大家好,我是跨境男孩Riven。
數(shù)百萬的Shopify站點(diǎn)已經(jīng)被搞了,趕緊處理,別再給那些黑帽SEO沙雕做"嫁衣"了。
先聲明下這篇文章不是專門黑Shopify,只是突然發(fā)現(xiàn)shopify的bug,覺得有必要在獨(dú)立站shopify賣家圈內(nèi)發(fā)聲,不要再讓不法分子利用這個(gè)漏洞去謀利。
言歸正傳,說下這次的Shopify的缺陷?黑客是如何利用的?對你的shopify站點(diǎn)的影響?你應(yīng)該如何解決?
1 背景
今天在檢測shopify網(wǎng)站時(shí),通過site高級搜索指令時(shí),在SERP發(fā)現(xiàn)了一些原本不屬于我自己創(chuàng)建的網(wǎng)頁,被Google收錄了。
當(dāng)時(shí)在想這些鏈接,頁面的功能及頁面最初是如何創(chuàng)建的,是否含插件和自定義代碼,也有可能是某插件的惡意JavaScript代碼注入到DOM中實(shí)現(xiàn)的渲染。
圖片來源:Google
2 問題排查與發(fā)現(xiàn)
因?yàn)檫@類垃圾URL收錄,會嚴(yán)重影響品牌或店鋪的聲譽(yù),Google對站點(diǎn)的審查,會影響SEO和用戶體驗(yàn)。
接下來我進(jìn)行了排查,通過在Google搜索[病毒廣告關(guān)鍵詞] 后,竟然發(fā)現(xiàn):
2.1 數(shù)百萬站點(diǎn)受影響
被Google收錄,并且含有這段病毒廣告的URL,竟然高達(dá)數(shù)百萬;
請馬上在Google上,使用高級搜索指令:site: example/collections/vendors搜索下,看下你的shopify站點(diǎn),是不是也被黑了?(如果被黑了,請轉(zhuǎn)載給更多Shopify賣家)
圖片來源:Google
同時(shí),可以搜索下你的競爭對手shopify站點(diǎn),99%也被黑了。
圖片來源:Google
2.2 基本都是Shopify的店鋪
https://www.examplesite.com/collections/vendors?q=
大都是上面這種URL,熟悉shopfiy的朋友都知道,shopify的Collection URL路由規(guī)則就是這樣的,經(jīng)過源代碼分析和檢測,果真Shopify。
見下圖所示:
圖片來源:Google
2.3 這些 URL 可以由任何人創(chuàng)建
經(jīng)過測試發(fā)現(xiàn),隨便訪問shopify的網(wǎng)站并將
/collections/vendors?q=test
添加到商店地址的末尾,并按回車鍵,會看到一個(gè)頁面顯示為“test”,但沒有找到任何產(chǎn)品。
2.4 不僅是國內(nèi)的黑帽玩家做病毒廣告,也有國外黑帽玩家
看看下面這個(gè)沙雕寫的文案,真TM想錢想瘋了。(比如國內(nèi)病毒廣告站點(diǎn):xe66.com)
圖片來源:Google
看看下面這張圖,我越看越氣!!
圖片來源:Google
bing也是一樣的問題。
圖片來源:Google
也有國外病毒廣告站點(diǎn):fifa23coins.com ?(FIFA 23 硬幣)
圖片來源:Google
2.5 流量越大時(shí)間越久的網(wǎng)站,被收錄的垃圾鏈接越多
新網(wǎng)站由于googlebot發(fā)現(xiàn)、收錄和審查等,會需要更多時(shí)間;
老站,DA高的shopify網(wǎng)站99.9%都已經(jīng)被黑。
3 Shopify ?Bug 引發(fā)的黑帽SEO思路
任何人都可以創(chuàng)建這類查詢的動態(tài)URL時(shí),黑帽SEO玩家嗅到了money的味道。
在講解實(shí)現(xiàn)思路前,我先定義下名詞:
Shopify商家站點(diǎn):代指受影響的Shopify商家站點(diǎn),比如 https://cstrecords.com/
病毒廣告站點(diǎn):黑帽玩家推廣目的的服務(wù)或產(chǎn)品的站點(diǎn),比如 zhanbu88.com (星盤/塔羅/八字/心理咨詢等)
垃圾外鏈站:黑帽玩家以該站點(diǎn)創(chuàng)建假的url,作為你的垃圾外鏈站,目的是讓Google蜘蛛能發(fā)現(xiàn)URL,比如https://ugs9.com/
畫了個(gè)簡易的流程圖,輔助理解。
圖片來源:Google
惡意黑帽者通過利用shopify網(wǎng)站上的「vendor-供應(yīng)商名稱」搜索查詢漏洞,生成以「病毒廣告站點(diǎn)」產(chǎn)品詳細(xì)信息作為標(biāo)題的假頁面;并且在「垃圾外鏈站」上創(chuàng)建指向這個(gè)假 url ;最后谷歌對該頁面進(jìn)行發(fā)現(xiàn)、索引并將其「Shopify商家站點(diǎn)」URL,顯示在SERP搜索結(jié)果中,以達(dá)到幫助推廣「病毒廣告站點(diǎn)」的服務(wù)或產(chǎn)品的目的。
注意,這個(gè)帶q參數(shù)的動態(tài)URL,該頁面本身并不獨(dú)立存在,它僅作為目標(biāo)網(wǎng)站上搜索結(jié)果的一部分存在。
4 Shopify賣家解決方案(重點(diǎn))
先給大家看下Shopify官方的回復(fù)的解決方案,https://community.shopify.com/c/shopify-discussions/website-hacked-help/td-p/1748004 ?(也就是下面的4.1方案,我會再補(bǔ)充4.2/4.3解決方案,以及4.4檢查方案)
圖片來源:Shopify
圖片來源:Shopify
4.1 拒絕這些垃圾反向鏈接
1.?使用 SEO 診斷軟件,比如SEMrush、Ahrefs等,將所有垃圾反向鏈接收集到一個(gè)
.txt
文件中
2.?通過Google 的拒絕工具提交這些URL,地址:https://search.google.com/search-console/disavow-links
圖片來源:Google
按照要求的拒絕鏈接格式上傳一個(gè)文本文件 (*.txt),其中包含要拒絕的鏈接或網(wǎng)域,地址:https://support.google.com/webmasters/answer/2648487
比如*.txt文件:
圖片來源:Google
3.?上傳成功后,見下圖:
圖片來源:Google
注意:
這是一項(xiàng)高級功能,應(yīng)謹(jǐn)慎使用。如果使用不當(dāng),此功能可能會損害您的網(wǎng)站在 Google 搜索結(jié)果中的表現(xiàn)。如果您認(rèn)為有大量垃圾郵件、人工或低質(zhì)量鏈接指向您的網(wǎng)站,并且您確信這些鏈接會給您帶來問題,我們建議您僅拒絕反向鏈接。
4.2 Google Search Console拒絕收錄垃圾頁面
1. 進(jìn)入Google Search Console后臺 > 【編制索引】 > 【刪除】菜單處;
2.?點(diǎn)擊「新請求」按鈕
3.?選擇「僅移除此網(wǎng)址」或「移除所有帶此前綴的網(wǎng)址均可」
依次輸入被google收錄的垃圾廣告鏈接;或者輸入:你的域名/collections/vendors
圖片來源:Google
4.3 編輯Robots.txt協(xié)議
操作步驟:
1.?進(jìn)入Shopify Admin后臺,依次點(diǎn)擊 ?【在線商店】 -> 【模板】 -> 【編輯代碼】菜單:
2.? 在【模板】菜單下,點(diǎn)擊「添加新模板」按鈕;
3.?在彈窗中選擇「robots.txt」選項(xiàng);
圖片來源:Shopify
4、編輯Robots.txt協(xié)議
目的是禁止各類搜索引擎蜘蛛(如GoogleBot)抓取 ?
/collections/vendors?q=test
?這類URL
代碼示例:
User-agent: *
Disallow: /collections/vendors?q=
圖片來源:Shopify
注意:
1.?robots.txt協(xié)議不要亂編輯,這里面會有規(guī)范,建議先閱讀Google官方文檔:https://developers.google.com/search/docs/crawling-indexing/robots/intro,后續(xù)視情況,考慮整理發(fā)下robots.txt的教程?
2.?robots.txt協(xié)議屬于君子協(xié)議,搜索引擎會考慮遵守,但不排除特殊情況
圖片來源:Shopify
4.4 最后:檢查
完成以上優(yōu)化動作后,次日在Google搜索界面,搜索:site:你的域名/collections/vendors
圖片來源:Google
-------
對了,之前我還發(fā)現(xiàn)了Bigcommerce虛假宣傳說shopify不支持修改robots.txt,在黑Shopify,還跑去懟Bigcommerce了(算是幫Shopify挽回點(diǎn)失去的面子)。
轉(zhuǎn)載請注明:*Shopify賣家必看,你的網(wǎng)站99.9%已經(jīng)被黑了! | 蘑菇跨境
相關(guān)文章
