Wat is URL-kaping en hoe kunt u dit voorkomen?

URL-kaping kan ervoor zorgen dat uw website uit de index van een zoek­ma­chi­ne wordt ver­wij­derd en verborgen blijft voor po­ten­ti­ë­le bezoekers. Dit fenomeen doet zich vaak voor wanneer om­lei­din­gen worden gebruikt in plaats van links.

Wat is URL-kaping?

Het concept van URL-kaping be­schrijft een fenomeen waarbij een website uit de re­sul­ta­ten van een zoek­ma­chi­ne verdwijnt en wordt vervangen door een andere. Deze andere site linkt naar de daad­wer­ke­lij­ke doel­pa­gi­na of URL met behulp van een omleiding. Bij­voor­beeld: linked-site.com linkt naar your-site.com, maar gebruikt een omleiding in plaats van de ge­brui­ke­lij­ke HTML-tag <a>. De omgeleide URL ziet er ongeveer zo uit als in het volgende voorbeeld:

www.linked-site.com/redirect .php?target=www.your-site.com

Wanneer een zoek­ma­chi­ne een der­ge­lij­ke link vindt, ca­te­go­ri­seert hij de gelinkte site en de doelsite als identiek, wat betekent dat hij een van de twee uit de index ver­wij­dert. Hij baseert zich daarbij op HTTP-sta­tus­co­des, die aan de omleiding zijn gekoppeld.

Terwijl code 301 (permanent ver­plaatst) een per­ma­nen­te omleiding van de opgegeven URL aangeeft, geeft code 302 (gevonden) een tij­de­lij­ke omleiding naar de opgegeven URL aan. Het eerste type is geen probleem, maar de 302-omleiding is de be­lang­rijk­ste reden voor URL-kaping. Deze goed gemaakte om­lei­din­gen sug­ge­re­ren aan de crawler van de zoek­ma­chi­ne dat de doelsite slechts tijdelijk is en dat de gelinkte pagina eigenlijk de originele is – en de crawler con­tro­leert nooit of de sites daad­wer­ke­lijk aan elkaar ge­re­la­teerd zijn of niet. Als dit niet wordt ge­con­tro­leerd, wordt de verkeerde pagina ge­ïn­dexeerd en neemt deze de ranking van de gelinkte URL over.

Wanneer worden 301- en 302-om­lei­din­gen gebruikt?

Er zijn tal van redenen om URL-omleiding te gebruiken. Daarom is het permanent omleiden van domeinen met ty­pe­fou­ten naar het juiste domein een wijd­ver­brei­de praktijk. Als u bij­voor­beeld per ongeluk googel.com in plaats van google.com in de adresbalk van uw browser typt, wordt u toch naar de start­pa­gi­na van de populaire zoek­ma­chi­ne geleid. Permanent omleiden naar het juiste adres van de hoofd­pa­gi­na is ook niet on­ge­brui­ke­lijk.

Als u bij­voor­beeld de hoofd­pa­gi­na van de En­gels­ta­li­ge versie van Wikipedia bezoekt door en.wikipedia.org in te typen, wordt u via een 301-redirect naar en.wikipedia.org/wiki/Main_Page geleid. Ont­wik­ke­laars gebruiken per­ma­nen­te redirects ook om bezoekers naar het nieuwe webadres te leiden na een do­mein­wij­zi­ging of om de inhoud van een web­pro­ject te iden­ti­fi­ce­ren dat een nieuwe URL heeft gekregen.

Tij­de­lij­ke 302-om­lei­din­gen worden daar­en­te­gen voor­na­me­lijk gebruikt om tijdelijk inhoud van een andere URL weer te geven, zodat deze be­schik­baar blijft, bij­voor­beeld als de oor­spron­ke­lij­ke pagina wordt on­der­hou­den. Als een ont­wik­ke­laar dit type omleiding handmatig aanmaakt, is het de bedoeling dat de inhoud later weer op de oor­spron­ke­lij­ke URL ver­schijnt. Er zijn drie scenario’s voor tij­de­lij­ke om­lei­din­gen die kunnen leiden tot URL-kaping, waarvan er één op­zet­te­lijk voor dit doel wordt gebruikt:

Onbedoeld gebruik van de 302-omleiding

Het is heel goed mogelijk dat ont­wik­ke­laars zonder kwade be­doe­lin­gen naar een ander web­pro­ject linken met een tij­de­lij­ke omleiding. Het kan een fout zijn waarbij ze een per­ma­nen­te omleiding wilden instellen. De URL-rewrite-engine van de Apache-webserver, mod_rewrite, stelt stan­daard­om­lei­din­gen in met de sta­tus­co­de 302.

Dynamisch ge­ge­ne­reer­de URL’s

PHP is een veel­ge­bruik­te script­taal voor we­bont­wik­ke­ling. De ser­ver­scripts in deze pro­gram­meer­taal zijn een een­vou­di­ge en prak­ti­sche manier om dy­na­mi­sche inhoud voor uw website te creëren. Maar vaak zijn dit ook PHP-scripts die doel­adres­sen dynamisch in­te­gre­ren in een bestaande URL met behulp van de tij­de­lij­ke door­ver­wij­zings­sta­tus­co­de 302. Dit soort scripts wordt voor­na­me­lijk gebruikt in we­bad­res­gid­sen, maar ook in veel con­tent­ma­na­ge­ment­sys­te­men.

Op­zet­te­lij­ke URL-kaping

Cri­mi­ne­len weten ook hoe ze URL-kaping moeten gebruiken en maken daar graag gebruik van. Ze gebruiken bewust 302-om­lei­din­gen om hun eigen content in de index naar voren te brengen en om bijzonder goed ge­rang­schik­te pagina’s te ‘kapen’. Deze tactiek is niet duurzaam en ook niet legaal en valt onder de term black hat SEO.

URL-kaping versus andere aan­vals­me­tho­den

URL-kaping wordt vaak verward met andere aan­vals­me­tho­den, zoals do­mein­ka­ping of ty­po­squatting. Dit zijn echter ver­schil­len­de soorten aanvallen die kunnen worden gebruikt om u of de positie van uw website te schaden.

URL-kaping versus do­mein­ka­ping

Hoewel zowel URL-hijacking als domein-hijacking worden gebruikt om controle over een website te krijgen, ver­schil­len de twee aan­vals­me­tho­den van elkaar, vooral wat betreft hun aanpak:

Do­mein­ka­ping vindt plaats wanneer aan­val­lers controle krijgen over een domein door toegang te krijgen tot de do­mein­be­heer­ac­counts, bij­voor­beeld door de DNS-in­stel­lin­gen te wijzigen. In het ergste geval kunnen aan­val­lers de volledige aan­we­zig­heid van het slacht­of­fer op het internet overnemen.

URL-kaping versus ty­po­squatting

Zoals de naam al doet vermoeden, maakt de aan­vals­tech­niek ty­po­squatting gebruik van ty­pe­fou­ten. Waar om­lei­din­gen normaal gesproken worden gebruikt om de bezoeker ondanks kleine ty­pe­fou­ten naar de gewenste website te leiden, sluipt ty­po­squatting hier binnen. Aan­val­lers re­gi­stre­ren op­zet­te­lijk domeinen met veel­voor­ko­men­de ty­pe­fou­ten om bezoekers naar hun website te leiden, die vaak scha­de­lij­ke code bevat.

Hoe u uw website kunt be­scher­men tegen URL-kaping

Web­si­te­be­heer­ders die de positie van hun website willen ver­be­te­ren, weten hoe uitdagend en tijd­ro­vend dit proces is. Hoe hoger u stijgt in de zoek­re­sul­ta­ten van zoek­ma­chi­nes, hoe groter de kans dat uw ge­ïn­dexeer­de pagina’s worden gekaapt. In te­gen­stel­ling tot een aanval die plaats­vindt als gevolg van be­vei­li­gings­lek­ken in een web­pro­ject, hangt het proces van URL-kaping nauw samen met de ba­sis­prin­ci­pes van SEO, namelijk link­buil­ding. Het kan dus niet zomaar worden voorkomen door an­ti­vi­rus­soft­wa­re te gebruiken.

Daarom is het su­per­be­lang­rijk om re­gel­ma­tig nieuwe en bestaande backlinks te checken om probleem-URL’s eruit te halen. Er zijn een paar tools en diensten die je hiervoor kunt gebruiken, zoals:

• SEMrush
• Lin­kRe­searchT­ools
• SISTRIX
• Google Search Console.

Google biedt een tool voor het ver­wij­de­ren van URL’s waarmee u on­ge­wens­te om­lei­din­gen die naar uw website linken uit de zoekindex kunt ver­wij­de­ren. Voordat u dit doet, moet u altijd contact opnemen met de web­si­te­be­heer­der die ver­ant­woor­de­lijk is voor de site en vragen om de routing aan te passen. Op deze manier is er een kans om de bij­be­ho­ren­de backlinks te behouden. De sta­tus­co­de 307 (Temporary Redirect) heeft een optie voor tij­de­lij­ke door­ver­wij­zing die niet leidt tot URL-kaping, die be­schik­baar is sinds HTTP 1.1. Als de oor­spron­ke­lij­ke site al ontbreekt in de index, moet u contact opnemen met de zoek­ma­chi­ne­pro­vi­der en vragen om herstel van de oor­spron­ke­lij­ke rankings zodra u de be­scha­dig­de backlink hebt herwerkt of ver­wij­derd.