息的。
很多時候,溺水者都是站在水中悄悄死去的,沒有呼救、沒有掙扎、甚至眼睛都是睜著的,看上去只是在茫然地發呆,生機就在寂靜中一分一秒地流逝,一個網站的死去也是這樣。
獨立站被黑,有時候賣家是并不知情的,只是疑惑為什么最近網站的流量和訂單都少了,或者奇怪為什么自己的網站在谷歌排名下降了?卻不知道自己的網站已經悄悄被入侵了。
最近,陸續有賣家反映自己的店鋪出現了問題,大多都是通過Shopify建站的獨立站賣家。賣家在自查時會發現一些不屬于自己創建的網頁被谷歌收錄了,而且放的URL都是非常低俗和完全不搭邊的廣告。這樣惡劣的攻擊手段,可能只開始于Shopify一個小小的bug,就像巨輪上一條的不起眼的裂縫:惡意黑帽者通過利用Shopify網站上的“vendor-供應商名稱”搜索查詢漏洞,生成以“病毒廣告站點”產品詳細信息(比如上圖中的“Betkings66.com”)作為標題的假頁面,并在垃圾外鏈站上創建假鏈接指向這個假頁面的URL,最后谷歌對其發現、索引并收錄,顯示在搜索結果中。該頁面本身并不獨立存在,它僅作為目標網站上搜索結果的一部分存在。此次攻擊方式類似于網站被掛上了木馬病毒。即黑客找到了網站的漏洞,隨后上傳文件,文件可以修改網站的代碼,把頁面變為黑客自己想要的樣子或跳轉到另外的網站。這種情況,一般會出現在一些開源網站。而Shopify正是這樣的開源系統。比如我們進入一個Shopify獨立站,在官網首頁網址后添加/collections/vendors?q=任意內容,達成這樣的模式:https://www.example.com/collections/vendors?q=頁面就會顯示出你所添加的內容(注:URL中的“?q=”向url結構的第一部分中的網站發送搜索查詢,它可以搜索URL之后的任何內容)。更可怕的是,這樣的攻擊總是悄悄發生的,賣家如果不去搜根本發現不了,而這些URL卻可以由任何人創建,還會在谷歌的系統上被真實記錄,根本防不勝防。如今在谷歌用一些奇怪的關鍵詞或者違禁詞進行檢索,包括【六合彩】、【病毒廣告關鍵詞】【彩票】等等,冒頭的幾乎都是Shopify站點。如果用被黑的網站中出現的病毒廣告關鍵詞進行搜索,還會出現更多,檢索結果高達數百萬。https://www.examplesite.com/collections/vendors?q=實際上,這就是Shopify的Collection URL路由規則,也就是說,這些被黑掉的網站都是Shopify賣家們的網站。新網站由于被谷歌bot發現、收錄和審查需要更多時間,幕后的黑手專刷域名權重高的網站,因此流量越大、時間越久的網站,被收錄的垃圾鏈接越多,這樣一來,一搜這些詞都排在前面。目前已經有中國賣家中招,瞬間在賣家群里引起了恐慌:但試想一下,網站被黑之后,用戶打開網頁看到的就是賭博之類的垃圾信息,自然不敢繼續購買產品。有正義感的用戶說不定還會反手舉報網站,導致網站被搜索引擎列入不受信任的網站,甚至有風險的網站,導致客戶大量流失。而對于非常依賴谷歌流量的獨立站而言,這種攻擊可以說是致命的,因為這類垃圾URL收錄會嚴重影響品牌或店鋪的聲譽、Google對站點的審查,以及網站SEO和用戶的體驗。如果被谷歌列入黑名單,網站則很有可能會失去95%的自然谷歌搜索流量,而這會迅速反映到產品銷量和收入上。Shopify論壇中也已經有不少人注意到了這件事情,在討論中我們得知:有人利用Shopify的漏洞“collections/vendors?q=XXXXXX”創建了超過4百萬個垃圾郵件鏈接到谷歌,垃圾鏈接又觸及最佳搜索引擎懲罰機制,現在被黑賣家的網站流量被搜索引擎限制,只有以前的一半。還有人的網站現在只有少數人訪問,最后一次被訪問已經是8個月前了。那么,對于跨境賣家而言,如何確定獨立站是否被惡意攻擊呢?首先,賣家可以測試密碼登錄獨立站后臺,觀察是否能正常登錄,有無異常。其次,可以利用google search
console工具關注網站排名情況,如果排名異常下滑,很有可能存在潛在被攻擊風險。另外還有一種更為直觀的辦法,我們可以利用特殊指令進行高級搜索,來確定站點是否被重新定向到了與賣家獨立站無關的其他外部站點。一般,可以使用site:指令來把搜索范圍限定在你的獨立站點中,然后搜尋要找的內容。根據此次被黑情況,賣家可以在Google上用高級搜索指令搜索:site:
example.com/collections/vendors就像此次大規模被黑事件,不查不知道,一查嚇一跳,這些信息就悄悄隱藏在你網站的角落里影響著你的排名。
https://www.example.com/collections/vendors?q=通過分析和部分網站的標注,就可以知道此次被攻擊的大部分都是shopfiy的店鋪。另外,跨境賣家也要清楚做病毒廣告的不僅有國內的黑帽玩家,還有國外的黑帽玩家。賣家在日常運營中務必要多檢查,避免網站被黑還不知道。根據Shopify的官方說法,跨境商家可以利用SEO工具軟件,來拒絕這些垃圾反向鏈接。首先,可以利用Ahrefs、SEMrush、Moz或Majestic等工具,將所有不良反向鏈接收集到一個.txt文件中,然后通過Google拒絕工具提交這些URL。查找鏈接是整個流程中最為繁瑣的工作,有兩種具體的查找垃圾郵件反向鏈接的工作方法:1、檢測鏈接到您的低質量網站;2、識別錨文本。垃圾反向鏈接通常來自低質量網站,我們要做的就是找到這些垃圾網站。這里,我們以Ahrefs工具為例進行講解。(1)將獨立站域名復制到Ahrefs站點資源管理器,左側菜單中找到名為“反向鏈接配置文件”的選項。在“引用域”報告中將展示出鏈接到您的所有網站列表。(2)對網站列表進行排序,即按照DR(域名評級)從低到高。然后再對可疑的鏈接進行調查,尤其是那些有大量外文的域名、明顯不屬于你的利基市場的網站。(3)檢測到此類可疑域名之后,單擊“反向鏈接”列下的數字可以獲取這個鏈接的更多詳細信息,以此來確定這個鏈接是真實的最后一步。一般,如果看起來可疑、不連貫、與網站定位不符,多半就是需要摘出來的垃圾外鏈。對于這些鏈接,可以收集在.txt文件中。另一種查找垃圾郵件反向鏈接的方法是直接查看錨文本。如果有很多相同的與你的網站頁面并不相關的錨文本,那這些鏈接可能就是垃圾郵件,影響你的排名。這些查找也可以利用SEO工具,在Ahrefs Site Explorer中,所需的報告稱為“Anchors”,位于左側菜單中。要查找不良反向鏈接,點擊已識別的可疑錨文本邊的“詳細信息”按鈕,即可獲得垃圾郵件引用域名列表。經過上述兩種方法收集整理成.txt文檔后,就可以登錄后上傳Google的拒絕工具,Google就會拒絕這些網址,文件上傳網址:https://search.google.com/search-console/disavow-links
- 每行只能指定一個要拒絕的域名,要具體,不要拒絕整個子路徑;
- 拒絕某個域名(或子域名),請添加“domain:”前綴,例如:domain:example.com;
- 文件必須是以 UTF-8 或 7 位 ASCII 編碼的文本文件;
- 文件最多只能包含 10 萬行內容(包括空白行和注釋行),大小不得超過 2MB;
- 可以視需要添加注釋,只需在注釋行開頭添加
# 號即可。Google 會忽略所有以 # 開頭的行。
需要注意的是,Google也對該行為進行了提示,這是一項高級功能,要謹慎使用,使用不當反而可能會影響網站在Google搜索結果中的排名。對于很多企業和個人而言,網站是脆弱的。互聯網巨頭同樣也有過被人入侵的經歷,比如百度、谷歌,還有在2014年號稱永不宕機的Facebook。因此網上有一種聲音:“遇到這樣的情況,就把網站關掉吧”。可越是這樣我們越是不應該害怕和妥協,就像我們曾說“不要溫和地走進那個良夜”,反抗精神應該是我們靈魂的底色,越是規規矩矩做生意,越要有足夠的力量來保護自己。首先是要注意網站的安全性,做好網站內容建設、外鏈建設以及用戶體驗建設,按照既定的策略進行SEO優化,讓網站越來越強大,在搜索引擎那里的信任度和權重越來越高。信任度及權值高的網站抵抗負面SEO的能力更強,搜索引擎的容忍范圍更大,也會給出更長的處理時間——5W條垃圾外鏈可能會整垮一個小站,但對于一個大型網站,可能壓根就沒什么影響。其次是要定期檢查網站的FTP、代碼、外鏈、內容、服務器等等,就算擋不住真正的黑客大神,但對于一般的負面SEO,只要認真檢查,還是能及時發現并進行處理的。而對于查出來的問題,特別是網站內容中的掛馬以及垃圾外鏈,一定要請懂技術的人來徹底解決,該清除的清除,該拒絕的拒絕,把隱患掐死在搖籃里。最后,保持善良,千萬不要去做黑帽SEO,被眼前的利益引誘走上捷徑,殊不知捷徑的盡頭可能是絕境。不正當的黑帽SEO只會讓網站變得更加脆弱,根植于黑帽SEO的網站本身根基就是有問題的,今天你黑了別人的網站,或許明天就有人給你掛馬,那時內因外因一起作用,就是審判的巨劍落下了。免責聲明:文中圖片及數據信息均來源于網絡,如有侵權,請聯系刪除。
