חיפשת את שם העסק בגוגל וראית מתחת לתוצאה שלך את השורה "This site may be hacked" (או בעברית: "ייתכן שאתר זה נפרץ"). זה לא באג של גוגל, וזה לא ייעלם מעצמו. גוגל זיהתה תוכן זדוני או דפים שהוזרקו לאתר, וסימנה אותך כדי להגן על הגולשים. כאן בדיוק מה שצריך לעשות כדי לנקות, לבקש בדיקה חוזרת ולהסיר את האזהרה.

מה האזהרה הזו אומרת בדיוק

האזהרה "This site may be hacked" מופיעה בתוצאות החיפוש עצמן, מתחת לכותרת ולכתובת של האתר שלך. היא שונה מהמסך האדום המלא של "האתר שלפניך עלול להזיק למחשב שלך" (שמופיע בכניסה לאתר דרך הדפדפן). הגרסה ב-SERP מאותתת לגוגל ולמשתמשים שמשהו באתר נפרץ, אבל לרוב היא קשורה להזרקת תוכן ולא להפצת תוכנה זדונית פעילה.

הסיבות הנפוצות:

  1. הזרקת דפי ספאם - אלפי דפים שנוצרו ללא ידיעתך, לרוב בנושאים כמו תרופות, הימורים או מוצרי יוקרה מזויפים. תופעה מוכרת היא דפי ספאם יפניים שמרעילים את האינדקס.
  2. הזרקת קוד וקישורים נסתרים - קוד שמוסיף קישורי SEO זדוניים או טקסט מוסתר לדפים קיימים.
  3. הפניות זדוניות - מבקרים שמגיעים מגוגל מועברים לאתר אחר. אם זה המצב שלך, ראה redirect hack: אבחון וטיפול.

הנקודה החשובה: גם אם האתר נראה לך תקין כשאתה נכנס אליו, גוגל רואה גרסה אחרת. הרבה תקיפות מציגות תוכן זדוני רק לבוטים של מנועי החיפוש (cloaking), ולכן ייתכן שלא תבחין בכלום בגלישה רגילה.

שלב ראשון: לאמת את הבעיה ב-Search Console

לפני שמנקים, צריך לראות מה גוגל רואה. כל התהליך הזה מנוהל דרך Google Search Console (לשעבר Webmaster Tools), והוא חינמי.

  1. היכנס ל-Search Console ואמת בעלות על הנכס (אם עדיין לא עשית זאת). האימות נעשה לרוב דרך רשומת DNS, קובץ שמעלים לשרת או תג meta.
  2. פתח את הדוח Security Issues (בעיות אבטחה) בתפריט הצד. כאן גוגל מפרטת מה זיהתה: "Hacked: Content injection", "Hacked: URL injection" או קטגוריה דומה.
  3. שים לב לדוגמאות שגוגל נותנת - לרוב יופיעו כתובות URL ספציפיות של דפים שהוזרקו. אלה נקודות הפתיחה לחקירה.

אם אין לך עדיין גישה ל-Search Console, זה הצעד הראשון ההכרחי. בלי הדוח הזה אתה עובד בעיניים עצומות, ואי אפשר להגיש בקשת בדיקה חוזרת בלעדיו.

חשוב: הסרת האזהרה מתוצאות החיפוש מתבצעת רק אחרי שהאתר נקי באמת. אם תבקש בדיקה לפני שניקית, גוגל תדחה אותה ותאריך את משך הזמן שהסימון נשאר.

שלב שני: לנקות את האתר לעומק

ההסרה הסופית של ההתראה תלויה בניקוי מלא של ההדבקה. ניקוי חלקי הוא הסיבה הנפוצה ביותר לכך שהאזהרה חוזרת אחרי כמה ימים. בקצרה, מה שצריך לכסות:

  • סריקה מלאה של הקבצים - חיפוש אחר קבצי PHP זדוניים, backdoors (דלתות אחוריות שמאפשרות לתוקף לחזור) וקוד מעורפל (obfuscated) שהוזרק לקבצי הליבה ולתבנית.
  • בדיקת בסיס הנתונים - הזרקות רבות יושבות בטבלאות wp_posts ו-wp_options, ולא רק בקבצים.
  • מחיקת הדפים שהוזרקו - הסרת אלפי הדפים שגוגל אינדקסה, וטיפול בהם כך שיחזירו קוד 404 או 410.
  • סגירת נקודת הכניסה - תוסף או תבנית פגיעים, סיסמה שדלפה או הרשאות קבצים שגויות. בלי זה התוקף פשוט חוזר.

זה התהליך המלא, ופירטנו אותו צעד אחר צעד במדריך איך מנקים malware מאתר וורדפרס שנפרץ. אם האתר נפרץ ואתה לא בטוח מאיפה להתחיל, התחל מ7 הצעדים המיידיים.

לאחר הניקוי, החלף את כל הסיסמאות (אדמין וורדפרס, FTP, בסיס נתונים, פאנל אחסון), עדכן את כל התוספים והליבה, ודאג לגיבוי נקי שמור בצד.

שלב שלישי: בקשת בדיקה חוזרת (Review Request)

זה השלב שבפועל מסיר את האזהרה. כשהאתר נקי לחלוטין:

  1. חזור לדוח Security Issues ב-Search Console.
  2. סמן את התיבה "I have fixed these issues" (תיקנתי את הבעיות).
  3. לחץ על Request Review (בקשת בדיקה).
  4. בשדה ההסבר, כתוב בקצרה מה זיהית ומה תיקנת: איזה תוסף היה פגיע, אילו קבצים נוקו, שהסיסמאות הוחלפו. תיאור ענייני מזרז את האישור.

אחרי ההגשה, גוגל סורקת מחדש את האתר. הזמן עד להסרה משתנה: לרוב מדובר במספר ימים, אך זה יכול לקחת יותר אם יש הרבה דפים לסרוק. אל תגיש בקשות חוזרות בזו אחר זו - זה לא מזרז, ולעיתים אף מאריך את התהליך.

ומה אם הבקשה נדחתה?

דחייה כמעט תמיד אומרת דבר אחד: הניקוי לא היה מלא. נשארה דלת אחורית, נשאר קובץ זדוני אחד, או שנקודת הכניסה לא נסגרה והאתר הודבק מחדש. במצב כזה אין טעם להגיש שוב באותו רגע, צריך לחזור לסריקה מעמיקה ולמצוא את מה שפספסת. זו בדיוק הנקודה שבה רוב בעלי האתרים נתקעים, כי איתור backdoor דורש כלים וניסיון.

כמה זמן האזהרה פוגעת בי

כל יום שהאזהרה מופיעה הוא יום של אובדן תנועה. גולשים שרואים "ייתכן שאתר זה נפרץ" פשוט לא מקליקים, ושיעור ההקלקה (CTR) צונח. במקרים מתמשכים גם הדירוג עצמו עלול להיפגע, כי גוגל מורידה אתרים נגועים. לכן המהירות חשובה, אבל לא על חשבון שלמות הניקוי: ניקוי חפוז שמוביל לדחיית בקשה מאריך את הנזק במקום לקצר אותו.

איך OCW מטפלת בזה - אחריות 360

הסרת האזהרה היא תהליך טכני שבו כל פרט קטן קובע. אנחנו ב-OCW מבצעים את כל המסלול: סריקה מעמיקה לאיתור הקוד הזדוני וה-backdoors, ניקוי הקבצים ובסיס הנתונים, סגירת נקודת הכניסה, ואז הגשת בקשת הבדיקה ב-Search Console עם תיעוד מסודר שמזרז אישור. עלות טיפול חד-פעמי נקבעת לפי היקף הנזק ומורכבות האתר; דברו איתנו לקבלת הצעה.

כדי שזה לא יקרה שוב, חבילת אחריות 360 מחזיקה את האתר על ארבעה פילרים: אבטחה, נגישות, פרטיות ותחזוקה טכנית שוטפת - כולל ניטור, עדכונים וגיבויים אוטומטיים שמונעים את ההדבקה הבאה. אפשר לקרוא עוד על מה כוללת תחזוקת וורדפרס.

אם האתר שלך מסומן עכשיו בגוגל, פנה אלינו לבדיקה ונתחיל בחילוץ.

שאלות נפוצות

כמה זמן לוקח לגוגל להסיר את האזהרה אחרי בקשת בדיקה? לרוב מספר ימים מרגע ההגשה, בתנאי שהאתר נקי לחלוטין. אתרים עם הרבה דפים שהוזרקו עשויים לקחת יותר, כי גוגל צריכה לסרוק מחדש את כולם.

האם אפשר להסיר את האזהרה בלי לנקות את האתר? לא. בקשת בדיקה לפני ניקוי תידחה. גוגל סורקת מחדש לפני ההסרה, ואם התוכן הזדוני עדיין שם, הסימון נשאר ואף עלול להאריך.

האתר נראה לי תקין, אז למה גוגל מסמנת אותו? תקיפות רבות מציגות את התוכן הזדוני רק לבוטים של מנועי חיפוש (cloaking), כך שבגלישה רגילה לא תבחין בכלום. דוח Security Issues ב-Search Console יראה לך את הדפים שגוגל באמת רואה.

הבקשה שלי נדחתה, מה עכשיו? דחייה כמעט תמיד אומרת שנשארה הדבקה - לרוב backdoor או קובץ זדוני שלא נמחק. צריך לחזור לסריקה מעמיקה, לאתר ולהסיר את השארית, ורק אז להגיש שוב.