很多时候,溺水者都是站在水中悄悄死去的,没有唿救、没有挣扎、甚至眼睛都是睁着的,看上去只是在茫然地发呆,生机就在寂静中一分一秒地流逝,一个网站的死去也是这样。
独立站被黑,有时候卖家是并不知情的,只是疑惑为什么最近网站的流量和订单都少了,或者奇怪为什么自己的网站在谷歌排名下降了?却不知道自己的网站已经悄悄被入侵了。
巨轮上的裂缝:一个Shopify的漏洞
最近,陆续有卖家反映自己的店铺出现了问题,大多都是通过Shopify建站的独立站卖家。卖家在自查时会发现一些不属于自己创建的网页被谷歌收录了,而且放的URL都是非常低俗和完全不搭边的广告。
显然,这是卖家的网站被黑了。
这样恶劣的攻击手段,可能只开始于Shopify一个小小的bug,就像巨轮上一条的不起眼的裂缝:
恶意黑帽者通过利用Shopify网站上的“vendor-供应商名称”搜索查询漏洞,生成以“病毒广告站点”产品详细信息(比如上图中的“Betkings66.com”)作为标题的假页面,并在垃圾外链站上创建假链接指向这个假页面的URL,最后谷歌对其发现、索引并收录,显示在搜索结果中。该页面本身并不独立存在,它仅作为目标网站上搜索结果的一部分存在。
此次攻击方式类似于网站被挂上了木马病毒。即黑客找到了网站的漏洞,随后上传文件,文件可以修改网站的代码,把页面变为黑客自己想要的样子或跳转到另外的网站。这种情况,一般会出现在一些开源网站。
而Shopify正是这样的开源系统。比如我们进入一个Shopify独立站,在官网首页网址后添加/collections/vendors?q=任意内容,达成这样的模式:
https://www.example.com/collections/vendors?q=
页面就会显示出你所添加的内容(注:URL中的“?q=”向url结构的第一部分中的网站发送搜索查询,它可以搜索URL之后的任何内容)。
更可怕的是,这样的攻击总是悄悄发生的,卖家如果不去搜根本发现不了,而这些URL却可以由任何人创建,还会在谷歌的系统上被真实记录,根本防不胜防。
大水灌入:数百万网站被影响
如今在谷歌用一些奇怪的关键词或者违禁词进行检索,包括【六合彩】、【病毒广告关键词】【彩票】等等,冒头的几乎都是Shopify站点。如果用被黑的网站中出现的病毒广告关键词进行搜索,还会出现更多,检索结果高达数百万。
而这些被黑掉的网站大都是同一种URL:
https://www.examplesite.com/collections/vendors?q=
实际上,这就是Shopify的Collection URL路由规则,也就是说,这些被黑掉的网站都是Shopify卖家们的网站。新网站由于被谷歌bot发现、收录和审查需要更多时间,幕后的黑手专刷域名权重高的网站,因此流量越大、时间越久的网站,被收录的垃圾链接越多,这样一来,一搜这些词都排在前面。
目前已经有中国卖家中招,瞬间在卖家群里引起了恐慌:
“Shopify不能用了,这只是冰山一角”
“这些网站都是shopify建站的”
还有卖家自我安慰道:“还好我不靠SEO”。
但试想一下,网站被黑之后,用户打开网页看到的就是赌博之类的垃圾信息,自然不敢继续购买产品。有正义感的用户说不定还会反手举报网站,导致网站被搜索引擎列入不受信任的网站,甚至有风险的网站,导致客户大量流失。
而对于非常依赖谷歌流量的独立站而言,这种攻击可以说是致命的,因为这类垃圾URL收录会严重影响品牌或店铺的声誉、Google对站点的审查,以及网站SEO和用户的体验。如果被谷歌列入黑名单,网站则很有可能会失去95%的自然谷歌搜索流量,而这会迅速反映到产品销量和收入上。
Shopify论坛中也已经有不少人注意到了这件事情,在讨论中我们得知:有人利用Shopify的漏洞“collections/vendors?q=XXXXXX”创建了超过4百万个垃圾邮件链接到谷歌,垃圾链接又触及最佳搜索引擎惩罚机制,现在被黑卖家的网站流量被搜索引擎限制,只有以前的一半。还有人的网站现在只有少数人访问,最后一次被访问已经是8个月前了。
自救手册:独立站风险解决机制
那么,对于跨境卖家而言,如何确定独立站是否被恶意攻击呢?
首先,卖家可以测试密码登录独立站后台,观察是否能正常登录,有无异常。
其次,可以利用Google search console工具关注网站排名情况,如果排名异常下滑,很有可能存在潜在被攻击风险。
另外还有一种更为直观的办法,我们可以利用特殊指令进行高级搜索,来确定站点是否被重新定向到了与卖家独立站无关的其他外部站点。
一般,可以使用site:指令来把搜索范围限定在你的独立站点中,然后搜寻要找的内容。根据此次被黑情况,卖家可以在Google上用高级搜索指令搜索:
site: example.com/collections/vendors
(将example替换成独立站网站网址)
就像此次大规模被黑事件,不查不知道,一查吓一跳,这些信息就悄悄隐藏在你网站的角落里影响着你的排名。
这些被攻击的网站,大部分的域名格式都为:
https://www.example.com/collections/vendors?q=
通过分析和部分网站的标注,就可以知道此次被攻击的大部分都是shopfiy的店铺。
另外,跨境卖家也要清楚做病毒广告的不仅有国内的黑帽玩家,还有国外的黑帽玩家。卖家在日常运营中务必要多检查,避免网站被黑还不知道。
(国外)
(被黑网站页面详情)
排查到这些问题后,该如何去解决呢?
根据Shopify的官方说法,跨境商家可以利用SEO工具软件,来拒绝这些垃圾反向链接。
首先,可以利用Ahrefs、SEMrush、Moz或Majestic等工具,将所有不良反向链接收集到一个.txt文件中,然后通过Google拒绝工具提交这些URL。
查找链接是整个流程中最为繁琐的工作,有两种具体的查找垃圾邮件反向链接的工作方法:1、检测链接到您的低质量网站;2、识别锚文本。
方法一:检测链接到您的低质量网站
垃圾反向链接通常来自低质量网站,我们要做的就是找到这些垃圾网站。这里,我们以Ahrefs工具为例进行讲解。
(1)将独立站域名复制到Ahrefs站点资源管理器,左侧菜单中找到名为“反向链接配置文件”的选项。在“引用域”报告中将展示出链接到您的所有网站列表。
(2)对网站列表进行排序,即按照DR(域名评级)从低到高。然后再对可疑的链接进行调查,尤其是那些有大量外文的域名、明显不属于你的利基市场的网站。
(3)检测到此类可疑域名之后,单击“反向链接”列下的数字可以获取这个链接的更多详细信息,以此来确定这个链接是真实的最后一步。一般,如果看起来可疑、不连贯、与网站定位不符,多半就是需要摘出来的垃圾外链。对于这些链接,可以收集在.txt文件中。
方法二:识别垃圾邮件锚文本
另一种查找垃圾邮件反向链接的方法是直接查看锚文本。如果有很多相同的与你的网站页面并不相关的锚文本,那这些链接可能就是垃圾邮件,影响你的排名。
这些查找也可以利用SEO工具,在Ahrefs Site Explorer中,所需的报告称为“Anchors”,位于左侧菜单中。要查找不良反向链接,点击已识别的可疑锚文本边的“详细信息”按钮,即可获得垃圾邮件引用域名列表。
经过上述两种方法收集整理成.txt文档后,就可以登录后上传Google的拒绝工具,Google就会拒绝这些网址,文件上传网址:
https://search.google.com/search-console/disavow-links
根据Google要求,文件格式需注意:
每行只能指定一个要拒绝的域名,要具体,不要拒绝整个子路径;
拒绝某个域名(或子域名),请添加“domain:”前缀,例如:domain:example.com;
文件必须是以 UTF-8 或 7 位 ASCII 编码的文本文件;
文件名必须以 .txt 结尾;
网址长度上限为 2048 个字符;
文件最多只能包含 10 万行内容(包括空白行和注释行),大小不得超过 2MB;
可以视需要添加注释,只需在注释行开头添加 # 号即可。Google 会忽略所有以 # 开头的行。
示例:
需要注意的是,Google也对该行为进行了提示,这是一项高级功能,要谨慎使用,使用不当反而可能会影响网站在Google搜索结果中的排名。
卖家生存启示录:规避风险,保护网站
对于很多企业和个人而言,网站是脆弱的。互联网巨头同样也有过被人入侵的经历,比如百度、谷歌,还有在2014年号称永不宕机的Facebook。因此网上有一种声音:“遇到这样的情况,就把网站关掉吧”。可越是这样我们越是不应该害怕和妥协,就像我们曾说“不要温和地走进那个良夜”,反抗精神应该是我们灵魂的底色,越是规规矩矩做生意,越要有足够的力量来保护自己。
首先是要注意网站的安全性,做好网站内容建设、外链建设以及用户体验建设,按照既定的策略进行SEO优化,让网站越来越强大,在搜索引擎那里的信任度和权重越来越高。信任度及权值高的网站抵抗负面SEO的能力更强,搜索引擎的容忍范围更大,也会给出更长的处理时间——5W条垃圾外链可能会整垮一个小站,但对于一个大型网站,可能压根就没什么影响。
其次是要定期检查网站的FTP、代码、外链、内容、服务器等等,就算挡不住真正的黑客大神,但对于一般的负面SEO,只要认真检查,还是能及时发现并进行处理的。而对于查出来的问题,特别是网站内容中的挂马以及垃圾外链,一定要请懂技术的人来彻底解决,该清除的清除,该拒绝的拒绝,把隐患掐死在摇篮里。
最后,保持善良,千万不要去做黑帽SEO,被眼前的利益引诱走上捷径,殊不知捷径的尽头可能是绝境。不正当的黑帽SEO只会让网站变得更加脆弱,根植于黑帽SEO的网站本身根基就是有问题的,今天你黑了别人的网站,或许明天就有人给你挂马,那时内因外因一起作用,就是审判的巨剑落下了。
本文链接:http://www.awyerwu.com/7957.html ,转载需注明文章链接来源:http://www.awyerwu.com/
