Black Hat SEO, Parasite Hosting e azione manuale da Google: un caso di studio risolto
Oggi diamo spazio ad un case study e torniamo a parlare, dopo mesi dedicati al Social e al Content Marketing, di SEO (e di sicurezza).
Vi siete mai imbattuti in tecniche Black Hat SEO? Con questo termine si indicano quelle strategie poco ortodosse e contro le linee guida di un motore di ricerca, per facilitare (e velocizzare) l’avanzata nelle serp dei propri siti web per le chiavi di ricerca di interesse.
Le tecniche black hat sono tante ed alcune non sono propriamente black ma rientrano più nel grey, ovvero in quella categoria che sta a metà tra il lecito e l’illecito.
Tra le principali tecniche black hat ci sono:
- cloaking: mostrare all’utente la versione reale di una pagina web e ai bot un’altra, creata ad hoc e sovraottimizzata di keywords;
- parasite hosting: come dice lo stesso termine, il malintenzionato sfrutta un host e il valore SEO acquisito dal dominio come se fosse un parassita, succhiandogli valore e sfruttandolo a suo piacimento per posizionare le proprie pagine;
- software link spamming: ci sono dei software che ti permettono di costruire dei link e scegliere l’anchor text su quei siti che non hanno una moderazione. Svolgono l’intero processo: dalla ricerca dei siti, creazione dell’account fino alla pubblicazione del testo con link. Solitamente i siti sono tutti di bassa qualità e sono siti di article marketing, blog (nei commenti), directories e social bookmarks.
Queste sono solo le principali tecniche ma in realtà sono molte di più e sicuramente chi le pratica ne conosce molte più di me.
In questo articolo voglio condividere con voi un caso di parasite hosting e cloaking subito in seguito ad un attacco di cracking, che ha prodotto anche un’azione manuale (penalizzazione) da Google per compromissione di sito e gli interventi che abbiamo effettuato per ripulire il sito e risolvere la penalizzazione.
Il problema ha riguardato un sito web realizzato ad un nostro cliente anni prima e al quale non forniamo assistenza diretta: questo vuol dire che il cliente ci retribuisce soltanto quando effettuiamo modifiche al sito o inserimento di nuovi contenuti, per tutto il resto la gestione è affidata al team IT dell’azienda.
Tutto inizia quando il cliente ci segnala che una pagina del sito effettua un redirect 301 su un sito compromesso.
Dalla richiesta di “eliminare il problema” inizia la nostra analisi. Nell’immediato comprendiamo subito la causa del problema: il sito, realizzato utilizzando cms WordPress su tema creato ad hoc, non risulta aggiornato da molto tempo e così anche i plugin presenti.
In più, non hanno mai installato Google Webmaster Tools (ora Search Console). La prima cosa che facciamo è quindi quella di installare Webmaster tools per vedere se sono segnalati problemi.
In “azioni manuali” mi ritrovo subito un bell’avvertimento:
Alcune pagine del sito sono state compromesse da una terza parte allo scopo di inserire link o contenuti con spam e Google ha deciso di penalizzare il sito del cliente.
Ma andiamo avanti nell’analisi!
Per curiosità guardo il profilo links del sito e scopro, oltre ad una innaturale crescita velocissima dei backlink al dominio, che gli anchor text sono anch’essi del tutto stravolti.
L’anchor cloud mostra quasi tutte parole giapponesi.
E questa è la distribuzione dei link in arrivo.
Indice dei contenuti
Parasite Hosting
Come funziona il Parasite Hosting? In pratica c’è un cracker (solitamente un Black Hat SEO) che riesce ad entrare in una falla del sito (può essere da ftp, cms, o plugin non aggiornati) violando il sito. Una volta dentro, crea delle pagine ad hoc che risiederanno sul tuo sito e vengono sovraottimizzate di keywords che si vogliono posizionare.
Una volta create, le pagine ricevono centinaia se non migliaia di links, con anchor text esatti fino a quando riescono a posizionarsi (un po’ sfruttando i link e l’onpage spam della pagina creata ad hoc ed iniettata, un po’ sfruttando il page rank del dominio che si sta “parassitando”) per le chiavi di interesse.
Una volta raggiunto un buon posizionamento e una volta che iniziano a generare un discreto traffico, il cracker effettua un redirect 301 (solo per l’utente) ai propri siti o a quelli dei suoi clienti.
Questa di seguito è un esempio di pagina parassita che era stata creata sul sito del cliente, sovraottimizzata di keyword il cui obiettivo era spingere uno shop di abbigliamento e calzature giapponese.
Fortunatamente abbiamo bloccato l’attacco prima ancora che le pagine parassita riuscissero a raggiungere ottimi risultati e quindi, tranne una pagina, quelle parassita non presentavano ancora redirect 301.
Da analytics ho però visto che il traffico proveniente dal Giappone stava sensibilmente aumentando (se consideriamo che prima non ne aveva affatto) e da Semrush mi segnava che i posizionamenti del sito del cliente, per le parole chiave giapponesi oggetto di parasite, miglioravano.
Tra l’altro, cercando su Google Japan una delle parole chiave utilizzate venivano fuori altri siti bucati e con all’attivo già un redirect 301 per l’utente. La cosa assurda è che il cracker sembra essere lo stesso.
Cloaking
Come se non bastasse, c’era anche del cloaking. Il cloaking è già più difficile da individuare ad occhio umano perché tu utente la pagina la vedi normalmente. Il bot però la sta vedendo in modo totalmente differente.
Il modo più facile per accertarsi di avere un sito o pagine soggette a cloaking è quello di visualizzare la cache della pagina, dalle serp dei risultati, cliccando sul tastierino verde e poi su “Copia cache”, posto accanto alla url della pagina.
L’alternativa è utilizzare uno dei tanti tool online che certifica la presenza di cloaking.
Ecco come si presentava a Googlebot la homepage del sito.
E, giusto per avere conferma:
Il tutto, abbiamo scoperto, era finalizzato a migliorare il posizionamento di questo sito qui. Un sito giapponese di cover iphone e altri prodotti.
Come abbiamo risolto il problema e rimosso l’azione manuale
L’azione risolutiva è iniziata attraverso la scansione dei file, analizzando tutte le cartelle alla ricerca dei file sospetti. Il secondo step è stato quello di aprire tutti i file del tema per controllare che il codice fosse integro e non modificato dall’azione del cracker.
Sono stati individuati ed eliminati circa 200 file sospetti caricati principalmente nella cartella Wp-Content del sito.
Per il cloaking è stato leggermente più difficile perché, nonostante tutti i controlli manuali e la revisione del template, tutto il sistema di WordPress sembrava essere compromesso, dunque la strada scelta è stata quella più drastica, ovvero quella di rimuovere tutto il contenuto di WordPress e riportarlo ad un’installazione pulita.
Step finale è stato quello di inviare una richiesta di riconsiderazione a Google, spiegando tutte le azioni svolte per ripristinare la sicurezza del sito.
E, dopo circa una settimana, azione manuale rimossa.
Conclusioni
Queste tecniche black hat funzionano ancora? Onestamente penso che queste tecniche possono funzionare ma sono destinate comunque ad avere vita breve. Nel caso del sito del cliente, totalmente off-topic col sito giapponese che si voleva spingere, ha comportato un’azione manuale. Il sito del cliente non è stato impattato dall’azione manuale, perché non produceva molto traffico organico.
In realtà, Roberta Remigi di Google mi ha informato che questo tipo di azioni manuali parziali non impattano sul sito che le subisce, ma servono più che altro ad informare il webmaster e ad isolare lo spam.
Sempre più spesso inoltre, queste azioni Black Hat vengono portate avanti per tentare di abbattere i competitors, più che per posizionare i propri siti, quindi è sempre bene stare molto attenti a monitorare sempre tutto, dai link in entrata, ai messaggi nel Search Control, al traffico organico e la sua provenienza, ecc.
Ah, ovviamente i consigli sulla sicurezza sono sempre quelli, aggiornare costantemente le versioni del cms e dei plugin e dotarsi di password alfanumeriche molto sicure per le cartelle dei file e per gli accessi al dashboard.
Mi auguro che questo caso di studio ti sia stato utile!
Bel Lavoro Dario e ottimo Post.
Io uso “Wordfence Protection”
A mio avviso è uno dei migliori anche nella versione free.
Fra Martinez
ho lo stesso problema con il sito associazioneparteattiva.it …. aiuto!!!
Ciao,
prova a seguire le indicazioni elencate nell’articolo. La cosa migliore è quella di chiedere al proprio webmaster di individuare file infetti all’interno delle cartelle (ftp) del proprio sito.
Stesso identico problema sul sito di un b&b. Dopo aver passato ore a ripulire ho installato il plugin di sucuri sitecheck. Voi utilizzate questo tipo di protezione?
I backlink fuffeschi che ora puntano le pagine inesistenti (che ipotizzo erano state create per il parassite) li hai poi passati al disavow tools? Oppure visto che in teoria danno un 404, li hai lasciati?
No non ho fatto disavow. Puntano a pagine 404 e sto comunque notando che iniziano a rimuoverli loro stessi in massa.