Hvad er URL-kapring, og hvordan kan man forhindre det?

URL-kapring kan medføre, at din hjem­mesi­de fjernes fra en sø­ge­ma­ski­nes indeks og dermed skjules for po­ten­ti­el­le besøgende. Dette sker ofte, når der anvendes om­di­ri­ge­rin­ger i stedet for links.

Hvad er URL-kapring?

Begrebet URL-kapring beskriver et fænomen, hvor en hjem­mesi­de for­svin­der fra sø­ge­ma­ski­nens re­sul­ta­ter og erstattes af en anden. Denne anden side linker til den egentlige målsiden eller URL’en ved hjælp af en om­di­ri­ge­ring. For eksempel linker linked-site.com til your-site.com, men bruger en om­di­ri­ge­ring i stedet for den sæd­van­li­ge HTML-tag <a>. Den om­di­ri­ge­re­de URL ligner følgende eksempel:

www.linked-site.com/redirect .php?target=www.your-site.com

Når en sø­ge­ma­ski­ne finder et link som dette, betragter den det linkede websted og målsiden som identiske, hvilket betyder, at den fjerner det ene af de to fra indekset. Den baserer sin vurdering på HTTP-sta­tus­ko­der, der er knyttet til om­di­ri­ge­rin­gen.

Mens kode 301 (Flyttet permanent) angiver en permanent om­di­ri­ge­ring fra den angivne URL, angiver kode 302 (Fundet) en mid­ler­ti­dig om­di­ri­ge­ring til den angivne URL. Den første type er upro­ble­ma­tisk, men 302-om­di­ri­ge­rin­gen er ho­ved­år­sa­gen til URL-kapring. Disse ve­lud­før­te om­di­ri­ge­rin­ger antyder over for sø­ge­ma­ski­nens crawler, at målsiden kun er mid­ler­ti­dig, og at den linkede side faktisk er den op­rin­de­li­ge – og crawleren kon­trol­le­rer aldrig, om siderne rent faktisk er re­la­te­re­de eller ej. Hvis dette ikke kon­trol­le­res, in­dek­se­res den forkerte side og overtager pla­ce­rin­gen for den linkede URL.

Hvornår bruges 301- og 302-om­di­ri­ge­rin­ger?

Der er mange for­skel­li­ge grunde til at anvende URL-om­di­ri­ge­ring. Derfor er det al­min­de­lig praksis at om­di­ri­ge­re domæner med stavefejl permanent til det korrekte domæne. Hvis du for eksempel ved en fejl skriver googel.com i stedet for google.com i adres­se­linj­en i din browser, vil du stadig blive ført videre til den populære sø­ge­ma­ski­nes startside. Det er heller ikke usæd­van­ligt at om­di­ri­ge­re permanent til den korrekte adresse på ho­ved­si­den.

Hvis du f.eks. besøger forsiden på den en­gelsk­spro­ge­de version af Wikipedia ved at indtaste en.wikipedia.org, bliver du om­di­ri­ge­ret til en.wikipedia.org/wiki/Main_Page via en 301-om­di­ri­ge­ring. Udviklere bruger også per­ma­nen­te om­di­ri­ge­rin­ger til at lede besøgende til den nye we­badres­se efter et do­mæ­neskift eller til at henvise til indholdet i et webpro­jekt, der har fået en ny URL.

Mid­ler­ti­di­ge 302-om­di­ri­ge­rin­ger bruges derimod primært til mid­ler­ti­digt at vise indhold fra en anden URL, så det forbliver til­gæn­ge­ligt, f.eks. hvis den op­rin­de­li­ge side er under ved­li­ge­hol­del­se. Hvis en udvikler manuelt opretter denne type om­di­ri­ge­ring, er hensigten, at indholdet senere igen skal vises på den op­rin­de­li­ge URL. Der findes tre scenarier for mid­ler­ti­di­ge om­di­ri­ge­rin­ger, der kan føre til URL-kapring, hvoraf det ene bevidst anvendes til dette formål:

Util­sig­tet brug af 302-om­di­ri­ge­rin­gen

Det er meget vel muligt, at udviklere linker til et andet webpro­jekt med en mid­ler­ti­dig om­di­ri­ge­ring uden at have onde hensigter. Det kan være en fejl, hvor de egentlig havde til hensigt at indstille en permanent om­di­ri­ge­ring. URL-om­skriv­nings­mo­du­let i Apache-web­ser­ve­ren, mod_rewrite, indstil­ler stan­dar­dom­di­ri­ge­rin­ger med sta­tus­ko­den 302.

Dynamisk ge­ne­re­re­de URL-adresser

PHP er et meget udbredt script­s­prog til we­b­ud­vik­ling. Ser­ver­skrip­ter skrevet i dette pro­gram­me­rings­sprog er en enkel og praktisk måde at skabe dynamisk indhold til din hjem­mesi­de på. Men ofte er der også tale om PHP-skripter, der dynamisk in­te­gre­rer må­ladres­ser i en ek­si­ste­ren­de URL ved hjælp af den mid­ler­ti­di­ge om­di­ri­ge­rings­sta­tus­ko­de 302. Denne type skripter bruges ho­ved­sa­ge­ligt i we­badres­se­ka­ta­lo­ger, men også i mange ind­holds­sty­rings­sy­ste­mer.

Bevidst kapring af we­badres­ser

Kri­mi­nel­le ved også, hvordan man udnytter URL-kapring, og de gør gerne brug af det. De anvender bevidst 302-om­di­ri­ge­rin­ger for at fremme deres eget indhold i sø­ge­re­sul­ta­ter­ne og for at »kapre« sider, der er særligt højt placeret. Denne taktik er hverken bæ­re­dyg­tig eller lovlig og falder ind under be­teg­nel­sen black hat SEO.

URL-kapring kontra andre an­grebs­me­to­der

URL-kapring for­veks­les ofte med andre an­grebs­me­to­der, såsom do­mæ­ne­kapring eller typosquat­ting. Det drejer sig faktisk om for­skel­li­ge typer angreb, der kan bruges til at skade dig eller din hjem­mesi­des placering i sø­ge­re­sul­ta­ter­ne.

URL-kapring kontra do­mæ­ne­kapring

Selvom både URL-kapring og do­mæ­ne­kapring bruges med det formål at få kontrol over et websted, adskiller de to an­grebs­me­to­der sig fra hinanden, især hvad angår deres frem­gangs­må­de:

Do­mæ­ne­kapring er, når angribere får kontrol over et domæne ved at få adgang til do­mæ­ne­ad­mi­ni­stra­tions­kon­tie­ne, f.eks. ved at ændre DNS-indstil­lin­ger­ne. I værste fald kan angribere overtage hele ofrets til­ste­de­væ­rel­se på in­ter­net­tet.

URL-kapring kontra typosquat­ting

Som navnet antyder, udnytter an­grebs­me­to­den »typosquat­ting« stavefejl. Mens om­di­ri­ge­rin­ger normalt bruges til at hjælpe den besøgende med at finde frem til den ønskede hjem­mesi­de trods mindre stavefejl, er det netop her, typosquat­ting kommer ind i billedet. Angribere re­gi­stre­rer bevidst domæner med al­min­de­li­ge stavefejl for at om­di­ri­ge­re besøgende til deres hjem­mesi­de, som ofte in­de­hol­der ondsindet kode.

Sådan beskytter du din hjem­mesi­de mod URL-kapring

Web­s­teds­o­pe­ra­tø­rer, der forsøger at forbedre deres websteds placering i sø­ge­re­sul­ta­ter­ne, ved, hvor ud­for­dren­de og tids­kræ­ven­de denne proces er. Jo højere man kommer op i sø­ge­ma­ski­ner­nes rangering, desto større er risikoen for, at ens in­dek­se­re­de sider bliver kapret. I mod­sæt­ning til et angreb, der skyldes sik­ker­heds­hul­ler i et webpro­jekt, er URL-kapring tæt forbundet med den grund­læg­gen­de SEO-praksis, der kaldes link­bu­il­ding, og kan derfor ikke blot for­hin­dres ved hjælp af an­ti­virus­softwa­re.

Derfor er det utroligt vigtigt re­gel­mæs­sigt at analysere både nye og ek­si­ste­ren­de backlinks for at fra­sor­te­re pro­ble­ma­ti­ske URL’er. Der findes en række værktøjer og tjenester, du kan bruge til dette, herunder:

• SEMrush
• Lin­k­Re­sear­ch­Tools
• SISTRIX
• Google Search Console.

Google stiller et værktøj til fjernelse af URL’er til rådighed, som giver dig mulighed for at slette uønskede om­di­ri­ge­rin­ger, der linker til din hjem­mesi­de, fra sø­ge­in­dek­set. Inden du gør dette, bør du altid kontakte den we­bad­mi­ni­stra­tor, der er ansvarlig for siden, og bede om at få om­di­ri­ge­rin­gen ændret. På den måde er der en chance for at bevare de til­hø­ren­de backlinks. Sta­tus­ko­de 307 (Temporary Redirect) har en mulighed for mid­ler­ti­dig vi­de­re­sen­del­se, der ikke fører til URL-kapring, hvilket har været til­gæn­ge­ligt siden HTTP 1.1. Hvis det op­rin­de­li­ge websted allerede mangler i indekset, bør du kontakte sø­ge­ma­ski­neud­by­de­ren og bede om en genop­ret­tel­se af de op­rin­de­li­ge pla­ce­rin­ger, når du har om­ar­bej­det eller slettet det be­ska­di­ge­de backlink.