大家好,我是跨境男孩Riven。
數百萬的Shopify站點已經被搞了,趕緊處理,別再給那些黑帽SEO沙雕做"嫁衣"了。
先聲明下這篇文章不是專門黑Shopify,只是突然發現shopify的bug,覺得有必要在獨立站shopify賣家圈內發聲,不要再讓不法分子利用這個漏洞去謀利。
言歸正傳,說下這次的Shopify的缺陷?黑客是如何利用的?對你的shopify站點的影響?你應該如何解決?
1 背景
今天在檢測shopify網站時,通過site高級搜索指令時,在SERP發現了一些原本不屬于我自己創建的網頁,被Google收錄了。
當時在想這些鏈接,頁面的功能及頁面最初是如何創建的,是否含插件和自定義代碼,也有可能是某插件的惡意JavaScript代碼注入到DOM中實現的渲染。
圖片來源:Google
2 問題排查與發現
因為這類垃圾URL收錄,會嚴重影響品牌或店鋪的聲譽,Google對站點的審查,會影響SEO和用戶體驗。
接下來我進行了排查,通過在Google搜索[病毒廣告關鍵詞] 后,竟然發現:
2.1 數百萬站點受影響
被Google收錄,并且含有這段病毒廣告的URL,竟然高達數百萬;
請馬上在Google上,使用高級搜索指令:site: example/collections/vendors搜索下,看下你的shopify站點,是不是也被黑了?(如果被黑了,請轉載給更多Shopify賣家)
圖片來源:Google
同時,可以搜索下你的競爭對手shopify站點,99%也被黑了。
圖片來源:Google
2.2 基本都是Shopify的店鋪
https://www.examplesite.com/collections/vendors?q=
大都是上面這種URL,熟悉shopfiy的朋友都知道,shopify的Collection URL路由規則就是這樣的,經過源代碼分析和檢測,果真Shopify。
見下圖所示:
圖片來源:Google
2.3 這些 URL 可以由任何人創建
經過測試發現,隨便訪問shopify的網站并將
/collections/vendors?q=test
添加到商店地址的末尾,并按回車鍵,會看到一個頁面顯示為“test”,但沒有找到任何產品。
2.4 不僅是國內的黑帽玩家做病毒廣告,也有國外黑帽玩家
看看下面這個沙雕寫的文案,真TM想錢想瘋了。(比如國內病毒廣告站點:xe66.com)
圖片來源:Google
看看下面這張圖,我越看越氣!!
圖片來源:Google
bing也是一樣的問題。
圖片來源:Google
也有國外病毒廣告站點:fifa23coins.com ?(FIFA 23 硬幣)
圖片來源:Google
2.5 流量越大時間越久的網站,被收錄的垃圾鏈接越多
新網站由于googlebot發現、收錄和審查等,會需要更多時間;
老站,DA高的shopify網站99.9%都已經被黑。
3 Shopify ?Bug 引發的黑帽SEO思路
任何人都可以創建這類查詢的動態URL時,黑帽SEO玩家嗅到了money的味道。
在講解實現思路前,我先定義下名詞:
Shopify商家站點:代指受影響的Shopify商家站點,比如 https://cstrecords.com/
病毒廣告站點:黑帽玩家推廣目的的服務或產品的站點,比如 zhanbu88.com (星盤/塔羅/八字/心理咨詢等)
垃圾外鏈站:黑帽玩家以該站點創建假的url,作為你的垃圾外鏈站,目的是讓Google蜘蛛能發現URL,比如https://ugs9.com/
畫了個簡易的流程圖,輔助理解。
圖片來源:Google
惡意黑帽者通過利用shopify網站上的「vendor-供應商名稱」搜索查詢漏洞,生成以「病毒廣告站點」產品詳細信息作為標題的假頁面;并且在「垃圾外鏈站」上創建指向這個假 url ;最后谷歌對該頁面進行發現、索引并將其「Shopify商家站點」URL,顯示在SERP搜索結果中,以達到幫助推廣「病毒廣告站點」的服務或產品的目的。
注意,這個帶q參數的動態URL,該頁面本身并不獨立存在,它僅作為目標網站上搜索結果的一部分存在。
4 Shopify賣家解決方案(重點)
先給大家看下Shopify官方的回復的解決方案,https://community.shopify.com/c/shopify-discussions/website-hacked-help/td-p/1748004 ?(也就是下面的4.1方案,我會再補充4.2/4.3解決方案,以及4.4檢查方案)
圖片來源:Shopify
圖片來源:Shopify
4.1 拒絕這些垃圾反向鏈接
1.?使用 SEO 診斷軟件,比如SEMrush、Ahrefs等,將所有垃圾反向鏈接收集到一個
.txt
文件中
2.?通過Google 的拒絕工具提交這些URL,地址:https://search.google.com/search-console/disavow-links
圖片來源:Google
按照要求的拒絕鏈接格式上傳一個文本文件 (*.txt),其中包含要拒絕的鏈接或網域,地址:https://support.google.com/webmasters/answer/2648487
比如*.txt文件:
圖片來源:Google
3.?上傳成功后,見下圖:
圖片來源:Google
注意:
這是一項高級功能,應謹慎使用。如果使用不當,此功能可能會損害您的網站在 Google 搜索結果中的表現。如果您認為有大量垃圾郵件、人工或低質量鏈接指向您的網站,并且您確信這些鏈接會給您帶來問題,我們建議您僅拒絕反向鏈接。
4.2 Google Search Console拒絕收錄垃圾頁面
1. 進入Google Search Console后臺 > 【編制索引】 > 【刪除】菜單處;
2.?點擊「新請求」按鈕
3.?選擇「僅移除此網址」或「移除所有帶此前綴的網址均可」
依次輸入被google收錄的垃圾廣告鏈接;或者輸入:你的域名/collections/vendors
圖片來源:Google
4.3 編輯Robots.txt協議
操作步驟:
1.?進入Shopify Admin后臺,依次點擊 ?【在線商店】 -> 【模板】 -> 【編輯代碼】菜單:
2.? 在【模板】菜單下,點擊「添加新模板」按鈕;
3.?在彈窗中選擇「robots.txt」選項;
圖片來源:Shopify
4、編輯Robots.txt協議
目的是禁止各類搜索引擎蜘蛛(如GoogleBot)抓取 ?
/collections/vendors?q=test
?這類URL
代碼示例:
User-agent: *
Disallow: /collections/vendors?q=
圖片來源:Shopify
注意:
1.?robots.txt協議不要亂編輯,這里面會有規范,建議先閱讀Google官方文檔:https://developers.google.com/search/docs/crawling-indexing/robots/intro,后續視情況,考慮整理發下robots.txt的教程?
2.?robots.txt協議屬于君子協議,搜索引擎會考慮遵守,但不排除特殊情況
圖片來源:Shopify
4.4 最后:檢查
完成以上優化動作后,次日在Google搜索界面,搜索:site:你的域名/collections/vendors
圖片來源:Google
-------
對了,之前我還發現了Bigcommerce虛假宣傳說shopify不支持修改robots.txt,在黑Shopify,還跑去懟Bigcommerce了(算是幫Shopify挽回點失去的面子)。
相關文章
