משקיעים בקידום אתר? אל תיפלו בקטנות
כשאנחנו חושבים על קידום אתרים, אבטחה היא לא בדיוק הגורם הראשון שעולה לנו לראש. אמנם גוגל אמרה בעבר שהיא תיתן יתרון מסוים בדירוג לאתרים מאובטחים עם תעודת SSL להצפנה תחת תקן HTTPS, אבל לא כולם מודעים לכך שתעודת SSL מגנה בעיקר על מה שעובר בין הגולש לבין השרת, ולא יכולה למנוע פריצות לשרת עצמו, מתקפות שמאטות את האתר וכך הלאה.
כמובן שפריצה לאתר היא לא דבר שנרצה בשום מקרה, אבל חשוב להבין מדוע היא יכולה לגרום לנזק בלתי משוער גם לקידום ומה נוכל לעשות אם נפגענו.
אחת הדרכים האפקטיביות ביותר לגרום לאתר שלכם לירידה בדירוגים או אפילו לענישה חמורה יותר והדרדרות למקומות לא ריאלים, היא באמצעות שתילה של תוכנות זדוניות, שינויים בהגדרות שגוגל קורא (כמו robots.txt) או פשוט שתילה של קישורים ותוכן זבל באתר עצמו.
לכאורה לאחר הפריצה קל לנו מאוד לשחזר את האתר למצב הקודם וגם יש לנו בדרך כלל גיבוי על השרת. העניין הוא שלא תמיד אנחנו רואים בכלל שהתבצעה פריצה. לדוגמה, אפשר לשתול קישורים בלתי נראים, לבצע מיסוך לאתר (כך שגוגל יראה גרסה אחרת שלו), להחליף את ההרשאה לקונסולת החיפוש (אם אימתנו את החשבון דרך קובץ) ועוד ועוד…
מעבר לכך, באתרים גדולים מאוד, גם פריצה במשך חצי שעה והחלפה של עמוד הבית (מה שקורה לא מעט כאן בארץ…) יכולה לגרום לבעיות של הצגת הגרסה הפרוצה בגוגל (באתרים גדולים גם הסריקה תדירה יותר) וכמובן לפגוע במכירות ובתדמית שלנו כמותג.
המטרה היא כמובן לא להפחיד אתכם, אלא לגרום לכם להבין שאבטחה היא דבר שאתם צריכים להקפיד עליו ולא רק לבצע כמה פעולות בסיסיות על מנת לצאת ידי חובה…
אז מה הכי חשוב לעשות קודם כל?
- לאבטח את האתר שלכם לכל הפחות ברמת מערכת ניהול התוכן (לדוגמה, Wordfence של וורדפרס).
- לא להשתמש בסיסמאות כפולות למערכת ניהול התוכן, ה-FTP וכו' וכמובן להחליף אותן מדי פעם.
- למחוק משתמשים לא פעילים.
- לבדוק שיש לכם גיבוי אוטומטי על השרת.
- לשים לב למשתמשים שאתם לא מכירים ומקבלים שליטה בחשבונות שלכם (Google Analytics, Search Console) ולבדוק שכל ההתראות נשלחות לכתובת הנכונה.
כבדהו וחשדהו
למרבה הצער, לפעמים התוקפים יכולים לפתוח דלתות אחוריות גם במקומות הכי פחות צפויים. לדוגמה, אסור לנו לשכוח שוורדפרס היא מערכת בקוד פתוח וכל אחד יכול להציץ בקוד של התוספים שלה. אם מפתח התוסף לא מודע לבעיות האבטחה האלו, אתם עשויים להיפגע, במיוחד כשההאקרים בוחרים בכוונה תוספים פופולאריים או אפילו את קבצי הליבה של וורדפרס עצמה.
לעיתים מספיקה טעות אחת קטנה כדי לפגוע ב-SEO של האתר. למשל, רק לפני כמה חודשים התגלה באג בתוסף הפופולארי Yoast. הבאג גרם לכך שבמקום שלחיצה על תמונה תגרום לפתיחה שלה בטאב חדש, היא תיפתח בעמוד חדש ריק בלי שום דבר חוץ מהתמונה עצמה, מה שגרם לגוגל להסיק שמדובר בדפים באיכות נמוכה (למרות שהתוצאות השתנו מאתר לאתר).
בכל אופן, אל תתקינו תוספים ממקורות מפוקפקים, רק מהספרייה של וורדפרס. גם תבניות צריך לבדוק, במיוחד כאלו שניתנות בחינם ואין לכם מושג מה יש בקוד שלהן (במקרה הטוב זה עשוי להיות קישור למקור מפוקפק בתחתית).
כיצד תוכלו לבקש מגוגל להחזיר את המצב לקדמותו?
בדומה לקידום אתרים שלילי, ייתכן שתראו ירידה בדירוגים או בחשיפה. במקרים קיצוניים גוגל עשוי להציג הודעה כשנכנסים לאתר ולמנוע מהגולשים להיכנס אליו (למרות שזה יכול לקרות גם בשל תעודת אבטחה שאינה בתוקף):
במקרה הזה סביר להניח שתיקון כל חורי האבטחה יחזיר את המצב לקדמותו. לעומת זאת, אם קיבלתם התראה ב Search Console, כנראה שתצטרכו לעבוד קצת יותר קשה ולתקן את כל הבעיות שמופיעות בדיווח.
חשוב לשים לב שישנו הבדל בין בקשת הכללה מחדש שמקושרת לפעילות ידני של SEO לא תקין תחת "פעולות ידניות" (או "תנועה") , ובין בקשת סקירה מחדש של בעיות אבטחה שנמצאת תחת "זחילה" (Crawl).
הסוג הראשון הוא בדרך כלל היותר תובעני מכיוון שאתם צריכים לטפל בכל הספאם באתר, כולל תוכן וקישורים, גם אם אתם לא יצרתם אותו. לפעמים זה יחסית קל, ולפעמים זו עבודה שרק חברת קידום עם ניסיון של טיפול "במקרים קשים" תוכל לפתור ביעילות…
לעומת זאת, בסוג השני (בתמונה) אתם צריכים לטפל רק בבעיות האבטחה הקונקרטיות, כשגוגל מבינה שכנראה אתם לא החשודים המיידים.
על פי גוגל, 84% אחוז מבעלי האתרים שמקבלים התראה מצליחים לקבל אישור מחדש, אבל רק כחצי מכל המנהלים מקבלים את ההתראות האלו…
לסיכום
אבטחה היא נושא שלא כולם אוהבים להתעסק אתו, אבל אם מתעלמים ממנו, הנזק עשוי להיות פתאומי וכואב. לכן, נקטו בכל אמצעי האבטחה שאתם יכולים ואל תסתפקו רק בהתקנה של תעודת SSL. וודאו שיש לכם חיבור אל הכלים של גוגל ושימו לב לכל פעילות חשודה או לא טבעית שנשלחת אליכם כהתראה לדואר האלקטרוני.
גם אם נפגעתם, בדרך כלל תוכלו להשיב את המצב לקדמותו, אך לשם זאת עליכם לעקוב אחרי ההוראות של גוגל או להסתייע בחברת קידום אתרים שכבר ראתה דבר אחד או שניים.