In un recente articolo a cura di Denis Sinegubko pubblicato su Sucuri il portale dedito alla sicurezza in rete, scopriamo che utilizzando delle falle nei siti internet dinamici costruiti con un CMS non aggiornato, sia possibile prendere la proprietà di un sito su Google Search Console e penalizzare il posizionamento organico di un sito web grazie alla Black Hat SEO.
Quali informazioni e che strumenti fornisce Google Search Console?
Google Search Console è molto utile per migliorare l'usabilità del tuo sito internet e offre molti strumenti utili a incrementare il posizionamento delle tue pagine sul motore di ricerca. Alcune delle informazioni o azioni che possiamo effettuare con questo strumento gratuito sono:
Come funziona questa tecnica Black Hat SEO con Google Search Console
Vi sono diverse tecniche con cui un utente malintenzionato può verificare il proprio utente su Google Search Console. In funzione del metodo di verifica le strategie di attacco possono variare.
Verifica con Tag HTML
Una volta bucato il sito internet bersaglio l'hacker accede con un account di admin e, ad esempio nel caso di un CMS come Wordpress, avrà la possibilità di modificare oltre agli articoli, anche il tema grafico e di conseguenza l'HTML. Modificando ciò che vi è scritto tra i tag potrà autorizzare la proprietà del sito sul pannello di Google Search Console, per il suo account Google, grazie all'aggiunta di un meta tag di verifica.
Cos'è il meta tag di verifica
Uno dei metodi per verificare un sito internet su Google Search Console consiste nell'aggiungere, tra i meta tag un metadato HTML di questo tipo:
<meta name="google-site-verification" content="Ibj2vfryxx-5BB6EE-sMaPQTPUank60gDvWwb2q-rvs" />
Il meta tag viene fornito direttamente da Google Search Console ed è personalizzato per ogni utente.
Verifica con file HTML
Ulteriore metodo utilizzato da un consulente SEO malintenzionato, è quello di caricare il proprio file di verifica sul sito e utilizzarlo per prendere la proprietà su Google Search Console. Questo sistema è un po' più raffinato e complesso del precedente e richiede che sul sito bersaglio vi sia la possibilità di modificare da pannello il file .htaccess.
Nel caso in cui l'utente non possa accedere direttamente alla root del sito (come ad esempio nel caso di un attacco ad un sito costruito con un CMS come Wordpress), l'hacker caricherà il file dove può e poi, nel caso sia stata configurata la possibilità (ad esempio nel caso di WP grazie ad una plugin come Yoast SEO) di editare il file .htaccess inserendo una regola per reindirizzare al file così caricato:
RewriteRule ^([0-9]+)/google[codice].html wp-content/wp-upload/google[codice].html [L]
Oppure, nel caso di un attacco più complesso, come quello mostrato nell'articolo di Sucuri, l'utente malintenzionato proverà a mascherare il proprio intervento. Per far questo compirà due azioni:
- Prendere pieno possesso dell'host, grazie ad un account shell o caricando una shell php.
- Caricare un file in php che generi contenuto dinamico a seconda delle esigenze: creare doorway, autentificare la proprietà di Google Search Console, etc.
Mediante comandi shell modificare il file .htaccess e far puntare al file php caricato dall'hacker
>
RewriteRule ^([0-9]+)/google(.*)\.html$ wp-content/file.php?google=$2 [L]
>
Cos'è il file di verifica di Google
Scegliendo di verificare il proprio sito internet con l'upload di un file HTML Google Search Console ci farà scaricare un file del tipo: google[codice].html che conterrà all'interno una semplice riga di testo di questo tipo: google-site-verification: google[codice].html dove [codice] sarà una stringa alfanumerica univoca e generato a seconda del nostro account.
Per procedere con la verifica dovremo quindi caricare via FTP il nostro file nella radice del nostro sito, in modo tale da poterci accedere con un url di questo tipo: http://www.sitotest.it/google[codice].html
Una volta che l'utente malintenzionato avrà autorizzato il proprio account su Google Search Console potrà:
- Accedere ai dati relativi al posizionamento del sito su Google come ad esempio click e posizione delle pagine sulla Serp.
- Inviare una propria sitemap, con contenuti spam, al motore di ricerca. In questo modo le pagine con il contenuto generato dall'hacker verranno rese "verificate" come inerenti al sito agli occhi del motore di ricerca.
- Rimuovere manualmente alcuni url del sito bersaglio (ma questo è solo un modo, in quanto vi è anche la possibilità di modificare il file robots.txt per deindicizzare contenuti dai motori di ricerca)
- Togliere la verifica dell'uso dello strumento ai legittimi proprietari e bloccare così le notifiche relative all'attacco subito dal sito.
Come proteggersi per evitare la Negative SEO?
Il metodo migliore per evitare problemi di questo tipo, oltre a mantenere aggiornato il proprio CMS, e ad aver verificato il proprio sito in Search Console è quello di monitorare costantemente la casella di posta elettronica con cui abbiamo verificato il nostro sito internet su Google Search Console.
Google, una volta che viene aggiunto un nuovo utente verificato alle proprietà di un sito, invia immediatamente una email di notifica, che ci avvisa dell'azione.
Nel caso riceviamo un messaggio di questo tipo, senza aver effettuato nessuna azione, è opportuno comprendere immediatamente cosa è successo e nel caso agire di conseguenza ripristinando la situazione.
Ricordo però che vi sono dei metodi di verifica su Google Search Console, poco più elaborati ma molto più sicuri:
- Mediante il codice di monitoraggio di Google Analytics
- Modificando il nome di Dominio del Provider
- Utilizzando lo snippet di Google Tag Manager
Maggiori informazioni su Blach Hat SEO e Google Search Console
Per comprendere meglio le tecniche utilizzate per effettuare negative SEO mediante la verifica di account terzi su Google Search Console vi rimando all'articolo, in lingua inglese, sul blog di Sucuri, da cui ho estrapolato alcune delle informazioni di questo articolo.
