作者:陳思蘊 / 臺灣大學計算機及資訊網路中心資訊網路組行政專員、李美雯 / 臺灣大學計算機及資訊網路中心資訊網路組程式設計師
前言
使用Google搜尋引擎查詢APK、月餅與視頻時,發現搜尋到的結果內有多個網站與關鍵字並無任何關聯,進一步以相同關鍵字並結合site的方式檢視常用的網站時,更發現有多個網站被Google搜尋引擎關聯到不良的關鍵字,此結果不僅損害網站的形象和流量,還可能導致搜尋引擎排行的下降,給網站的使用者和管理者帶來諸多困擾。
本文將分享這幾個網站的情況發現的不同態樣,並提供網站管理者當遇到此類型緊急狀況時的解決方法,以及網站管理者該如何預防未來遭受到類似的攻擊。
分析網站受影響範圍
於Google搜尋引擎內使用site:網域名稱與不良關鍵字查詢,開啟惡意搜尋的結果,關聯到惡意關鍵字的網站有以下兩種態樣:
- WordPress網站的搜尋功能遭惡意利用
- 網站遭放置惡意頁面(惡意程式)
WordPress網站的搜尋功能遭惡意利用
於Google搜尋引擎內使用site:網域名稱與不良關鍵字查詢,如圖1,分析網站受到不良關鍵字關聯的搜尋結果,發現關聯到的惡意關鍵字皆放置在網址路徑/?s=的後方(/?s=為WordPress網站搜尋關鍵字的預設查詢參數)。
圖1、受到不良關鍵字關聯的網站;圖片來源:Google搜尋引擎
此時於Google搜尋引擎內使用site:網域名稱inurl:s=的搜尋方式,發現所有WordPress網站中包含不良關鍵字的搜尋結果,均是以此種方式關聯到此網站,且搜尋結果均與網站內容無關,如圖2。
圖2、與網站內容無關的查詢結果;圖片來源:Google搜尋引擎
網站遭放置惡意頁面(惡意程式)
如分析網站受到不良關鍵字關聯的搜尋結果,點選搜尋結果後頁面會直接被轉向至惡意網站,如圖3。
圖3、網站被惡意轉向
檢查後發現網站的根目錄被植入show.php惡意頁面,此惡意頁面會在背景隨機產生檔案,點選檔案時會將使用者轉向至惡意網站,建議網站管理者遇到此情形時,立即移除該頁面,確認網站是否被植入其他惡意程式或頁面,並驗證Google Search Console的權限,向Google Search Console提出移除相關的檢索結果,或提出URL重新索引,要求Google重新索引該頁面。
申請移除Google與網站內容無關的搜尋結果
當WordPress管理者發現網站被Google搜尋引擎關聯到與網站實際內容無關的搜尋結果時,可至Google Search Console驗證有該網站擁有權,請Google檢查網站內的所有網址,並於建立索引的標籤內提出暫時移除網址的要求,以路徑開頭為/?作申請,如圖4,並等待Google移除惡意的搜尋結果。
圖4、提出移除網址的要求
此外,建議WordPress網站管理者採取以下防護措施:
- WordPress可安裝Wordfence Web Application Firewall (WAF) 外掛插件,除了可防止SQL Injection與Cross Site Scripting外,更可利用其掃描功能,檢測網站是否存在惡意檔案或惡意程式碼。
- 建立robots.txt 檔案,並在該檔案內放置以下內容,禁止所有搜尋引擎進行資料檢索(Crawl, 或稱之為爬取)時,對WordPress網站的搜尋介面關聯搜尋結果。
User-agent: *
Disallow: /?s=
Disallow: /search/
定期監控Google搜尋結果
依據Google Search Console(https://search.google.com/search-console/)建議的驗證方法取得使用Google Search Console的權限,如圖5,取得權限後可定期確認Google Search Console中的搜尋結果報告,了解網站哪些頁面獲得最多流量,以及是否有任何錯誤需要修復。
圖5、驗證網站擁有權;圖片來源:Google Search Console
預防類似攻擊的措施
本文提供以下幾點建議作為參考,加強網站的資安防護以避免遭受到類似的攻擊。
- 加強網站的安全防護
確保網站使用的所有軟體、套件和第三方元件都是最新的穩定版本,並定期執行弱點掃描與修補已知漏洞。
- 定期執行網站備份
-
- 限制網站搜尋範圍
-
- 建立robots.txt 檔案
將robotx.txt檔案放置於網站的根目錄內,搜尋引擎的爬蟲機器人將遵循檔案內容進行檢索與建立索引,若要禁止所有搜尋引擎訪問網站的任何頁面可放置以下內容。
User-agent: *
Disallow: /
- Google Search Console
- Google Search Console的權限,可定期確認網站是否有正常被Google引擎索引,檢索統計資料的報表亦可監控檢索狀況。
參考資料
- Google:如何編寫及提交 robots.txt 檔案。2023-12-07。網址:https://developers.google.com/search/docs/crawling-indexing/robots/create-robots-txt?hl=zh-tw
- HARRIS先生:Google Search Console 教學:使用與設定指南。2023-04-25。網址:https://www.yesharris.com/search-console/search-console-intro/