Site marcat „nesigur" de Google? Cum scoți avertismentul Safe Browsing

Te sună un client agitat: „intru pe site-ul tău și îmi apare un ecran roșu pe tot ecranul, scrie ceva cu înșelător sau periculos". Deschizi și tu pe telefon și vezi același avertisment, peste pagina ta, cu un buton mic „înapoi în siguranță". În rezultatele Google, sub numele firmei, mai apare un rând: „Acest site poate fi spart". Comenzile s-au oprit, iar tu nici măcar nu știi de unde să apuci.

Ghidul e pentru tine, proprietarul site-ului, nu pentru programatori. Îți explic ce înseamnă de fapt ecranul roșu și eticheta din rezultate, de ce le-a pus Google, cum afli care e cauza, cum o cureți și, cel mai important, cum ceri corect reevaluarea în Search Console ca să dispară avertismentul. Și cât durează, realist, până revine totul la normal.

Ce vede de fapt vizitatorul și de unde vine

Mai întâi un lucru care le scapă multor proprietari: avertismentul nu e generat de site-ul tău și nu îl poți opri din panoul de administrare. El vine din Google Safe Browsing, sistemul prin care Google marchează adresele periculoase. Chrome, dar și Firefox sau Safari, folosesc aceeași listă, de aceea avertismentul apare în mai multe browsere deodată.

Mesajul exact contează, fiindcă îți spune ce tip de problemă a detectat Google. Cele mai des întâlnite sunt două:

• „Site înșelător" sau „Deceptive site ahead", ecranul roșu clasic. Google consideră că pe site se încearcă păcălirea vizitatorilor, de obicei phishing (pagini false care cer parole sau date de card) ori îndemnuri să instaleze ceva periculos.
• „Acest site poate dăuna computerului" sau „The site ahead contains malware". Aici Google spune că pe site a găsit cod care încearcă să infecteze chiar calculatoarele sau telefoanele vizitatorilor. La malware reacția e cea mai dură.

Separat de ecranul roșu din browser, în rezultatele Google poate apărea un rând discret sub titlul site-ului: „Acest site poate fi spart". Acela nu blochează accesul, dar avertizează că Google a detectat conținut introdus de un atacator, de regulă pagini de spam ascunse. E posibil să le ai pe amândouă în același timp.

De ce a apărut tocmai la tine

În marea majoritate a cazurilor, un site curat nu ajunge marcat din senin. Eticheta apare fiindcă site-ul a fost compromis și folosit fără știrea ta. Tiparele pe care le văd cel mai des la firmele mici:

• Pagini de spam injectate, sute de adrese noi pline de cuvinte fără legătură cu afacerea ta. Varianta cea mai cunoscută e cea în care îți apar brusc titluri în japoneză pe domeniu, explicată pe larg în articolul despre Japanese keyword hack.
• Redirecturi ascunse, vizitatorii veniți din Google sau de pe telefon sunt trimiși pe alt site, în timp ce tu, când intri direct de pe calculator, vezi totul normal. De asta mulți nici nu cred la început că au o problemă.
• Pagini false de phishing găzduite pe domeniul tău, care imită un login de bancă sau de email și cer date altor oameni. Aici Google pune aproape sigur eticheta de „site înșelător".
• Cod care servește malware vizitatorilor, deseori printr-un plugin sau o temă veche cu o breșă.

Punctul comun: e urmarea unei spargeri, nu o eroare a Google. Dacă vrei să recunoști din timp și alte semne, le-am adunat separat în ghidul despre semnele unui site spart. Iar dacă te întrebi de ce ai pățit-o pe o firmă mică, ține minte că aproape toate atacurile sunt automate și nu te aleg pe tine personal.

Pasul zero: confirmă exact ce a găsit Google

Înainte să cureți ceva, vrei harta clară a problemei. Două surse gratuite ți-o dau, și amândouă merită deschise în prima oră.

Raportul „Probleme de securitate" din Search Console

Dacă ai site-ul adăugat în Google Search Console, intră în secțiunea Securitate și acțiuni manuale, apoi Probleme de securitate (în engleză, Security Issues). Aici Google îți scrie negru pe alb ce tip de problemă a detectat (conținut spart, malware, conținut înșelător) și, de cele mai multe ori, îți dă exemple concrete de pagini afectate.

Notează-ți acele exemple. Sunt lista ta de verificare la curățare: fiecare adresă de acolo trebuie să fie curată înainte să ceri reevaluarea. Dacă nu ai încă site-ul în Search Console, adaugă-l acum. E gratuit și este singurul canal oficial prin care vei putea cere ulterior examinarea. Fără el, nu ai cum să trimiți cererea.

Verificarea în browser și a doua opinie

Deschide site-ul în mod incognito și de pe telefon, nu doar de pe calculatorul tău obișnuit. Multe atacuri se ascund tocmai de proprietar și se arată doar vizitatorilor noi sau celor veniți din Google. Dacă pe telefon ești redirecționat aiurea, dar pe calculator pare totul în regulă, ai confirmarea că e o compromitere, nu o falsă alarmă.

Planul pe pași, în ordinea care contează

Aici se câștigă sau se pierde rezolvarea. Ordinea nu e decorativă. Dacă ceri reevaluarea înainte de a curăța cu adevărat, Google îți respinge cererea și prelungești singur perioada în care site-ul stă marcat ca periculos. Parcurge etapele exact în această succesiune.

1. Izolează și salvează proba

Pune temporar site-ul în mentenanță, ca să oprești redirecturile și conținutul periculos servit vizitatorilor. Apoi fă copia completă despre care vorbeam. E proba ta și, la nevoie, plasa de siguranță dacă ceva merge prost în timpul curățării.

2. Curăță, fără jumătăți de măsură

Dacă ai un backup curat dinainte de compromitere, cea mai sigură cale e să restaurezi din el. Dacă nu ai, va trebui curățat manual: ștergi fișierele și paginile injectate, scoți conturile de administrator pe care nu le-ai creat tu și elimini codul străin din pagini. Folosește exemplele din raportul „Probleme de securitate" ca listă de bifat.

După curățare, fă trei lucruri fără excepție: scanează din nou tot site-ul, actualizează platforma, temele și pluginurile la zi și schimbă absolut toate parolele (admin, hosting, FTP, baza de date). O singură parolă veche rămasă în picioare e adesea exact cheia prin care atacatorul revine. Pentru un site pe WordPress, pașii concreți de curățare sunt detaliați în ghidul despre curățarea unui WordPress virusat.

3. Închide ușa prin care a intrat

Curățarea fără prevenție e ca și cum ai vopsi un perete fără să fi oprit infiltrația. În câteva zile, totul revine, iar avertismentul odată cu el. Trei măsuri opresc marea majoritate a atacurilor: un filtru de securitate în fața site-ului, autentificarea în doi pași pe conturile importante și actualizările la zi.

Filtrul din față este un WAF, un scut care inspectează traficul înainte să ajungă la site și blochează tiparele de atac. Dacă termenul nu îți spune nimic, l-am explicat pe înțelesul tuturor în articolul despre ce este un WAF. Pentru pașii de bază pe WordPress, vezi ghidul despre cum protejezi un site WordPress.

4. Cere reevaluarea

Abia acum, când ești convins că site-ul e curat și poarta e închisă, deschizi din nou raportul „Probleme de securitate" în Search Console și apeși pe opțiunea de a cere o examinare. Google îți va cere să descrii ce ai făcut ca să elimini problema. Nu scrie doar „am rezolvat". Fii concret: ce conținut ai eliminat, ce ai actualizat, ce ai securizat și cum te-ai asigurat că nu se repetă. O cerere bună explică problema, pașii de reparare și rezultatul.

Cere o singură reevaluare și ai răbdare. La trimitere primești un mesaj că examinarea e în curs, iar răspunsul final ajunge în secțiunea de mesaje din Search Console. Nu retrimite cererea înainte de a primi o decizie: cererile repetate nu grăbesc nimic și pot lungi coada sau te pot marca drept recidivist.

5. Așteaptă și monitorizează revenirea

Conform documentației Google, durata examinării depinde de tipul problemei: o cerere pentru phishing durează în jur de o zi, una pentru malware câteva zile, iar pentru site-urile sparte cu spam poate ajunge la câteva săptămâni, fiindcă verificarea se face uneori manual. După ce Google aprobă cererea și confirmă că site-ul e curat, avertismentele din browsere și din rezultate dispar de obicei în câteva zile, pe măsură ce se actualizează listele.

În acest interval, eticheta poate să mai apară puțin timp până se actualizează listele din browsere. E normal. Important e mesajul de aprobare din Search Console. După aceea, poți cere reindexarea paginilor importante ca să grăbești revenirea în rezultate.

Cazuri în care avertismentul nu pleacă

Dacă ai cerut reevaluarea și a fost respinsă, sau avertismentul a reapărut, aproape mereu e unul dintre motivele de mai jos:

• A rămas conținut infectat. Ai curățat paginile vizibile, dar Google a găsit altele ascunse. Reia exemplele din raport și caută peste tot, inclusiv în fișiere, nu doar în pagini.
• Te-au reinfectat. Dacă avertismentul revine la câteva zile, n-ai închis poarta. E o problemă întreagă în sine, despre care am scris separat: cum recuperezi un site spart penalizat în Google.
• Nu site-ul tău e marcat, ci ceva de pe el. Uneori un singur subdomeniu sau o singură pagină declanșează eticheta. Verifică în raport adresa exactă semnalată.
• Site-ul e suspendat de hosting. Dacă firma de găzduire ți-a oprit site-ul pentru malware, întâi îl repui online curat. Pașii sunt în ghidul despre hosting suspendat pentru malware.

De ce nimeni nu acoperă tot lanțul

Aici cad mulți proprietari. Suni la agenția de SEO și îți spune că ei se ocupă de poziții, nu de site-uri sparte. Suni la firma de găzduire și, în cel mai bun caz, îți curăță malware-ul de pe server, dar nu se atinge de avertismentul din Google. Fiecare rezolvă o bucată, iar tu rămâi cu eticheta roșie.

Problema ta însă e un lanț: spart, apoi marcat de Safe Browsing, apoi nevoie de curățare, prevenție și reevaluare. Dacă tratezi doar simptomul, rămâi marcat. Dacă tratezi doar pozițiile, rămâi spart și ești marcat din nou peste o săptămână. Rezolvarea reală cere ca securitatea și vizibilitatea în Google să fie privite împreună.