如果發現公司網站的搜索引擎排名突然無原因下跌,又或者客戶投訴瀏覽網站時被保安軟件攔截時,網站內可能潛伏了指向可疑網站的連結,正常用戶可能無法看見,但搜索引擎和保安方案則判定含不當內容。
隱藏連結威脅業務
首先是隱藏連結指向可疑網站可能傷害到網站的聲譽和降低排名,會直接影響到出現在搜尋結果的位置,由於搜索引擎定期掃瞄網站的HTML編碼,很快會發現任攻擊者加入的編碼,在搜尋演算法而言使用隱藏方塊會被視為黑帽SEO的顯著特徵,結果導致搜索引擎把含有類似連結的網站降低排名。另一個降低排名的原因,是連結通常指向低網域排名的網站,內容與業務無關,網域排名反映聲望和發佈訊息的品質,如果網站連到權威的行業特定網站,排名便會往上提升,如果連到無關係的可疑網站便會下降,而且搜索引擎視隱藏方塊為人為連結建立的跡象,也會懲罰受害網站的搜尋結果排名。
最重要的技術問題是連結權重的操縱,網站具有一定的聲譽或權威性,會影響連結到網頁的排名,例如在網站上貼出有用的文章,並連結到產品網頁或聯絡位置,便是把權威性從有價值的內容轉移至那些內部網頁,未經授權的外部連結把連結權重轉移至外部網站。正常情況下,所有內部連結協助搜索引擎瞭解網站中哪個網頁最重要而提升他們的地位,然而,當部份權重外洩至可疑的外部網域時,原先重要的網頁便獲得較少權重,最終導致排名比應有的低,直接打擊自然流量和SEO表現。
最壞的情況是這些連結導致與執法部門的衝突,並可能因為傳播非法內容而需承擔法律責任,因應地方的法律,連結到含有非法內容網站可能會被罰款或被監管機構完全封鎖你的網站。
如何檢查網站內的隱藏連結
最簡單檢查網站內的隱藏連結方塊是檢視原始碼,在瀏覽器中按Ctrl+U (Windows和Linux)或CMD+Option+U (macOS),網頁的原始碼會出現在新分頁內,查看以下的CSS可能展示隱藏元素:
- display:none
- visibiliity:hidden
- opacity:0
- height:0
- width:0
- position:absolute
這些元素關係到的CSS令方塊在網頁上隱形,可能是完全隱藏或把大小降至0,理論上也可用作合法目的,例如響應式設計、隱藏選單或彈出式視窗,然而,如果應用在連結或整個方法的連結碼,就是惡意篡改的強烈訊號。此外,可以在編碼中搜索關鍵字相關的內容,隱藏連結通常指向「porn」、「sex」、「casino」和「card」等等,更詳細的技術細節請瀏覽Securelist的文章。
攻擊者如何把連結放入合法網站?
要把隱藏方塊連結放入網站,攻擊者首先需要編輯你的網頁的能力,為此有幾種方法:
破解管理員憑證
暗網是買賣被破解憑證的溫床,初始存取代理可為任何人提供幾符任何公司相關的憑證,攻擊者透過網絡釣魚攻擊、木馬程式盜竊或透過其他網站公開的資料外洩資料,希望員工在不同平台重用相同登入名稱和密碼,收集到這些憑證,另外,管理員可能使用過度簡單的密碼,又或者沒有更改CMS的預設憑證,攻擊者可以輕鬆地暴力破解登入憑證。
取得管理員特權的帳號讓犯罪份子能廣泛控制網站,特別是可以編輯HTML編碼或安裝自己的惡意插件。
使用CMS安全漏洞
攻擊者可以利用CMS平台上的安全漏洞去更改template (例如header.php、footer.php或index.php),或直接加入隱藏連結方法到網站上的任何網頁。
入侵主機供應商
在某些個案,可能是主機供應商被入侵而並非網站,如果託管網站程式碼的伺服器保護措施很差,讓攻擊者成功入侵和取得網站的控制權。另一個常見的個案是伺服器內託管很多不同的客戶,如果存取特權設定不正確,入侵其中一個客戶就能讓犯罪份子接觸到相同伺服器上的其他網站。
免費template內的惡意編碼方塊
並非所有網站管理員編寫自己的編碼,但考慮到預算和粗心大意的網頁設計師,可能嘗試在網絡尋找免費template,再簡單客製成公司的風格,在這些template內的編碼可能含有有心人加入的隱藏方塊。
防範網站隱藏連結
要防護網站對抗加入隱藏連結和其相關後果,我們建議採取以下步驟:
- 避免使用有疑惑的第三方template、主題或其他未核實的方案去建立網站
- 定期更新CMS引擎和所有關連的主題和插件
- 定期審計插件和主題,並立即刪除不使用的。
- 定期建立網站和資料庫的備份,確保遇事故後能快速復原網站的操作。
- 檢查不必要的用戶帳號和過多的存取特權
- 盡快刪除過時和不再使用的帳號,並為活躍帳號提供最低限度需要的特權。
- 建立強力密碼措施,強制所有管理權限帳號使用雙重登入認證。
- 為員工提供關於資安的培訓
資料來源:Kaspersky Blog
