פתאום גוגל מציג עבור האתר שלך תוצאות בכתב יפני. אלפי כתובות שמעולם לא יצרת, עם כותרות של תרופות, מותגי יוקרה מזויפים והימורים. זה לא באג, זו מתקפה מוכרת בשם Japanese keyword hack, ואם תזהו אותה מוקדם הניקוי שלה הוא עניין של שיטה, לא של מזל.

המאמר הזה מסביר איך לזהות את הפריצה הזו, איך לנקות אותה לעומק (לא רק את מה שנראה על פני השטח), ואיך למנוע שהיא תחזור. נשען על מקרה אמיתי שטיפלנו בו, שבו נספרו מעל 488 אלף דפי ספאם באתר אחד.

מה זה Japanese keyword hack

זו פריצה אוטומטית שמזריקה לאתר אלפי עד מאות אלפי דפים מיוצרים אוטומטית, מלאים במילות מפתח ביפנית. התוקף לא משחית את העמוד הראשי שלכם ולא מוחק תוכן. להפך, הוא רוצה שתישארו שקטים כמה שיותר זמן, כי כל יום שהדפים האלה מאונדקסים בגוגל הוא יום שבו הוא מרוויח.

הרווח מגיע משתי דרכים: הדפים מפנים גולשים לחנויות מזויפות (affiliate spam), ולעיתים התוקף גם מוסיף את עצמו כבעלים באתר בכלי Search Console כדי לשלוט באינדוקס ובמיקוד הגאוגרפי. המנוע מאחורי הכל הוא בדרך כלל קובץ זדוני אחד או שניים ששתל את עצמו עמוק, ומייצר את הדפים דינמית לפי בקשה. לכן ספירת הקבצים באתר נראית תקינה בזמן שגוגל רואה מאות אלפי כתובות.

איך מזהים שזה קרה לכם

הסימנים ברורים ברגע שיודעים לאן להסתכל:

  1. חיפוש site: בגוגל. הקלידו בגוגל site:yourdomain.com. אם צצות כותרות ביפנית או כתובות עם תיקיות אקראיות שלא יצרתם, זה הדגל האדום הראשון.
  2. דוח Coverage / Pages ב-Search Console. מספר הדפים המאונדקסים קופץ פתאום מעשרות לעשרות אלפים. זה החתימה הכי אמינה של המתקפה.
  3. משתמשים זרים ב-Search Console. היכנסו ל-Settings ואז Users and permissions ובדקו אם מישהו שאתם לא מכירים נוסף כבעלים.
  4. תוצאת חיפוש עם "This site may be hacked". גוגל לעיתים מצמיד את האזהרה הזו מתחת לתוצאה שלכם. אם הגעתם לשם, ראו את המדריך שלנו על הסרת האזהרה "This site may be hacked".

חשוב להבין: הדפים האלה לרוב אינם נראים כשגולשים נכנסים לאתר רגיל. הם מוגשים בעיקר לרובוט של גוגל (cloaking). לכן בעלי אתרים מגלים את הבעיה רק כשהתנועה האורגנית מתחילה לצנוח, או כשלקוח שואל למה גוגל מציג להם יפנית.

איך מנקים, שלב אחר שלב

ניקוי חלקי הוא הסיבה מספר אחת שהפריצה חוזרת. הקובץ הזדוני נשאר, ותוך יום הדפים נוצרים מחדש. הסדר נכון הוא קודם לעצור את המנוע, ואז לנקות את התוצאות.

1. גיבוי לפני הכל

לפני שנוגעים בקבצים או במסד הנתונים, צרו גיבוי מלא של הקבצים ושל ה-database. גם אתר נגוע שווה גיבוי, כי הוא נקודת חזרה אם משהו משתבש בניקוי.

2. איתור הקוד הזדוני והסרתו

זה הלב של העבודה. מחפשים את הקבצים שהושתלו, בדרך כלל בתיקיות wp-content/uploads, בשורש האתר, או מוסווים כקובצי ליבה של וורדפרס. מסירים אותם, ומנקים הזרקות במסד הנתונים (טבלת wp_options, הרשאות משתמשים מזויפות, ומשימות cron שמייצרות דפים מחדש). זה תהליך שדורש ניסיון: מחיקה גסה של קבצים עלולה לשבור את האתר, והשארת קובץ אחד מחזירה את הכל. אם אתם לא בטוחים, זה השלב שבו כדאי למסור למומחה. הרחבנו על המתודולוגיה במדריך ניקוי וירוסים ו-malware מאתר וורדפרס.

3. ניקוי ה-sitemap

תוקפים מוסיפים קובצי sitemap משלהם או מזריקים כתובות לקיים, כדי לזרז אינדוקס של הספאם. מחקו כל sitemap שלא אתם יצרתם, ובנו מחדש sitemap נקי דרך תוסף ה-SEO שלכם.

4. החזרת שליטה ב-Search Console

הסירו כל בעלים או משתמש זר. הגישו מחדש את ה-sitemap הנקי. בכלי URL Inspection בדקו דגימה של כתובות ספאם, ואם הן עדיין מאונדקסות, השתמשו בכלי Removals כדי לבקש הסרה. שימו לב שזה זמני, ההסרה הקבועה מגיעה מכך שהדפים מחזירים שגיאת 404 או 410 אחרי הניקוי.

5. בקשת בדיקה חוזרת

אם גוגל סימן את האתר כפרוץ, אחרי שווידאתם שהכל נקי, הגישו בקשת Security review דרך Search Console. גוגל סורק מחדש ומסיר את הסימון, בדרך כלל תוך ימים ספורים.

המקרה של 488 אלף הדפים

באחד האתרים שהגיעו אלינו, Search Console דיווח על יותר מ-488 אלף כתובות מאונדקסות, כמעט כולן דפי ספאם ביפנית, על אתר שבמקור היו בו כמה עשרות עמודים. בעל האתר שם לב רק כשהתנועה האורגנית קרסה והלקוחות התלוננו על התוצאות המוזרות בגוגל.

מה שאיפשר ניקוי מהיר היה ההבנה שמדובר במנוע יחיד שמייצר את הדפים דינמית. ברגע שאותרה והוסרה ההזרקה, מאות אלפי הדפים הפסיקו להיווצר והתחילו להחזיר 404. משם זו הייתה עבודה מסודרת מול גוגל: sitemap נקי, הסרת בעלים זר, ובקשת בדיקה חוזרת. הלקח המרכזי, הניצחון הוא לא במחיקת הדפים אלא בכיבוי המקור.

איך מונעים שזה יחזור

Japanese keyword hack כמעט תמיד נכנס דרך אותן דלתות: תוסף או תבנית מיושנים, סיסמה חלשה, או אחסון פרוץ. המניעה מוכרת ויעילה:

  • עדכון שוטף של ליבת וורדפרס, תוספים ותבניות.
  • הסרת תוספים ותבניות שלא בשימוש (גם לא פעילים הם משטח תקיפה).
  • סיסמאות חזקות ואימות דו-שלבי לכל משתמשי הניהול.
  • חומת אש ברמת האתר וניטור שינויי קבצים.
  • גיבוי אוטומטי שמאפשר שחזור נקי תוך דקות.

מי שרוצה להבין לעומק מאיפה הפריצות האלה נכנסות יכול לקרוא למה אתרי וורדפרס נפרצים - 8 הפרצות הנפוצות.

איפה אנחנו נכנסים

ב-OCW אנחנו מחלצים אתרי וורדפרס פרוצים, כולל מקרי Japanese keyword hack בקנה מידה גדול, ומחזירים אותם נקיים מול גוגל. עלות טיפול חד-פעמי נקבעת לפי היקף הנזק ומורכבות האתר; פנו אלינו לקבלת הצעה מדויקת.

מעבר לחילוץ, חבילת אחריות 360 שלנו שומרת שזה לא יקרה שוב, עם ארבעה פילרים: אבטחה, נגישות, פרטיות ותחזוקה טכנית שוטפת, כולל ניטור, עדכונים וגיבוי אוטומטי. אם האתר שלכם מציג יפנית בגוגל, או שאתם רוצים שמישהו יוודא שהוא נקי, פנו אלינו לבדיקה.

שאלות נפוצות

למה אני רואה דפים ביפנית בגוגל אבל לא באתר עצמו?

כי הדפים מוגשים בעיקר לרובוט של גוגל ולא לגולשים רגילים (טכניקה שנקראת cloaking). לכן הדרך לזהות היא דרך חיפוש site: בגוגל ודרך Search Console, ולא דרך גלישה רגילה.

מחקתי את הדפים אבל הם חזרו. למה?

כי נשאר הקוד הזדוני שמייצר אותם. מחיקת הדפים בלי הסרת המנוע שמזריק אותם היא זמנית. צריך לאתר ולהסיר את הקובץ או ההזרקה במסד הנתונים, אחרת הם נוצרים מחדש תוך יום.

כמה זמן לוקח לגוגל להסיר את הדפים מהאינדקס?

אחרי שהאתר נקי והדפים מחזירים 404 או 410, גוגל מסיר אותם בהדרגה במהלך הזחילות הבאות. בקשת בדיקה חוזרת ב-Search Console מזרזת את הסרת הסימון "may be hacked", בדרך כלל תוך ימים ספורים.

האם זה פגע בדירוג שלי בגוגל?

לרוב כן, בטווח הקצר, כי האתר מזוהם בספאם ולעיתים מסומן כפרוץ. אחרי ניקוי מלא והחזרת sitemap נקי הדירוג מתאושש, אם כי ההתאוששות עצמה לוקחת שבועות.