Hacked SEO: Ce poți să faci în cazul unui atac?

-- Scris de

Cel mai neplăcut moment în viața unui webmaster este când cineva încearcă (și reușeste) să îi compromită websiteul pentru a fura trafic, proprietate intelectuală sau pentru a infecta cu viruși vizitatorii și a promova, prin spamming, alte siteuri.

Deși Google continuă lupta anti-spam printr-o serie importantă de updateuri și algoritmi (cum este Penguin), atacurile informatice rămân practici uzuale de black hat care afectează rankingurile și traficul siteurilor.

hack_warn

Despre penalizările cauzate de ultimul update Penguin 2.0 am auzit cel mai des ca motive supra optimizarea, profilurile de linkuri nenaturale sau participarea în rețele de linkuri. Însă ultimul update de la Google penalizează și siteurile cu redirecturi incorecte, care pun link către siteuri controversate și au conținut slab (duplicat sau supra optimizat).

De ce sunt atacate websiteurile?

Cel mai des, hackerii vizează websiteuri care pot fi folosite ca sursă de trafic (vizitatorii siteului compromis sunt redirecționați către destinații alese de hacker), sau de la care pot abuza de resurse (de exemplu free hosting, computing power, lungime de bandă sau informații care pot fi vândute).

Vizitatorii sunt redirecționați către survey-uri, anti-viruși falși sau către pagini web false (malvertising) unde urmează să interacționeze cu diverse kituri de exploatare. Ei sunt conduși pe astfel de pagini prin redirecturi tradiționale, cum sunt SQL și iFrame injections, însă în 2012 cele mai populare redirecturi spam au fost folosite cu precădere de pe pagini de social media, prin folosirea de short links.

Implantarea de badware pe siteuri poate fi foarte profitabilă nu doar din punct de vedere al vânzării de informații și tooluri (sau al oricărui alt tip de proprietate găsit pe site), dar și pentru că un site afectat își poate pierde ușor poziția în căutari în favoarea unui competitor.

O dată ce siteul este compromis, el poate fi abuzat în multe feluri, de la malware și găzduire de siteuri de phishing, până la a fi folosit ca platformă pentru tehnici SEO black hat. De exemplu, hackerii se pot folosi de reputația site-ului pentru a sprijini rețele de siteuri (piggyback riding) între care să facă inter linking și spre care să trimită vizitatorii siteului afectat, prin intermediul unor pagini cu conținut aparent util.

În 2012 numărul siteurilor infectate a crescut de șase ori

Studiul Websense 2013 Threat Report arată că în 2012 85% din numărul total de siteuri infectate au fost siteuri legitime compromise de hackeri.

În ultimul studiul realizat de stopbadware pe 600 de webmasteri afectați, mai mult de două treimi din webmasteri nu știau prin ce metodă a fost compromis siteul. Printre cauzele atacurilor au fost menționate softwareurile sau pluginurile neupdatate și clasicul furt de credențiale, asociat cu accesarea unui computer sau Wifi public.

Cum folosesc hackerii site-urile atacate?

Doar un sfert dintre webmasteri au observat că siteul a fost infectat cu malware, și chiar mai puțini au descoperit că siteul redirecționa către URL-uri infectate, sau că gazduia linkuri introduse cu scopul de a manipula motoarele de cautare să urce în căutări un anumit site.

Mulți webmasteri presupun că numai siteurile mari sunt ținte alte atacurilor informatice dar, o dată cu răspândirea toolurilor automate, toate siteurile web accesibile sunt automat atacate de roboți care rulează 24/7, căutând non-stop vulnerabilități.

Ingeniozitatea și complexitatea acestor atacuri crește de la zi la zi, fiind greu de detectat chiar și de motoarele de căutare. Dacă un astfel de hack nu este detectat de Google în timp util, el poate afecta un site chiar și câteva săptămâni/luni, timp în care linkurile ascunse spre pagini controversate pot fi interpretate de motoarele de cătare ca fiind legitime conducând spre penalizări de tip Penguin.

Majoritatea atacurilor vizează platformele mari folosite online, ca WordPress, Drupal, Joomla, osCommerce, însă acest lucru nu înseamnă că o platformă custom sau mai puțin cunoscută oferă o garanție a securității. Dimpotrivă, aceste platforme pot avea mai multe găuri de securitate.

CMS hacked

Din punct de vedere al motoarelor de cautare, un atac informatic rămâne ca semnal de alarmă chiar și după ce o eventuală penalizare a fost ridicată.

Google adaugă un mesaj “Este posibil ca acest site să fie compromis” (This site may be compromised) pentru site-urile pe care le consideră compromise, lucru care duce automat la scăderea traficului (începand direct de la vizitatori, care vor evita siteul).

compromised

Deși avertismentul de la Google nu mai apare o dată ce site-ul este curățat, faptul că acesta a fost compromis la un moment dat rămâne în vizor atât pentru Google cât și pentru vizitatori.

Consecințele unui astfel de eveniment pot fi foarte importante, mai ales în cazul magazinelor online.

În cazul în care atacul nu este detectat de Google (de exemplu, linkurile ascunse nu sunt în volum mare), siteul riscă totuși să fie perceput ca fiind un site care vinde linkuri, devenind astfel victima unei alte penalizări.

Măsuri pentru detectarea și prevenirea atacurilor

Acceptând realitatea că orice site poate fi la un moment dat ținta hackerilor se pot lua măsuri preventive, chiar și de către webmasterii mai puțin experimentați, măsuri care să asigure un minim de siguranță și de protecție contra atacurilor. (Lista de mai jos nu este exhaustivă și nici nu se dorește a fi o descriere tehnică, nici nu înlocuiește nevoia de documentare în domeniul securității, necesară tuturor webmasterilor.)

    • Google Webmaster Tools (WMT) – Google a investit mult în metode de detecție a spam-ului și a siteurilor compromise, accesul la această tehnologie fiind ușor, prin intermediul unui cont de Webmaster tools. Dacă Google detectează că siteul este compromis, atunci va trimite o notificare webmasterului și va începe o monitorizare constantă a siteului. Această metodă de monitorizare este foarte ușoară și necostisitoare, dar nu oferă nici o protecție împotriva atacatorilor. După ce linkurile sau malware-ul sunt eliminate, webmasterul trebuie să facă o cerere de reconsiderare în Webmaster Tools. Dacă atenționarea de malware reapare, deși site-ul a fost curatat, este recomandat să se apeleze la o companie de audit pentru a găsi breșa de securitate, și nu completarea unei noi cereri de reconsiderare (Google ignoră cererile care vin într-un interval scurt de timp de la același site).WMT notification
    • BACKUP – poate unul din cel mai importante aspecte ale administrării unui site web, crearea unor copii de rezervă la intervale regulate poate salva mult din pagubele unui atac informatic. Pentru site-urile hostate pe Cpanel, metoda de a crea un backup este foarte ușoară și la îndemână, direct de pe web. Pentru alte platforme există instrumente similare. Este recomandat să nu păstrați fișierul de Backup online, ci pe PC/dvd/stick de memorie. Fișierul trebuie să conțină atât fișierele siteului cât și bazele de date. În cazul în care siteul este compromis, se pot șterge fișierele și bazele de date existente și se poate face re-instalarea lor din backup, după care se pot începe investigațiile pentru identificarea găurilor de securitate și se poate pune la punct un plan pentru remedierea lor (schimbarea parolelor, update la platforme, protejarea ariilor administrative cu parole, resubmit Google).cpanel backup
    • Google Analytics – deși nu este o metodă de protecție sau un instrument de monitorizare direct pentru atacurilor informatice, Google Analytics se poate totuși folosi pentru a observa efectele unui hack. O scădere bruscă a traficului, deși nu neapărat o consecință a unui atac, va fi un semnal de alarmă pentru verificarea acestei ipoteze.
    • Actualizări – pentru platformele de conținut ca WordPress/Joomla/Drupal/etc. este foarte important să se verifice constat dacă există updateuri și să se instaleze cât mai rapid. Numărul de atacuri asupra acestor platforme cât și a extensiilor oferite crește constant
    • Fișiere .htaccess – protejarea ariei administrative contra accesului neautorizat cu un fișier .htaccess poate contribui la stoparea unor intruși. Dacă un hacker obține numele de utilizator și parola unui administrator, acesta nu se va putea conecta la panoul administrativ, în cazul în care există un fișier .htaccess. Un tutorial despre crearea și adăugarea unui fișier .htaccess găsiți aici
    • Hosting securizat – marea marjoritate a siteurilor web mici și medii sunt găzduite într-un sistem de “shared hosting”, unde mai multe site-uri împart același server. În majoritatea cazurilor, dacă un site este compromis, toate celelalte sunt susceptibile a fi compromise. Multe companii de hosting își promovează serviciile ca fiind sigure, însă se recomandă să verificați dacă există o listă de acțiuni pe care aceștia le întreprind pentru a asigura această securitate. Dacă în urma unei breșe de securitate nu se găsește o sursă clară a atacului, sau dacă atacul se repetă dupa repararea problemelor, trebuie luată în considerare schimbarea providerului de hosting
    • E-mail de contact – Patru din cinci emailuri au fost ilegitime în 2012, iar 76% din traficul de email a fost spam. Hackerii au adaugat chiar un “time-delay” linkurilor embedded în email, care le păstrează inofensive până ce trec de filtrele tradiționale de email security, după cum arată studiul realizat de websense. Unele atacuri pot fi descoperite întâmplător de vizitatorii siteului. Prezența unui email de contact, care să fie verificat constant, asigură o altă metodă de identificare atacurilor (fapt valabil și în cazul afișării unui telefon de contact)
    • Parole – Folosirea de parole cât mai sigure, ideal generate automat, sau măcar mai lungi de 8 caractere. De asemenea, schimbarea parolelor la un interval regulat poate crește securitatea unui site web
    • Antivirus PC – unul din vectorii folosiți de hackeri este compromiterea de PC-uri (lucru din ce în ce mai ușor o dată cu apariția de viruși care atacă aplicații populare ca Flash și Java) și folosirea datelor descoperite pentru a compromite siteuri web. Astfel datele de conectare la FTP/SSH sau la panoul de administrare pot fi furate direct de pe PC, deci folosirea unui antivirus bun poate elimina această posibilitate

Pentru o protecție cât mai completă împotriva atacurilor se pot folosi soluții și mai complexe, cum ar fi firewall hardware sau software, folosirea unui WAF (CloudFlare sau Incapsula), auditarea softului la intervale regulate de timp, auditarea log-urilor web sau soluții profesionale de backup. Metodele pe care le-am discutat mai sus pot asigura o minimă protecție în cazul unor atacuri simple sau automate.

Ați fost afectat de un atac informatic recent? V-a fost afectat rankingul siteului? Dacă da, ce pași ați urmat pentru a vă securiza?

Alte resurse utile

Google Security Checklist pentru webmasteri:

http://googlewebmastercentral.blogspot.ro/2007/09/quick-security-checklist-for-webmasters.html

Rapoarte tehnice despre malware web (PDF)

http://static.usenix.org/events/hotbots07/tech/full_papers/provos/provos.pdf

http://static.googleusercontent.com/external_content/untrusted_dlcp/research.google.com/en//archive/provos-2008a.pdf

Infografice despre atacurile informatice:

http://about-threats.trendmicro.com/us/infographics/infograph/cybercriminal-underground

https://www.stopbadware.org/files/commtouch_infographic.jpg

4 comentarii la “Hacked SEO: Ce poți să faci în cazul unui atac?”

  1. Andrei

    Interesant articolul, mai ales partea cu backup (am sa fac unul chiar acum). As putea adauga faptul ca un atac nu trebuie ascuns, daca se intampla trebuie neaparat anuntati vizitatorii siteului . Un alt sfat , pentru cei mai putin priceputi in securitate, un contract de mentenanta cu firma de web development (prea multe siteuri wordpress virusate!)

    Reply
  2. Tudor Popescu

    Interesant articolul! In general, din experienta mea, lumea nu pune accent pe securitatea unui site atunci cand decide cum, cu cine si la ce costuri sa si-l faca. De exemplu, raspunsul de genul “… nu au hackerii ce sa ia de pe site” este primul care vine in mintea unui detinator de site care nu e de eCommerce atunci cand ii ridici problema securitatii site-ului. Ar trebui sa se stie ca securitatea unui site ii pastreaza, pe langa altele, si atuurile castigate prin SEO. Dar acest lucru trebuie sa il stie, si sa tina cont de el, in primul rand web developer-ii. Invazia de site-uri facute in Joomla, WordPress, etc. arata ca aproape oricine (isi) poate face un site si de multe ori lasa gauri mari de securitate fara sa isi dea seama. Din acest motiv cred ca a face un site e un lucru cat se poate de serios si nu e “o joaca” pentru cei mai putin priceputi.

    Reply
  3. Vladi Iancu (@vladiiancu)

    Link-ul catre tutorialul pentru fisierul .htaccess nu a mai fost adaugat.

    In rest, aceste probleme sunt o mare bataie de cap. Inca un motiv pentru ca business ownerii sa nu se apuce singuri sa faca site-uri sau sa “vorbeasca cu vecinul” – ca asa se practica in Romania.

    Reply
  4. Radu

    Nu poti sa te aperi 100% impotriva atacurilor, indiferent de masurile de securitate pe care le-ai lua. Si ca sa completez lista, as vrea sa adaug si eu ca metode de prevenire urmatoarele lucruri:
    1. Cand te loghezi (fie pe siteul tau, fie pe adresa de mail), foloseste tastatura virtuala a Windowsului. Din cate am inteles, keyloggerele nu reusesc sa o “citeasca”.
    2. Foloseste mereu un browser care nu pastreaza nimic in cache, nu salveaza cookieuri, parole si alte informatii ce pot deveni brese de securitate. Atata timp cat sunt stocate pe hard, devin la dispozitia hackerilor daca te pricopsesti cu vreun troian. O data la cateva zile sterge cacheul din calculator cu CCleaner.
    3. Nu reusesti sa tii minte parolele de acces la toate siteurile? Scrie-le. Pe hartie! Hartia nu ia virusi, nu este transmisa vreunui hacker chinez, ucrainian sau rus.
    4. Foloseste sucuri.net – e un serviciu de scanare continua a websiteului. In caz ca este infestat, dezinfectarea este facuta manual. Pret: 89$/an/site, 189$/an/5 siteuri.
    5. Ai wordpress? Instaleaza Wordfence si, eventual, Bulletproof security plugin.

    Reply

Leave a Reply