Japanese keyword hack: de ce îți apar mii de pagini în japoneză pe site, în Google, și cum scapi de ele

Îți cauți firma pe Google, cum faci din obișnuință, și sub numele domeniului tău apar trei, patru, apoi zeci de rezultate pe care nu le-ai pus niciodată acolo: titluri în japoneză, pline de caractere străine, care duc spre pagini ce vând ceasuri și genți de firmă la prețuri suspecte. Intri pe site, totul pare normal. Te freci la ochi, mai cauți o dată. Sunt tot acolo, sute de pagini în japoneză, sub domeniul pe care l-ai construit ani de zile.

Nu e o eroare a Google și nu e o glumă. Se numește „Japanese keyword hack" și e unul dintre cele mai frecvente moduri în care un site, mai ales pe WordPress, ajunge folosit fără știrea proprietarului. Ghidul ăsta e pentru tine, omul care ține afacerea, nu pentru programatori. Îți explic exact ce se întâmplă, cum confirmi că despre asta e vorba, cum cureți complet (inclusiv ușa ascunsă prin care revine) și cum faci să nu se mai repete.

Ce este, de fapt, Japanese keyword hack

Atacatorul nu vrea să îți strice site-ul. Vrea să îl folosească. Domeniul tău are deja vechime și încredere în ochii Google, iar asta valorează bani. Așa că, după ce intră, generează automat mii de pagini noi cu text în japoneză și le ascunde în directoare cu nume aleatorii. Conform documentației Google, adresele arată de obicei de forma example.com/ltjmnjp/341.html, cu un folder care nu înseamnă nimic și un fișier numerotat.

Paginile sunt umplute cu cuvinte cheie în japoneză și cu linkuri afiliate către magazine care vând marfă contrafăcută: ceasuri, genți, haine de firmă false. Fiecare vizitator adus din Google pe acele pagini înseamnă comision pentru atacator. Practic, îți închiriază reputația domeniului fără să te întrebe, iar tu plătești factura: îți pierzi pozițiile reale, riști un avertisment de securitate și, în cazurile urâte, ajungi marcat în Google drept site periculos.

Ce derutează cel mai tare proprietarii: tu nu vezi nimic. Intri pe site și e curat. Asta pentru că atacul folosește, de regulă, o tehnică numită cloaking, despre care vorbim imediat.

De ce nu vezi paginile când intri pe site

Cloaking înseamnă că serverul tău livrează două variante de conținut. Robotului Google și vizitatorilor care vin direct din căutări le arată paginile de spam în japoneză. Ție, când scrii adresa în browser și intri direct, îți arată site-ul normal. Așa atacul rămâne ascuns săptămâni întregi: tu ești convins că totul e în regulă, în timp ce în index se adună mii de pagini străine.

De aceea nu verifici deschizând site-ul, ci uitându-te la ce vede Google. Iar acolo lucrurile devin foarte clare, foarte repede.

Cum confirmi în trei verificări

Înainte de orice curățare vrei certitudinea. Trei verificări gratuite îți arată exact cât de departe a mers atacul.

1. Caută site:domeniul-tău în Google

Deschide Google și scrie site: urmat de adresa site-ului tău, fără spațiu, de exemplu site:firmamea.ro. Google îți arată ce pagini are indexate de pe domeniul tău. Dacă printre ele apar titluri în japoneză sau adrese cu directoare ciudate pe care nu le-ai creat tu, ai confirmarea vizuală. Adaugă și un cuvânt japonez din rezultate ca să vezi câte astfel de pagini sunt, deseori sunt cu sutele sau cu miile.

2. Verifică raportul „Probleme de securitate" din Search Console

Dacă ai site-ul în Google Search Console, intră la Securitate și acțiuni manuale, apoi Probleme de securitate. Aici Google îți spune dacă a detectat conținut spart și, de multe ori, îți dă exemple concrete de adrese afectate. Notează-le, e prima ta listă de curățat. Tot în Search Console, în raportul de indexare (Pages, acoperire), vei vedea o creștere bruscă și nefirească a numărului de pagini indexate, exact paginile injectate.

3. Folosește instrumentul de inspecție a adreselor URL

Ia una dintre adresele în japoneză și pune-o în instrumentul de inspecție URL din Search Console. Fiindcă atacul folosește cloaking, acolo vei vedea exact ce vede Google, adică spamul, chiar dacă în browserul tău pagina pare inexistentă sau curată. Așa prinzi diferența dintre ce afișezi tu și ce afișezi robotului.

Dacă vrei lista completă de semne ale unei compromiteri, le-am adunat separat în ghidul despre semnele că site-ul tău a fost spart.

Cum cureți complet, în ordinea corectă

Aici se câștigă sau se pierde totul. Cei mai mulți proprietari șterg paginile vizibile, răsuflă ușurați, iar peste câteva zile spamul reapare. Motivul e mereu același: au tratat simptomul, nu sursa. Atacul lasă în urmă un fișier ascuns, un backdoor, care regenerează paginile la nesfârșit. Parcurge pașii în ordinea de mai jos, fără să sari peste niciunul.

Backdoor-ul: ușa pe care nimeni nu o vede

Backdoor-ul e cheia întregii povești. E un fișier mic, deseori pitit printre imaginile încărcate sau cu un nume care imită un fișier legitim, prin care atacatorul poate reveni oricând să regenereze paginile. Codul lui e aproape mereu deghizat: în loc de instrucțiuni clare, vei vedea șiruri lungi de caractere trecute prin funcții ca base64_decode, eval, gzinflate sau str_rot13, exact ca să nu se înțeleagă ce fac. Atacatorii lasă deseori același cod în mai multe locuri, așa că oprește-te abia când ești sigur că nu mai există nicio copie.

Dacă nu ai un backup curat dinainte de infecție din care să restaurezi, găsirea backdoor-ului e partea cea mai grea și locul unde cei mai mulți renunță prea devreme. E și motivul principal pentru care un site curățat în grabă se reinfectează. Am explicat pe larg de ce se întâmplă asta în articolul despre de ce reapare virusul după curățare.

Cum scoți caracterele japoneze din rezultatele Google

După ce sursa e curată, paginile de spam nu dispar instant din Google, dar dispar. Pe măsură ce robotul recitește acele adrese și le găsește inexistente, le scoate din index. Ca să grăbești curățarea în Google, fă două lucruri. Întâi, asigură-te că adresele spam returnează cu adevărat eroare, 404 (nu există) sau 410 (a fost eliminat definitiv), nu o redirectare ciudată. Apoi cere reindexarea paginilor tale reale, cele importante, prin instrumentul de inspecție URL din Search Console, ca Google să recitească paginile bune.

Dacă ai primit și un avertisment de securitate, eticheta nu dispare singură: trebuie să ceri o reexaminare din raportul „Probleme de securitate", și doar după ce ești sigur că totul e curat. Nu retrimite cererea până nu primești un răspuns la una deja depusă, fiindcă o cerere trimisă cu problema nerezolvată întârzie verificarea următoare. Tot procesul de scoatere a unui site din penalizare, pas cu pas, e detaliat în ghidul despre recuperarea unui site spart și penalizat în Google. Răbdarea contează aici: reexaminarea unui site spart de spam poate dura și câteva săptămâni, iar reașezarea pozițiilor reale cere tot săptămâni, nu ore.

Cum eviți să se repete

Un site lovit o dată de acest atac e o țintă bună a doua oară, fiindcă boții care scanează automat site-uri vulnerabile revin pe aceleași uși. Vestea bună e că măsurile care îl opresc sunt aceleași care opresc marea majoritate a compromiterilor, și niciuna nu îți cere să fii tehnic.

• Un WAF în fața site-ului, un filtru care inspectează traficul înainte să ajungă la WordPress și blochează tentativele de a injecta cod. Dacă termenul nu îți spune nimic, l-am explicat pe înțelesul tuturor în articolul despre ce este un WAF.
• Actualizări la zi, fiindcă majoritatea acestor atacuri intră printr-un plugin sau o temă cu o vulnerabilitate cunoscută, lăsată neactualizată.
• Renunță la pluginurile și temele piratate (nulled), care vin foarte des cu backdoor deja inclus.
• Autentificare în doi pași pe conturile importante, ca o parolă furată să nu mai fie de ajuns.
• Backup curat, testat și păstrat în afara serverului, ca să poți restaura rapid dacă se întâmplă din nou.

Pașii concreți de securizare a unui site WordPress, în ordinea impactului, sunt adunați în ghidul despre cum protejezi un site WordPress de atacuri. Pentru magazine online, unde miza e și mai mare, vezi pagina noastră de securitate WordPress.