導(dǎo)讀:一個(gè)網(wǎng)站的死去,和一個(gè)孩子的溺水一樣,都是悄無聲息的。
很多時(shí)候,溺水者都是站在水中悄悄死去的,沒有呼救、沒有掙扎、甚至眼睛都是睜著的,看上去只是在茫然地發(fā)呆,生機(jī)就在寂靜中一分一秒地流逝,一個(gè)網(wǎng)站的死去也是這樣。
獨(dú)立站被黑,有時(shí)候賣家是并不知情的,只是疑惑為什么最近網(wǎng)站的流量和訂單都少了,或者奇怪為什么自己的網(wǎng)站在谷歌排名下降了?卻不知道自己的網(wǎng)站已經(jīng)悄悄被入侵了。
最近,陸續(xù)有賣家反映自己的店鋪出現(xiàn)了問題,大多都是通過Shopify建站的獨(dú)立站賣家。賣家在自查時(shí)會(huì)發(fā)現(xiàn)一些不屬于自己創(chuàng)建的網(wǎng)頁被谷歌收錄了,而且放的URL都是非常低俗和完全不搭邊的廣告。這樣惡劣的攻擊手段,可能只開始于Shopify一個(gè)小小的bug,就像巨輪上一條的不起眼的裂縫:惡意黑帽者通過利用Shopify網(wǎng)站上的“vendor-供應(yīng)商名稱”搜索查詢漏洞,生成以“病毒廣告站點(diǎn)”產(chǎn)品詳細(xì)信息(比如上圖中的“Betkings66.com”)作為標(biāo)題的假頁面,并在垃圾外鏈站上創(chuàng)建假鏈接指向這個(gè)假頁面的URL,最后谷歌對(duì)其發(fā)現(xiàn)、索引并收錄,顯示在搜索結(jié)果中。該頁面本身并不獨(dú)立存在,它僅作為目標(biāo)網(wǎng)站上搜索結(jié)果的一部分存在。此次攻擊方式類似于網(wǎng)站被掛上了木馬病毒。即黑客找到了網(wǎng)站的漏洞,隨后上傳文件,文件可以修改網(wǎng)站的代碼,把頁面變?yōu)楹诳妥约合胍臉幼踊蛱D(zhuǎn)到另外的網(wǎng)站。這種情況,一般會(huì)出現(xiàn)在一些開源網(wǎng)站。而Shopify正是這樣的開源系統(tǒng)。比如我們進(jìn)入一個(gè)Shopify獨(dú)立站,在官網(wǎng)首頁網(wǎng)址后添加/collections/vendors?q=任意內(nèi)容,達(dá)成這樣的模式:https://www.example.com/collections/vendors?q=頁面就會(huì)顯示出你所添加的內(nèi)容(注:URL中的“?q=”向url結(jié)構(gòu)的第一部分中的網(wǎng)站發(fā)送搜索查詢,它可以搜索URL之后的任何內(nèi)容)。更可怕的是,這樣的攻擊總是悄悄發(fā)生的,賣家如果不去搜根本發(fā)現(xiàn)不了,而這些URL卻可以由任何人創(chuàng)建,還會(huì)在谷歌的系統(tǒng)上被真實(shí)記錄,根本防不勝防。大水灌入:
數(shù)百萬網(wǎng)站被影響
如今在谷歌用一些奇怪的關(guān)鍵詞或者違禁詞進(jìn)行檢索,包括【六合彩】、【病毒廣告關(guān)鍵詞】【彩票】等等,冒頭的幾乎都是Shopify站點(diǎn)。如果用被黑的網(wǎng)站中出現(xiàn)的病毒廣告關(guān)鍵詞進(jìn)行搜索,還會(huì)出現(xiàn)更多,檢索結(jié)果高達(dá)數(shù)百萬。而這些被黑掉的網(wǎng)站大都是同一種URL:https://www.examplesite.com/collections/vendors?q=實(shí)際上,這就是Shopify的Collection URL路由規(guī)則,也就是說,這些被黑掉的網(wǎng)站都是Shopify賣家們的網(wǎng)站。新網(wǎng)站由于被谷歌bot發(fā)現(xiàn)、收錄和審查需要更多時(shí)間,幕后的黑手專刷域名權(quán)重高的網(wǎng)站,因此流量越大、時(shí)間越久的網(wǎng)站,被收錄的垃圾鏈接越多,這樣一來,一搜這些詞都排在前面。目前已經(jīng)有中國賣家中招,瞬間在賣家群里引起了恐慌:但試想一下,網(wǎng)站被黑之后,用戶打開網(wǎng)頁看到的就是賭博之類的垃圾信息,自然不敢繼續(xù)購買產(chǎn)品。有正義感的用戶說不定還會(huì)反手舉報(bào)網(wǎng)站,導(dǎo)致網(wǎng)站被搜索引擎列入不受信任的網(wǎng)站,甚至有風(fēng)險(xiǎn)的網(wǎng)站,導(dǎo)致客戶大量流失。而對(duì)于非常依賴谷歌流量的獨(dú)立站而言,這種攻擊可以說是致命的,因?yàn)檫@類垃圾URL收錄會(huì)嚴(yán)重影響品牌或店鋪的聲譽(yù)、Google對(duì)站點(diǎn)的審查,以及網(wǎng)站SEO和用戶的體驗(yàn)。如果被谷歌列入黑名單,網(wǎng)站則很有可能會(huì)失去95%的自然谷歌搜索流量,而這會(huì)迅速反映到產(chǎn)品銷量和收入上。Shopify論壇中也已經(jīng)有不少人注意到了這件事情,在討論中我們得知:有人利用Shopify的漏洞“collections/vendors?q=XXXXXX”創(chuàng)建了超過4百萬個(gè)垃圾郵件鏈接到谷歌,垃圾鏈接又觸及最佳搜索引擎懲罰機(jī)制,現(xiàn)在被黑賣家的網(wǎng)站流量被搜索引擎限制,只有以前的一半。還有人的網(wǎng)站現(xiàn)在只有少數(shù)人訪問,最后一次被訪問已經(jīng)是8個(gè)月前了。自救手冊:
獨(dú)立站風(fēng)險(xiǎn)解決機(jī)制
那么,對(duì)于跨境賣家而言,如何確定獨(dú)立站是否被惡意攻擊呢?首先,賣家可以測試密碼登錄獨(dú)立站后臺(tái),觀察是否能正常登錄,有無異常。其次,可以利用google search
console工具關(guān)注網(wǎng)站排名情況,如果排名異常下滑,很有可能存在潛在被攻擊風(fēng)險(xiǎn)。另外還有一種更為直觀的辦法,我們可以利用特殊指令進(jìn)行高級(jí)搜索,來確定站點(diǎn)是否被重新定向到了與賣家獨(dú)立站無關(guān)的其他外部站點(diǎn)。一般,可以使用site:指令來把搜索范圍限定在你的獨(dú)立站點(diǎn)中,然后搜尋要找的內(nèi)容。根據(jù)此次被黑情況,賣家可以在Google上用高級(jí)搜索指令搜索:site:
example.com/collections/vendors(將example替換成獨(dú)立站網(wǎng)站網(wǎng)址)就像此次大規(guī)模被黑事件,不查不知道,一查嚇一跳,這些信息就悄悄隱藏在你網(wǎng)站的角落里影響著你的排名。
這些被攻擊的網(wǎng)站,大部分的域名格式都為:https://www.example.com/collections/vendors?q=通過分析和部分網(wǎng)站的標(biāo)注,就可以知道此次被攻擊的大部分都是shopfiy的店鋪。另外,跨境賣家也要清楚做病毒廣告的不僅有國內(nèi)的黑帽玩家,還有國外的黑帽玩家。賣家在日常運(yùn)營中務(wù)必要多檢查,避免網(wǎng)站被黑還不知道。根據(jù)Shopify的官方說法,跨境商家可以利用SEO工具軟件,來拒絕這些垃圾反向鏈接。首先,可以利用Ahrefs、SEMrush、Moz或Majestic等工具,將所有不良反向鏈接收集到一個(gè).txt文件中,然后通過Google拒絕工具提交這些URL。查找鏈接是整個(gè)流程中最為繁瑣的工作,有兩種具體的查找垃圾郵件反向鏈接的工作方法:1、檢測鏈接到您的低質(zhì)量網(wǎng)站;2、識(shí)別錨文本。方法一:檢測鏈接到您的低質(zhì)量網(wǎng)站垃圾反向鏈接通常來自低質(zhì)量網(wǎng)站,我們要做的就是找到這些垃圾網(wǎng)站。這里,我們以Ahrefs工具為例進(jìn)行講解。(1)將獨(dú)立站域名復(fù)制到Ahrefs站點(diǎn)資源管理器,左側(cè)菜單中找到名為“反向鏈接配置文件”的選項(xiàng)。在“引用域”報(bào)告中將展示出鏈接到您的所有網(wǎng)站列表。(2)對(duì)網(wǎng)站列表進(jìn)行排序,即按照DR(域名評(píng)級(jí))從低到高。然后再對(duì)可疑的鏈接進(jìn)行調(diào)查,尤其是那些有大量外文的域名、明顯不屬于你的利基市場的網(wǎng)站。(3)檢測到此類可疑域名之后,單擊“反向鏈接”列下的數(shù)字可以獲取這個(gè)鏈接的更多詳細(xì)信息,以此來確定這個(gè)鏈接是真實(shí)的最后一步。一般,如果看起來可疑、不連貫、與網(wǎng)站定位不符,多半就是需要摘出來的垃圾外鏈。對(duì)于這些鏈接,可以收集在.txt文件中。另一種查找垃圾郵件反向鏈接的方法是直接查看錨文本。如果有很多相同的與你的網(wǎng)站頁面并不相關(guān)的錨文本,那這些鏈接可能就是垃圾郵件,影響你的排名。這些查找也可以利用SEO工具,在Ahrefs Site Explorer中,所需的報(bào)告稱為“Anchors”,位于左側(cè)菜單中。要查找不良反向鏈接,點(diǎn)擊已識(shí)別的可疑錨文本邊的“詳細(xì)信息”按鈕,即可獲得垃圾郵件引用域名列表。經(jīng)過上述兩種方法收集整理成.txt文檔后,就可以登錄后上傳Google的拒絕工具,Google就會(huì)拒絕這些網(wǎng)址,文件上傳網(wǎng)址:https://search.google.com/search-console/disavow-links
- 每行只能指定一個(gè)要拒絕的域名,要具體,不要拒絕整個(gè)子路徑;
- 拒絕某個(gè)域名(或子域名),請?zhí)砑印癲omain:”前綴,例如:domain:example.com;
- 文件必須是以 UTF-8 或 7 位 ASCII 編碼的文本文件;
- 網(wǎng)址長度上限為 2048 個(gè)字符;
- 文件最多只能包含 10 萬行內(nèi)容(包括空白行和注釋行),大小不得超過 2MB;
- 可以視需要添加注釋,只需在注釋行開頭添加
# 號(hào)即可。Google 會(huì)忽略所有以 # 開頭的行。
需要注意的是,Google也對(duì)該行為進(jìn)行了提示,這是一項(xiàng)高級(jí)功能,要謹(jǐn)慎使用,使用不當(dāng)反而可能會(huì)影響網(wǎng)站在Google搜索結(jié)果中的排名。賣家生存啟示錄:
規(guī)避風(fēng)險(xiǎn),保護(hù)網(wǎng)站
對(duì)于很多企業(yè)和個(gè)人而言,網(wǎng)站是脆弱的。互聯(lián)網(wǎng)巨頭同樣也有過被人入侵的經(jīng)歷,比如百度、谷歌,還有在2014年號(hào)稱永不宕機(jī)的Facebook。因此網(wǎng)上有一種聲音:“遇到這樣的情況,就把網(wǎng)站關(guān)掉吧”。可越是這樣我們越是不應(yīng)該害怕和妥協(xié),就像我們曾說“不要溫和地走進(jìn)那個(gè)良夜”,反抗精神應(yīng)該是我們靈魂的底色,越是規(guī)規(guī)矩矩做生意,越要有足夠的力量來保護(hù)自己。首先是要注意網(wǎng)站的安全性,做好網(wǎng)站內(nèi)容建設(shè)、外鏈建設(shè)以及用戶體驗(yàn)建設(shè),按照既定的策略進(jìn)行SEO優(yōu)化,讓網(wǎng)站越來越強(qiáng)大,在搜索引擎那里的信任度和權(quán)重越來越高。信任度及權(quán)值高的網(wǎng)站抵抗負(fù)面SEO的能力更強(qiáng),搜索引擎的容忍范圍更大,也會(huì)給出更長的處理時(shí)間——5W條垃圾外鏈可能會(huì)整垮一個(gè)小站,但對(duì)于一個(gè)大型網(wǎng)站,可能壓根就沒什么影響。其次是要定期檢查網(wǎng)站的FTP、代碼、外鏈、內(nèi)容、服務(wù)器等等,就算擋不住真正的黑客大神,但對(duì)于一般的負(fù)面SEO,只要認(rèn)真檢查,還是能及時(shí)發(fā)現(xiàn)并進(jìn)行處理的。而對(duì)于查出來的問題,特別是網(wǎng)站內(nèi)容中的掛馬以及垃圾外鏈,一定要請懂技術(shù)的人來徹底解決,該清除的清除,該拒絕的拒絕,把隱患掐死在搖籃里。最后,保持善良,千萬不要去做黑帽SEO,被眼前的利益引誘走上捷徑,殊不知捷徑的盡頭可能是絕境。不正當(dāng)?shù)暮诿盨EO只會(huì)讓網(wǎng)站變得更加脆弱,根植于黑帽SEO的網(wǎng)站本身根基就是有問題的,今天你黑了別人的網(wǎng)站,或許明天就有人給你掛馬,那時(shí)內(nèi)因外因一起作用,就是審判的巨劍落下了。免責(zé)聲明:文中圖片及數(shù)據(jù)信息均來源于網(wǎng)絡(luò),如有侵權(quán),請聯(lián)系刪除。
