Kaj je prevzemanje URL-jev in kako se mu lahko izognete?
Zloraba URL-jev lahko povzroči, da se vaša spletna stran izbriše iz indeksa iskalnika in postane skrita pred potencialnimi obiskovalci. Do tega pojava pogosto pride, kadar se namesto povezav uporabljajo preusmeritve.
Kaj je prevzemanje URL-jev?
Pojem »ugrabljanje URL-jev« opisuje pojav, pri katerem spletna stran izgine iz rezultatov iskalnika in jo nadomesti druga. Ta druga stran prek preusmeritve povezuje na dejansko ciljno stran ali URL. Na primer, linked-site.com povezuje na your-site.com, vendar namesto običajne HTML-oznake <a> uporablja preusmeritev. Preusmerjeni URL je podoben naslednjemu primeru:
www.linked-site.com/redirect .php?target=www.your-site.comKo iskalnik najde takšno povezavo, povezano spletno stran in ciljno spletno stran obravnava kot identični, kar pomeni, da eno od obeh izbriše iz indeksa. Pri tem se opira na HTTP-statusne kode, ki so povezane s preusmeritvijo.
Medtem ko koda 301 (Trajno preusmerjeno) označuje trajno preusmeritev z danega URL-ja, koda 302 (Najdeno) označuje začasno preusmeritev na določen URL. Prvi tip ni problematičen, vendar je preusmeritev 302 glavni razlog za ugrabitev URL-ja. Te dobro izdelane preusmeritve iskalnemu pajku sugerirajo, da je ciljna stran le začasna in da je povezana stran dejansko originalna – pajek pa nikoli ne preveri, ali sta strani dejansko povezani ali ne. Če se to ne preveri, se indeksira napačna stran in prevzame uvrstitev povezane URL-je.
Kdaj se uporabljata preusmeritvi 301 in 302?
Za uporabo preusmerjanja URL-jev obstaja veliko različnih razlogov. Zato je trajno preusmerjanje domen z napakami v tipkanju na pravo domeno zelo razširjena praksa. Če na primer v naslovno vrstico brskalnika namesto google.com po pomoti vnesete googel.com, boste kljub temu preusmerjeni na začetno stran priljubljenega iskalnika. Tudi trajno preusmerjanje na pravi naslov glavne strani ni nič nenavadnega.
Če na primer obiščete glavno stran angleške različice Wikipedije in vnesete en.wikipedia.org, vas bo preusmeritev 301 preusmerila na en.wikipedia.org/wiki/Main_Page. Razvijalci trajne preusmeritve uporabljajo tudi za usmerjanje obiskovalcev na nov spletni naslov po spremembi domene ali za označevanje vsebine spletnega projekta, ki je dobil nov URL.
Začasna preusmeritev 302 pa se uporablja predvsem za začasno prikazovanje vsebine z drugega URL-ja, da ta ostane dostopna, na primer če je izvirna stran v vzdrževanju. Če razvijalec tovrstno preusmeritev ustvari ročno, je namen, da se vsebina kasneje ponovno prikaže na izvirnem URL-ju. Obstajajo trije scenariji začasnih preusmeritev, ki lahko vodijo do prevzema URL-ja, od katerih se eden namerno uporablja za ta namen:
Nenamerno uporabo preusmeritve 302
Povsem mogoče je, da razvijalci brez slabih namenov ustvarijo povezavo do drugega spletnega projekta z začasnim preusmerjanjem. Lahko gre za napako, saj so nameravali nastaviti trajno preusmerjanje. Mehanizem za predelavo URL-jev spletnega strežnika Apache mod_rewrite privzeto nastavi preusmeritve s statusno kodo 302.
Dinamično ustvarjeni URL-ji
PHP je široko razširjen skriptni jezik za razvoj spletnih strani. Skripti na strežniku, napisani v tem programskem jeziku, so preprost in praktičen način za ustvarjanje dinamične vsebine za vašo spletno stran. Pogosto pa gre tudi za PHP-skripte, ki dinamično vključujejo ciljne naslove v obstoječi URL z uporabo začasnega statusnega kodeksa preusmeritve 302. Takšni skripti se uporabljajo predvsem v imenikih spletnih naslovov, pa tudi v številnih sistemih za upravljanje vsebin.
Namerno prevzemanje URL-jev
Tudi kriminalci poznajo tehnike prevzema URL-jev in jih z veseljem uporabljajo. Namerno uporabljajo preusmeritve 302, da bi izboljšali uvrstitev lastnih vsebin v indeksu in »ugrabili« strani z izjemno visoko uvrstitvijo. Ta taktika ni niti trajnostna niti zakonita in spada v kategorijo črnega SEO.
Prevzemanje URL-jev v primerjavi z drugimi načini napadov
Ugrabljanje URL-jev se pogosto zamenjuje z drugimi načini napadov, kot sta ugrabljanje domene ali typosquatting. V resnici gre za različne vrste napadov, ki se lahko uporabijo za povzročanje škode vam ali uvrstitvi vaše spletne strani.
Ugrabljanje URL-jev v primerjavi z ugrabljanjem domen
Čeprav se tako prevzemanje URL-jev kot prevzemanje domen uporabljata z namenom pridobitve nadzora nad spletno stranjo, se ti dve metodi napada razlikujeta, zlasti kar zadeva njun pristop:
Pri prevzemu domene napadalci prevzamejo nadzor nad domeno tako, da pridobijo dostop do računov za upravljanje domene, na primer s spreminjanjem nastavitev DNS. V najslabšem primeru lahko napadalci prevzamejo nadzor nad celotno spletno prisotnostjo žrtve.
Prevzemanje URL-jev proti typosquattingu
Kot že samo ime pove, napadna tehnika »typosquatting« izkorišča tipkarske napake. Medtem ko se preusmeritve običajno uporabljajo za to, da obiskovalcu pomagajo priti na želeno spletno stran kljub manjšim tipkarskim napakam, se prav tu prikrade typosquatting. Napadalci namerno registrirajo domene z običajnimi tipkarskimi napakami, da bi obiskovalce preusmerili na svojo spletno stran, ki pogosto vsebuje zlonamerno kodo.
Kako zaščititi svojo spletno stran pred prevzemom URL-ja
Upravljavci spletnih strani, ki si prizadevajo izboljšati uvrstitev svojih spletnih strani, se zavedajo, kako zahteven in dolgotrajen je ta proces. Višje kot se povzpnete v uvrstitvah iskalnikov, večja je verjetnost, da bodo vaše indeksirane strani postale žrtev prevzema URL-jev. Za razliko od napadov, ki nastanejo zaradi varnostnih vrzeli v spletnem projektu, je proces prevzema URL-jev tesno povezan z osnovno SEO-prakso gradnje povezav, zato ga ni mogoče preprečiti zgolj z uporabo protivirusne programske opreme.
Zato je izredno pomembno, da redno analizirate tako nove kot obstoječe povratne povezave, da izločite problematične URL-je. Za to lahko uporabite številna orodja in storitve, med drugim:
Google ponuja orodje za odstranjevanje URL-jev, s katerim lahko iz iskalnega indeksa izbrišete vse neželene preusmeritve, ki vodijo na vašo spletno stran. Preden to storite, se morate vedno obrniti na skrbnika spletne strani, odgovornega za to spletno mesto, in ga prositi, naj prilagodi preusmeritve. Na ta način obstaja možnost, da ohranite ustrezne povratne povezave. Statusna koda 307 (začasno preusmerjanje) ima možnost začasnega preusmerjanja, ki ne vodi do ugrabitve URL-ja, kar je na voljo že od HTTP 1.1. Če prvotna stran že manjka v indeksu, se morate obrniti na ponudnika iskalnika in zaprositi za obnovitev prvotnih uvrstitev, ko ste popravili ali izbrisali poškodovano povratno povezavo.