已有中国卖家中招！数百万独立站被黑，正在悄悄死去

　　导读：一个网站的死去，和一个孩子的溺水一样，都是悄无声息的。
　　很多时候，溺水者都是站在水中悄悄死去的，没有呼救、没有挣扎、甚至眼睛都是睁着的，看上去只是在茫然地发呆，生机就在寂静中一分一秒地流逝，一个网站的死去也是这样。
　　独立站被黑，有时候卖家是并不知情的，只是疑惑为什么最近网站的流量和订单都少了，或者奇怪为什么自己的网站在谷歌排名下降了？却不知道自己的网站已经悄悄被入侵了。
　　巨轮上的裂缝：一个Shopify漏洞
　　最近，陆续有卖家反映自己的店铺出现了问题，大多都是通过Shopify建站的独立站卖家。卖家在自查时会发现一些不属于自己创建的网页被谷歌收录了，而且放的URL都是非常低俗和完全不搭边的广告。
　　显然，这是卖家的网站被黑了。
　　这样恶劣的攻击手段，可能只开始于Shopify一个小小的bug，就像巨轮上一条的不起眼的裂缝：
　　恶意黑帽者通过利用Shopify网站上的vendor供应商名称搜索查询漏洞，生成以病毒广告站点产品详细信息作为标题的假页面，并在垃圾外链站上创建假链接指向这个假页面的URL，最后谷歌对其发现、索引并收录，显示在搜索结果中。该页面本身并不独立存在，它仅作为目标网站上搜索结果的一部分存在。
　　此次攻击方式类似于网站被挂上了木马病毒。即黑客找到了网站的漏洞，随后上传文件，文件可以修改网站的代码，把页面变为黑客自己想要的样子或跳转到另外的网站。这种情况，一般会出现在一些开源网站。
　　而Shopify正是这样的开源系统。比如我们进入一个Shopify独立站，在官网首页网址后添加collectionsvendors？q任意内容。
　　更可怕的是，这样的攻击总是悄悄发生的，卖家如果不去搜根本发现不了，而这些URL却可以由任何人创建，还会在谷歌的系统上被真实记录，根本防不胜防。
　　大水灌入：数百万网站被影响
　　如今在谷歌用一些奇怪的关键词或者违禁词进行检索，包括【六合彩】、【病毒广告关键词】【彩票】等等，冒头的几乎都是Shopify站点。如果用被黑的网站中出现的病毒广告关键词进行搜索，还会出现更多，检索结果高达数百万。
　　而这些被黑掉的网站大都是同一种URL。
　　实际上，这就是Shopify的CollectionURL路由规则，也就是说，这些被黑掉的网站都是Shopify卖家们的网站。新网站由于被谷歌bot发现、收录和审查需要更多时间，幕后的黑手专刷域名权重高的网站，因此流量越大、时间越久的网站，被收录的垃圾链接越多，这样一来，一搜这些词都排在前面。
　　目前已经有中国卖家中招，瞬间在卖家群里引起了恐慌：
　　shopify不能用了，这只是冰山一角
　　这些网站都是shopify建站的
　　还有卖家自我安慰道：还好我不靠SEO。
　　但试想一下，网站被黑之后，用户打开网页看到的就是赌博之类的垃圾信息，自然不敢继续购买产品。有正义感的用户说不定还会反手举报网站，导致网站被搜索引擎列入不受信任的网站，甚至有风险的网站，导致客户大量流失。
　　而对于非常依赖谷歌流量的独立站而言，这种攻击可以说是致命的，因为这类垃圾URL收录会严重影响品牌或店铺的声誉、Google对站点的审查，以及网站SEO和用户的体验。如果被谷歌列入黑名单，网站则很有可能会失去95的自然谷歌搜索流量，而这会迅速反映到产品销量和收入上。
　　Shopify论坛中也已经有不少人注意到了这件事情，在讨论中我们得知：有人利用Shopify的漏洞collectionsvendors？qXXXXXX创建了超过4百万个垃圾邮件链接到谷歌，垃圾链接又触及最佳搜索引擎惩罚机制，现在被黑卖家的网站流量被搜索引擎限制，只有以前的一半。还有人的网站现在只有少数人访问，最后一次被访问已经是8个月前了。
　　自救手册：独立站风险解决机制
　　那么，对于跨境卖家而言，如何确定独立站是否被恶意攻击呢？
　　首先，卖家可以测试密码登录独立站后台，观察是否能正常登录，有无异常。
　　其次，可以利用googlesearchconsole工具关注网站排名情况，如果排名异常下滑，很有可能存在潜在被攻击风险。
　　另外还有一种更为直观的办法，我们可以利用特殊指令进行高级搜索，来确定站点是否被重新定向到了与卖家独立站无关的其他外部站点。
　　一般，可以使用site：指令来把搜索范围限定在你的独立站点中，然后搜寻要找的内容。根据此次被黑情况，卖家可以在Google上用高级搜索指令搜索：
　　site：examplecollectionsvendors
　　（将example替换成独立站网站网址）
　　就像此次大规模被黑事件，不查不知道，一查吓一跳，这些信息就悄悄隐藏在你网站的角落里影响着你的排名。
　　通过分析和部分网站的标注，就可以知道此次被攻击的大部分都是shopfiy的店铺。
　　另外，跨境卖家也要清楚做病毒广告的不仅有国内的黑帽玩家，还有国外的黑帽玩家。卖家在日常运营中务必要多检查，避免网站被黑还不知道。
　　（国外）
　　（被黑网站页面详情）
　　排查到这些问题后，该如何去解决呢？
　　根据Shopify的官方说法，跨境商家可以利用SEO工具软件，来拒绝这些垃圾反向链接。
　　首先，可以利用Ahrefs、SEMrush、Moz或Majestic等工具，将所有不良反向链接收集到一个。txt文件中，然后通过Google拒绝工具提交这些URL。
　　查找链接是整个流程中最为繁琐的工作，有两种具体的查找垃圾邮件反向链接的工作方法：1、检测链接到您的低质量网站；2、识别锚文本。
　　方法一：检测链接到您的低质量网站
　　垃圾反向链接通常来自低质量网站，我们要做的就是找到这些垃圾网站。这里，我们以Ahrefs工具为例进行讲解。
　　（1）将独立站域名复制到Ahrefs站点资源管理器，左侧菜单中找到名为反向链接配置文件的选项。在引用域报告中将展示出链接到您的所有网站列表。
　　（2）对网站列表进行排序，即按照DR（域名评级）从低到高。然后再对可疑的链接进行调查，尤其是那些有大量外文的域名、明显不属于你的利基市场的网站。
　　（3）检测到此类可疑域名之后，单击反向链接列下的数字可以获取这个链接的更多详细信息，以此来确定这个链接是真实的最后一步。一般，如果看起来可疑、不连贯、与网站定位不符，多半就是需要摘出来的垃圾外链。对于这些链接，可以收集在。txt文件中。
　　方法二：识别垃圾邮件锚文本
　　另一种查找垃圾邮件反向链接的方法是直接查看锚文本。如果有很多相同的与你的网站页面并不相关的锚文本，那这些链接可能就是垃圾邮件，影响你的排名。
　　这些查找也可以利用SEO工具，在AhrefsSiteExplorer中，所需的报告称为Anchors，位于左侧菜单中。要查找不良反向链接，点击已识别的可疑锚文本边的详细信息按钮，即可获得垃圾邮件引用域名列表。
　　经过上述两种方法收集整理成。txt文档后，就可以登录后上传Google的拒绝工具，Google就会拒绝这些网址。
　　根据Google要求，文件格式需注意：
　　每行只能指定一个要拒绝的域名，要具体，不要拒绝整个子路径；
　　拒绝某个域名（或子域名），请添加domain：前缀，例如：domain：
　　文件必须是以UTF8或7位ASCII编码的文本文件；
　　文件名必须以。txt结尾；
　　网址长度上限为2048个字符；
　　文件最多只能包含10万行内容（包括空白行和注释行），大小不得超过2MB；
　　可以视需要添加注释，只需在注释行开头添加号即可。Google会忽略所有以开头的行。
　　需要注意的是，Google也对该行为进行了提示，这是一项高级功能，要谨慎使用，使用不当反而可能会影响网站在Google搜索结果中的排名。
　　卖家生存启示录：规避风险，保护网站
　　对于很多企业和个人而言，网站是脆弱的。互联网巨头同样也有过被人入侵的经历，比如百度、谷歌，还有在2014年号称永不宕机的Facebook。因此网上有一种声音：遇到这样的情况，就把网站关掉吧。可越是这样我们越是不应该害怕和妥协，就像我们曾说不要温和地走进那个良夜，反抗精神应该是我们灵魂的底色，越是规规矩矩做生意，越要有足够的力量来保护自己。
　　首先是要注意网站的安全性，做好网站内容建设、外链建设以及用户体验建设，按照既定的策略进行SEO优化，让网站越来越强大，在搜索引擎那里的信任度和权重越来越高。信任度及权值高的网站抵抗负面SEO的能力更强，搜索引擎的容忍范围更大，也会给出更长的处理时间5W条垃圾外链可能会整垮一个小站，但对于一个大型网站，可能压根就没什么影响。
　　其次是要定期检查网站的FTP、代码、外链、内容、服务器等等，就算挡不住真正的黑客大神，但对于一般的负面SEO，只要认真检查，还是能及时发现并进行处理的。而对于查出来的问题，特别是网站内容中的挂马以及垃圾外链，一定要请懂技术的人来彻底解决，该清除的清除，该拒绝的拒绝，把隐患掐死在摇篮里。
　　最后，保持善良，千万不要去做黑帽SEO，被眼前的利益引诱走上捷径，殊不知捷径的尽头可能是绝境。不正当的黑帽SEO只会让网站变得更加脆弱，根植于黑帽SEO的网站本身根基就是有问题的，今天你黑了别人的网站，或许明天就有人给你挂马，那时内因外因一起作用，就是审判的巨剑落下了。