מדריך: איך מזהים ומטפלים בפריצה לאתר

מאת: נתן ליכטר

אין זה משנה אם יש לכם אתר קטן בתחילת דרכו או אתר של מותג גדול עם תנועה של עשרות אלפי גולשים. כל אתר בישראל יכול להיות רגיש לפריצות. לא אדבר על אבטחת אתרים או שרתים, זה לא התחום שלי, אבל כאיש SEO, צריך להיות ערני לגבי פריצות. לפעמים קורה שאף אחד, פרט לאיש הקידום האורגני, אינו מצליח להבין בכלל שהייתה פריצה לאתר או לשרת. בין היתר כי היא יכולה להיות מנוטרלת אוטומטית גם מבלי שתדעו. אז איך דווקא מקדם אתרים מאתר אותה? כי הוא תמיד עם האצבע על הדופק דרך בדיקות שהוא עושה בסרץ' קונסול. פריצה יכולה להשאיר נזקים וסימנים והם יכולים להשפיע על קידום האתר. זה בדיוק מה שקרה לאחד הלקוחות שלי. 

 

אתר בתחום פיננסי נפרץ ע"י האקר יפני

 

כך  גיליתי את הפריצה: התחלתי לעשות מחקר מתחרים לאתר שנמצא בתחילת הקידום האורגני שלו. כאשר הגעתי לבדיקת של כמות ביטויים שמופיעים בגוגל, הבנתי שמשהו לא בסדר. למה? היו לו 20 ביטויים בעמוד הראשון, ו 2000 ביטויים בסה"כ בגוגל. כמות שלא נראתה לי הגיונית לאתר שיש לו בסה"כ  60 עמודים. השוואתי אותו למתחרים, וחוץ מאשר למתחרה ותיק אחד, לכולם היו כמה מאות ביטויים בגוגל ולא אלפים. אמנם לאתר הותיק והמוביל יותר היו 1300 ביטויים אבל היו לו פי 10 יותר עמודים בבלוג, כך שזה היה הגיוני.  משהו פה לא הסתדר לי. זה נראה לי מוזר.

 

במסגרת מחקר המתחרים, בדקתי גם את הקישורים הנכנסים לאתר ולכן נכנסתי לסרץ' קונסול. על הדרך התחלתי לעשות בדיקה בסיסית שם כדי לוודא שאין בעיות חדשות, ואז גיליתי שלא סתם נראה לי מוזר שהאתר מופיע על 2000 ביטויים בגוגל. גיליתי שלאתר יש 140,000 עמודי 404. אתר עם 60 עמודים הגיע ל 140,000 עמודי 404?!?  נכנסתי לבדוק איך נראים העמודים האלה ונחרדתי מכתובות ה Url.  עשיתי פקודת Site: בגוגל על כתובת האתר וכשהגעתי לעמוד השני של תוצאות החיפוש, העמוד התמלא בתוצאות שנראו כך:

 

 

כשנכנסים לעמוד, מקבלים 404, אבל בגרסת המטמון של גוגל אפשר היה לראות איך העמוד נראה כשנסרק בפעם האחרונה:

אז מה קרה?

לפי אנשי האבטחה ומנהל האתר, מסתבר שבוצעה פריצה מאחד התוספים שהיו מותקנים במערכת הניהול (וורדרפרס). הושתל לאתר קובץ זדוני שכפל את עצמו  ויצר מעל 100,000 על עמודי מוצרים. מערכת האבטחה של האתר נטרלה את הפריצה, מחקה את הקובץ הזדוני, אבל זה כבר היה מאוחר מידי, העמודים נסרקו וכך נוצרו עמודי  ה404  וכך גם גיליתי את הפריצה.

 

עוד דרכים שבהם אפשר היה לגלות את הפריצה

 

דרך הכלי Ahref התגלו שרוב הביטויים שעליהם האתר מופיע מגיעים מיפן:

זה לא הגיוני שלאתר ישראלי יהיו כל כך הרבה ביטויים ביפן. וכך נראית הזוועה שנכנסים לבדוק על איזה מילים הוא מופיע בגוגל:

 

אלה הן הפעולות שעשיתי כדי לנטרל את השאריות והנזקים של הפריצה

 

  1. הודעה לבעלי ומנהלי האתר – שלחתי להם מייל בהקדם האפשרי, הודעתי על הפריצה וביקשתי שיבדקו אותה לעומק מהצד שלהם כולל את השרת ולא רק את האתר ושיחזקו את האבטחה. דברים שנעשו מהצד שלהם:
    • איתור מקור הפריצה: איתרו את התוסף הספציפי שממנו נפרץ האתר ודיווח מה בדיוק קרה.
    • בקרה מחדש על מערכות האבטחה וחיזוק בהתאם לצורך  –  גם בצד שרת וגם בצד האתר.
  •    הסרת זיהוי מערכת האתר – מניעת זיהוי שמדובר באתר וורדפרס ע"י שימוש בכלים חיצוניים, בין היתר ע"י ביטול השימוש בUrl הקלאסי wp-admin לכניסה למערכת הניהול.
  •    החלפת שם משתמש וסיסמה לכל המשתמשים –  חובה לעשות לאחר כל פריצה לאתר ולא משנה אם הפריצה הייתה דרך פרטי הגישה של אחד מהמשתמשים.

 

  1. מיפוי הנזק וחסימה –  לא הייתה לי אפשרות לראות את כל ה 140,000 עמודי ה 404 כי הסרץ' קונסול מציג עד 1000 כתובות Url. אז מה עשיתי? חיפשתי מכנה משותף לכל הכתובות האלה. כמובן שלעשות הפניות 301 זה טרחה מיותרת. בחרתי, במקום לבצע הפניות, להגדיר את העמודים האלה כמעודי 410. הגדרה זו מסמנת לגוגל שהעמוד לא קיים יותר. מה שיקרה הוא שעם הזמן העמודים פשוט ירדו מתוצאות החיפוש וגוגל לא יאנדקס אותם בכלל. עשיתי את ההגדרה הזו דרך תוסף וורדפרס בשם אולטימייט 410. היו לא מעט כתובות Url שישבו על תיקיה משותפת או שהייתה להם סיומת זהה. חסמתי את הפרמטרים האלה באופן גורף, וכך כמות גדולה מאוד של כתובות url הוגדרו כ 410. אבל זה לא סוף סיפור החסימה, כי יש עוד לא מעט כתובות שאין להן מכנה משותף כך שפעם בשבוע אני מוסף כאלה וחוסם אותן ידנית דרך התוסף.

 

האם נגרם נזק לאתר בעקבות הפריצה?

 

קשה להבין בוודאות.  אם האתר היה נעלם מגוגל בכל או בחלק מהביטויים שלו, הייתי מבין מיד שמדובר בעונש אבל זה לא המצב. למעשה הוא עלה בביטוי המרכזי שלו מעמוד 2 לעמוד 1. בביטויים אחרים הוא ירד ובעוד כמה ביטויים עלה. בגדול מדובר בתנודה במיקומים אבל לא משהו שלא קורה כמעט כל חודש ובמיוחד בשנת 2021 שהייתה רוויה בעדכוני אלגוריתמים. לדעתי לא הייתה השפעה על הקידום מכיוון שהפריצה נוטרלה בזמן והשאריות, על שגיליתי אותן, אם גרמו לנזק אז מדובר במשהו ממש מינורי ובהחלט לא בנזק משמעותי. אבל לא זלזלתי בכך בשום אופן והתחלתי לנקות את שאריות הפריצה ברגע שגיליתי אותן.

המאמר עזר לך, את/ה מוזמן לשתף
שיתוף ב facebook

מאמרים נוספים

Call Now Button073-222-3700
נגישות