Τι είναι η πειρατεία URL και πώς μπορείτε να την αποτρέψετε;

Η παραποίηση URL μπορεί να οδηγήσει στη διαγραφή του ιστότοπού σας από τον κατάλογο μιας μηχανής αναζήτησης και να τον κρύψει από πιθανούς επισκέπτες. Αυτό το φαινόμενο παρατηρείται συνήθως όταν χρησιμοποιούνται ανακατευθύνσεις αντί για συνδέσμους.

Τι είναι η πειρατεία URL;

Ο όρος «απαγωγή URL» περιγράφει ένα φαινόμενο κατά το οποίο ένας ιστότοπος εξαφανίζεται από τα αποτελέσματα μιας μηχανής αναζήτησης και αντικαθίσταται από έναν άλλο. Ο άλλος αυτός ιστότοπος παραπέμπει στην πραγματική σελίδα-στόχο ή URL μέσω ανακατεύθυνσης. Για παράδειγμα, linked-site.com παραπέμπει στον your-site.com, αλλά χρησιμοποιεί ανακατεύθυνση αντί της συνήθους ετικέτας HTML <a>. Η ανακατευθυνόμενη διεύθυνση URL μοιάζει με το παρακάτω παράδειγμα:

www.linked-site.com/redirect .php?target=www.your-site.com

Όταν μια μηχανή αναζήτησης εντοπίζει έναν τέτοιο σύνδεσμο, θεωρεί τον ιστότοπο προέλευσης και τον ιστότοπο προορισμού ως πανομοιότυπους, πράγμα που σημαίνει ότι διαγράφει τον έναν από τους δύο από το ευρετήριο. Βασίζεται στους κωδικούς κατάστασης HTTP που συνοδεύουν την ανακατεύθυνση.

Ενώ ο κωδικός 301 (Μόνιμη μετακίνηση) υποδηλώνει μόνιμη ανακατεύθυνση από τη συγκεκριμένη διεύθυνση URL, ο κωδικός 302 (Βρέθηκε) υποδηλώνει προσωρινή ανακατεύθυνση προς την καθορισμένη διεύθυνση URL. Ο πρώτος τύπος δεν δημιουργεί προβλήματα, αλλά η ανακατεύθυνση 302 είναι ο κύριος λόγος για την πειρατεία URL. Αυτές οι καλοφτιαγμένες ανακατευθύνσεις υποδηλώνουν στον ανιχνευτή της μηχανής αναζήτησης ότι ο ιστότοπος προορισμού είναι μόνο προσωρινός και ότι η συνδεδεμένη σελίδα είναι στην πραγματικότητα η αρχική – και ο ανιχνευτής δεν ελέγχει ποτέ αν οι ιστότοποι είναι πραγματικά σχετικοί ή όχι. Εάν αυτό δεν ελεγχθεί, η λάθος σελίδα ευρετηριάζεται και παίρνει την κατάταξη της συνδεδεμένης διεύθυνσης URL.

Πότε χρησιμοποιούνται οι ανακατευθύνσεις 301 και 302;

Υπάρχουν πολλοί και διάφοροι λόγοι για τη χρήση της ανακατεύθυνσης URL. Ως αποτέλεσμα, η μόνιμη ανακατεύθυνση των domain με τυπογραφικά λάθη προς το σωστό domain αποτελεί ευρέως διαδεδομένη πρακτική. Για παράδειγμα, αν πληκτρολογήσετε κατά λάθος googel.com αντί για google.com στη γραμμή διευθύνσεων του προγράμματος περιήγησής σας, θα μεταφερθείτε ούτως ή άλλως στην αρχική σελίδα της δημοφιλούς μηχανής αναζήτησης. Η μόνιμη ανακατεύθυνση προς τη σωστή διεύθυνση της κύριας σελίδας δεν αποτελεί επίσης κάτι ασυνήθιστο.

Αν επισκεφθείτε την αρχική σελίδα της αγγλόφωνης έκδοσης της Βικιπαίδειας, για παράδειγμα, πληκτρολογώντας το en.wikipedia.org, θα μεταφερθείτε στο en.wikipedia.org/wiki/Main_Page μέσω μιας ανακατεύθυνσης 301. Οι προγραμματιστές χρησιμοποιούν επίσης τις μόνιμες ανακατευθύνσεις για να οδηγήσουν τους επισκέπτες στη νέα διεύθυνση ιστού μετά από αλλαγή domain ή για να προσδιορίσουν το περιεχόμενο ενός διαδικτυακού έργου που έχει λάβει νέα διεύθυνση URL.

Οι προσωρινές ανακατευθύνσεις 302, από την άλλη πλευρά, χρησιμοποιούνται κυρίως για την προσωρινή εμφάνιση περιεχομένου από μια άλλη διεύθυνση URL, ώστε αυτό να παραμείνει διαθέσιμο, για παράδειγμα, εάν η αρχική σελίδα βρίσκεται υπό συντήρηση. Εάν ένας προγραμματιστής δημιουργήσει χειροκίνητα αυτόν τον τύπο ανακατεύθυνσης, ο σκοπός είναι το περιεχόμενο να εμφανιστεί ξανά αργότερα στην αρχική διεύθυνση URL. Υπάρχουν τρία σενάρια προσωρινών ανακατευθύνσεων που μπορούν να οδηγήσουν σε «απαγωγή» διεύθυνσης URL, ένα από τα οποία χρησιμοποιείται σκόπιμα για αυτόν τον σκοπό:

Ακούσια χρήση της ανακατεύθυνσης 302

Είναι πολύ πιθανό οι προγραμματιστές να δημιουργήσουν έναν σύνδεσμο προς ένα διαφορετικό διαδικτυακό έργο με προσωρινή ανακατεύθυνση, χωρίς να έχουν κακές προθέσεις. Μπορεί να πρόκειται για λάθος, καθώς η πρόθεσή τους ήταν να ορίσουν μόνιμη ανακατεύθυνση. Ο μηχανισμός αναδιαμόρφωσης URL του διακομιστή Apache mod_rewrite ορίζει τις προεπιλεγμένες ανακατευθύνσεις με τον κωδικό κατάστασης 302.

Διευθύνσεις URL που δημιουργούνται δυναμικά

Η PHP είναι μια ευρέως χρησιμοποιούμενη γλώσσα προγραμματισμού για την ανάπτυξη ιστοσελίδων. Τα σενάρια διακομιστή σε αυτή τη γλώσσα προγραμματισμού αποτελούν έναν απλό και πρακτικό τρόπο για τη δημιουργία δυναμικού περιεχομένου για τον ιστότοπό σας. Ωστόσο, συχνά πρόκειται για σενάρια PHP που ενσωματώνουν δυναμικά διευθύνσεις προορισμού σε μια υπάρχουσα διεύθυνση URL χρησιμοποιώντας τον προσωρινό κωδικό κατάστασης ανακατεύθυνσης 302. Αυτού του είδους τα σενάρια χρησιμοποιούνται κυρίως σε καταλόγους διευθύνσεων ιστού, αλλά και σε πολλά συστήματα διαχείρισης περιεχομένου.

Σκόπιμη παραβίαση URL

Οι εγκληματίες γνωρίζουν επίσης πώς να χρησιμοποιούν την «απαγωγή» URL και δεν διστάζουν να το κάνουν. Χρησιμοποιούν σκόπιμα ανακατευθύνσεις 302 για να προωθήσουν το δικό τους περιεχόμενο στην κατάταξη και να «απαγάγουν» σελίδες με ιδιαίτερα υψηλή κατάταξη. Η τακτική αυτή δεν είναι ούτε βιώσιμη ούτε νόμιμη και εμπίπτει στην κατηγορία του black hat SEO.

Η πειρατεία URL σε σύγκριση με άλλες μεθόδους επίθεσης

Η πειρατεία URL συχνά συγχέεται με άλλες μεθόδους επίθεσης, όπως η πειρατεία ονόματος χώρου ή το typosquatting. Πρόκειται στην πραγματικότητα για διαφορετικούς τύπους επιθέσεων που μπορούν να χρησιμοποιηθούν για να βλάψουν εσάς ή την κατάταξη της ιστοσελίδας σας.

Κατάληψη URL έναντι κατάληψης domain

Αν και τόσο η πειρατεία URL όσο και η πειρατεία domain χρησιμοποιούνται με στόχο την απόκτηση ελέγχου επί ενός ιστότοπου, οι δύο αυτές μέθοδοι επίθεσης διαφέρουν, ιδίως όσον αφορά την προσέγγισή τους:

Η κατάληψη ονόματος χώρου συμβαίνει όταν οι επιτιθέμενοι αποκτούν τον έλεγχο ενός ονόματος χώρου μέσω της πρόσβασης στους λογαριασμούς διαχείρισης του ονόματος χώρου, για παράδειγμα, αλλάζοντας τις ρυθμίσεις DNS. Στη χειρότερη περίπτωση, οι επιτιθέμενοι μπορούν να αναλάβουν τον πλήρη έλεγχο της διαδικτυακής παρουσίας του θύματος.

Κατάληψη URL έναντι typosquatting

Όπως υποδηλώνει το όνομα, η τεχνική επίθεσης «typosquatting» εκμεταλλεύεται τα τυπογραφικά λάθη. Ενώ οι ανακατευθύνσεις χρησιμοποιούνται συνήθως για να βοηθήσουν τον επισκέπτη να φτάσει στον επιθυμητό ιστότοπο παρά τα μικρά τυπογραφικά λάθη, εδώ είναι που εισχωρεί το typosquatting. Οι επιτιθέμενοι καταχωρούν σκόπιμα ονόματα χώρου με συνηθισμένα τυπογραφικά λάθη για να κατευθύνουν τους επισκέπτες στον δικό τους ιστότοπο, ο οποίος συχνά περιέχει κακόβουλο κώδικα.

Πώς να προστατεύσετε τον ιστότοπό σας από την παραβίαση URL

Οι διαχειριστές ιστοσελίδων που προσπαθούν να βελτιώσουν την κατάταξη του ιστότοπού τους γνωρίζουν πόσο απαιτητική και χρονοβόρα είναι αυτή η διαδικασία. Όσο υψηλότερη είναι η θέση σας στις κατατάξεις των μηχανών αναζήτησης, τόσο μεγαλύτερη είναι η πιθανότητα οι ευρετηριασμένες σελίδες σας να υποστούν «απαγωγή». Σε αντίθεση με μια επίθεση που οφείλεται σε κενά ασφαλείας σε ένα διαδικτυακό έργο, η διαδικασία της «απαγωγής» URL συνδέεται στενά με τη βασική πρακτική του SEO που είναι η δημιουργία συνδέσμων, οπότε δεν μπορεί να προληφθεί απλώς με τη χρήση λογισμικού προστασίας από ιούς.

Ως εκ τούτου, είναι εξαιρετικά σημαντικό να αναλύετε τακτικά τόσο τους νέους όσο και τους υπάρχοντες backlinks, προκειμένου να εντοπίζετε τις προβληματικές διευθύνσεις URL. Υπάρχουν διάφορα εργαλεία και υπηρεσίες που μπορείτε να χρησιμοποιήσετε για τον σκοπό αυτό, όπως:

• SEMrush
• LinkResearchTools
• SISTRIX
• Κονσόλα αναζήτησης Google.

Η Google παρέχει ένα εργαλείο για την αφαίρεση URL που σας επιτρέπει να διαγράψετε από το ευρετήριο αναζήτησης τυχόν ανεπιθύμητες ανακατευθύνσεις που συνδέονται με τον ιστότοπό σας. Πριν το κάνετε αυτό, θα πρέπει πάντα να επικοινωνήσετε με τον διαχειριστή του ιστότοπου και να του ζητήσετε να προσαρμόσει τη δρομολόγηση. Με αυτόν τον τρόπο, υπάρχει η πιθανότητα να διατηρήσετε τους αντίστοιχους backlinks. Ο κωδικός κατάστασης 307 (Προσωρινή Ανακατεύθυνση) διαθέτει μια επιλογή για προσωρινή ανακατεύθυνση που δεν οδηγεί σε κατάληψη URL, η οποία είναι διαθέσιμη από την έκδοση HTTP 1.1. Εάν ο αρχικός ιστότοπος έχει ήδη εξαφανιστεί από το ευρετήριο, θα πρέπει να επικοινωνήσετε με τον πάροχο της μηχανής αναζήτησης και να ζητήσετε την αποκατάσταση των αρχικών κατατάξεων, αφού έχετε επεξεργαστεί ή διαγράψει τον κατεστραμμένο backlink.