Co je to únos URL adresy a jak mu můžete zabránit?

Únos URL může způsobit, že váš web bude odstraněn z indexu vyhledávače a skryt před potenciálními návštěvníky. K tomuto jevu obvykle dochází, když se místo odkazů používají přesměrování.

Co je to únos URL?

Pojem „únos URL“ popisuje jev, při kterém webová stránka zmizí z výsledků vyhledávače a je nahrazena jinou. Tato jiná stránka odkazuje na skutečnou cílovou stránku nebo URL pomocí přesměrování. Například linked-site.com odkazuje na your-site.com, ale místo obvyklého HTML tagu <a> používá přesměrování. Přesměrovaná URL vypadá podobně jako v následujícím příkladu:

www.linked-site.com/redirect .php?target=www.your-site.com

Když vyhledávač najde takovýto odkaz, zařadí odkazovanou stránku a cílovou stránku do stejné kategorie, což znamená, že jednu z nich vymaže z indexu. Řídí se přitom stavovými kódy HTTP, které jsou připojeny k přesměrování.

Zatímco kód 301 (Trvale přesunuto) označuje trvalé přesměrování z dané URL adresy, kód 302 (Nalezeno) označuje dočasné přesměrování na určenou URL adresu. První typ je bezproblémový, ale přesměrování 302 je hlavním důvodem pro únos URL. Tato dobře provedená přesměrování naznačují crawleru vyhledávače, že cílová stránka je pouze dočasná a že odkazovaná stránka je ve skutečnosti originální – a crawler nikdy nekontroluje, zda jsou stránky skutečně propojené. Pokud se to nekontroluje, indexuje se nesprávná stránka a přebírá se hodnocení odkazované URL.

Kdy se používají přesměrování 301 a 302?

Existuje celá řada důvodů pro použití přesměrování URL. V důsledku toho je trvalé přesměrování domén s překlepy na správnou doménu běžnou praxí. Pokud například omylem zadáte do adresního řádku prohlížeče googel.com místo google.com, budete i tak přesměrováni na úvodní stránku oblíbeného vyhledávače. Trvalé přesměrování na správnou adresu hlavní stránky také není neobvyklé.

Pokud například navštívíte hlavní stránku anglické verze Wikipedie a zadáte en.wikipedia.org, budete přesměrováni na en.wikipedia.org/wiki/Main_Page pomocí přesměrování 301. Vývojáři také používají trvalé přesměrování, aby po změně domény nasměrovali návštěvníky na novou webovou adresu nebo aby identifikovali obsah webového projektu, který dostal novou URL adresu.

Dočasné přesměrování 302 se naopak používá především k dočasnému zobrazení obsahu z jiné URL adresy, aby zůstal dostupný, například pokud je původní stránka v údržbě. Pokud vývojář ručně vytvoří tento typ přesměrování, záměrem je, aby se obsah později znovu zobrazil na původní URL adrese. Existují tři scénáře dočasného přesměrování, které mohou vést k únosu URL adresy, z nichž jeden se záměrně používá k tomuto účelu:

Neúmyslné použití přesměrování 302

Je docela možné, že vývojáři odkazují na jiný webový projekt pomocí dočasného přesměrování, aniž by měli špatné úmysly. Může se jednat o chybu, kdy zamýšleli nastavit trvalé přesměrování. Modul pro přepisování URL adres webového serveru Apache mod_rewrite nastavuje výchozí přesměrování s kódem stavu 302.

Dynamicky generované URL adresy

PHP je široce používaný skriptovací jazyk pro vývoj webových aplikací. Serverové skripty v tomto programovacím jazyce představují jednoduchý a praktický způsob, jak vytvořit dynamický obsah pro vaše webové stránky. Často se však jedná také o skripty PHP, které dynamicky integrují cílové adresy do existující URL pomocí dočasného přesměrovacího stavového kódu 302. Tyto typy skriptů se používají hlavně v adresářích webových adres, ale také v mnoha systémech pro správu obsahu.

Úmyslné přesměrování URL adresy

Zločinci také vědí, jak využít únos URL, a rádi toho využívají. Vědomě používají přesměrování 302, aby posunuli svůj vlastní obsah v indexu a „uniesli“ stránky s obzvláště dobrým hodnocením. Tato taktika není ani udržitelná, ani legální a spadá pod pojem black hat SEO.

Únos URL adresy vs. jiné metody útoku

Únos URL adresy je často zaměňován s jinými metodami útoku, jako je únos domény nebo typosquatting. Jedná se však o odlišné typy útoků, které mohou poškodit vás nebo hodnocení vaší webové stránky.

Únos URL vs. únos domény

Ačkoli se únos URL i únos domény používají s cílem získat kontrolu nad webovou stránkou, tyto dvě metody útoku se liší, zejména pokud jde o jejich přístup:

Únos domény nastává, když útočníci získají kontrolu nad doménou tím, že se dostanou k účtům pro správu domény, například změnou nastavení DNS. V nejhorším případě mohou útočníci převzít kontrolu nad celou webovou přítomností oběti.

Únos URL vs. typosquatting

Jak název napovídá, útočná technika typosquatting využívá překlepy. Zatímco přesměrování se obvykle používá k tomu, aby návštěvník i přes drobné překlepy dostal na požadovanou webovou stránku, typosquatting se vkrádá právě zde. Útočníci záměrně registrují domény s běžnými překlepy, aby přesměrovali návštěvníky na svou webovou stránku, která často obsahuje škodlivý kód.

Jak chránit svůj web před únosem URL adresy

Provozovatelé webových stránek, kteří se snaží zlepšit hodnocení svých webových stránek, vědí, jak náročný a časově náročný je tento proces. Čím výše se ve vyhledávačích umístíte, tím větší je pravděpodobnost, že vaše indexované stránky budou uneseny. Na rozdíl od útoku, ke kterému dochází v důsledku bezpečnostních mezer ve webovém projektu, je proces únosu URL úzce spjat se základní disciplínou SEO, kterou je budování odkazů, takže jej nelze zabránit pouhým použitím antivirového softwaru.

Proto je nesmírně důležité pravidelně analyzovat nové i stávající zpětné odkazy, aby bylo možné odfiltrovat problematické URL adresy. K tomuto účelu můžete využít řadu nástrojů a služeb, například:

• SEMrush
• LinkResearchTools
• SISTRIX
• Google Search Console.

Google poskytuje nástroj pro odstranění URL adres, který vám umožňuje smazat z vyhledávacího indexu všechny nežádoucí přesměrování, která odkazují na váš web. Než tak učiníte, měli byste vždy kontaktovat správce webu zodpovědného za danou stránku a požádat ho o úpravu přesměrování. Tímto způsobem máte šanci zachovat odpovídající zpětné odkazy. Stavový kód 307 (dočasné přesměrování) má možnost dočasného přesměrování, které nevede k únosu URL adresy a je k dispozici od verze HTTP 1.1. Pokud původní stránka již v indexu chybí, měli byste kontaktovat poskytovatele vyhledávače a požádat o obnovení původního pořadí, jakmile opravíte nebo odstraníte poškozený zpětný odkaz.