跳到主要內容區塊

計資中心電子報C&INC E-paper

專題報導

網站被搜尋引擎關聯到不當關鍵字問題探討
  • 卷期:v0070
  • 出版日期:2024-09-20

作者:陳思蘊 / 臺灣大學計算機及資訊網路中心資訊網路組行政專員、李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師


前言

使用Google搜尋引擎查詢APK、月餅與視頻時,發現搜尋到的結果內有多個網站與關鍵字並無任何關聯,進一步以相同關鍵字並結合site的方式檢視常用的網站時,更發現有多個網站被Google搜尋引擎關聯到不良的關鍵字,此結果不僅損害網站的形象和流量,還可能導致搜尋引擎排行的下降,給網站的使用者和管理者帶來諸多困擾。

本文將分享這幾個網站的情況發現的不同態樣,並提供網站管理者當遇到此類型緊急狀況時的解決方法,以及網站管理者該如何預防未來遭受到類似的攻擊。

 

分析網站受影響範圍

於Google搜尋引擎內使用site:網域名稱與不良關鍵字查詢,開啟惡意搜尋的結果,關聯到惡意關鍵字的網站有以下兩種態樣:

  • WordPress網站的搜尋功能遭惡意利用
  • 網站遭放置惡意頁面(惡意程式)

 

WordPress網站的搜尋功能遭惡意利用

於Google搜尋引擎內使用site:網域名稱與不良關鍵字查詢,如圖1,分析網站受到不良關鍵字關聯的搜尋結果,發現關聯到的惡意關鍵字皆放置在網址路徑/?s=的後方(/?s=為WordPress網站搜尋關鍵字的預設查詢參數)。

 

20240920_007004_01

圖1、受到不良關鍵字關聯的網站;圖片來源:Google搜尋引擎

 

此時於Google搜尋引擎內使用site:網域名稱inurl:s=的搜尋方式,發現所有WordPress網站中包含不良關鍵字的搜尋結果,均是以此種方式關聯到此網站,且搜尋結果均與網站內容無關,如圖2。

 

20240920_007004_02

圖2、與網站內容無關的查詢結果;圖片來源:Google搜尋引擎

 

網站遭放置惡意頁面(惡意程式)

如分析網站受到不良關鍵字關聯的搜尋結果,點選搜尋結果後頁面會直接被轉向至惡意網站,如圖3。

 

20240920_007004_03

圖3、網站被惡意轉向

 

檢查後發現網站的根目錄被植入show.php惡意頁面,此惡意頁面會在背景隨機產生檔案,點選檔案時會將使用者轉向至惡意網站,建議網站管理者遇到此情形時,立即移除該頁面,確認網站是否被植入其他惡意程式或頁面,並驗證Google Search Console的權限,向Google Search Console提出移除相關的檢索結果,或提出URL重新索引,要求Google重新索引該頁面。

 

申請移除Google與網站內容無關的搜尋結果

當WordPress管理者發現網站被Google搜尋引擎關聯到與網站實際內容無關的搜尋結果時,可至Google Search Console驗證有該網站擁有權,請Google檢查網站內的所有網址,並於建立索引的標籤內提出暫時移除網址的要求,以路徑開頭為/?作申請,如圖4,並等待Google移除惡意的搜尋結果。

 

20240920_007004_04

圖4、提出移除網址的要求

 

此外,建議WordPress網站管理者採取以下防護措施:

  1. WordPress可安裝Wordfence Web Application Firewall (WAF) 外掛插件,除了可防止SQL Injection與Cross Site Scripting外,更可利用其掃描功能,檢測網站是否存在惡意檔案或惡意程式碼。
  2. 建立robots.txt 檔案,並在該檔案內放置以下內容,禁止所有搜尋引擎進行資料檢索(Crawl, 或稱之為爬取)時,對WordPress網站的搜尋介面關聯搜尋結果。

User-agent: *

Disallow: /?s=

Disallow: /search/

 

定期監控Google搜尋結果

依據Google Search Console(https://search.google.com/search-console/)建議的驗證方法取得使用Google Search Console的權限,如圖5,取得權限後可定期確認Google Search Console中的搜尋結果報告,了解網站哪些頁面獲得最多流量,以及是否有任何錯誤需要修復。

 

Art editor Img

圖5、驗證網站擁有權;圖片來源:Google Search Console

 

預防類似攻擊的措施

本文提供以下幾點建議作為參考,加強網站的資安防護以避免遭受到類似的攻擊。

  1. 加強網站的安全防護
    確保網站使用的所有軟體、套件和第三方元件都是最新的穩定版本,並定期執行弱點掃描與修補已知漏洞。
  2. 定期執行網站備份
  3. 限制網站搜尋範圍
  4. 建立robots.txt 檔案
    將robotx.txt檔案放置於網站的根目錄內,搜尋引擎的爬蟲機器人將遵循檔案內容進行檢索與建立索引,若要禁止所有搜尋引擎訪問網站的任何頁面可放置以下內容。

User-agent: *

Disallow: /

  1. Google Search Console
  2. Google Search Console的權限,可定期確認網站是否有正常被Google引擎索引,檢索統計資料的報表亦可監控檢索狀況。

 

參考資料

  1. Google:如何編寫及提交 robots.txt 檔案。2023-12-07。網址:https://developers.google.com/search/docs/crawling-indexing/robots/create-robots-txt?hl=zh-tw
  2. HARRIS先生:Google Search Console 教學:使用與設定指南。2023-04-25。網址:https://www.yesharris.com/search-console/search-console-intro/