近日有大量shopify的店鋪出現(xiàn)問題，而且放的url是非常低俗和完全不搭邊的廣告。

這類垃圾URL收錄，會嚴(yán)重影響品牌或店鋪的聲譽(yù)，影響Google對站點(diǎn)的審查，同時(shí)還會影響SEO和用戶體驗(yàn)。數(shù)百萬的Shopify站點(diǎn)已經(jīng)被黑，趕緊處理，別再給那些黑帽SEO沙雕做"嫁衣"了。

先聲明下這篇文章不是專門黑Shopify，只是突然發(fā)現(xiàn)shopify的bug，覺得有必要在獨(dú)立站shopify賣家圈內(nèi)發(fā)聲，不要再讓不法分子利用這個(gè)漏洞去謀利。

言歸正傳，說下這次的Shopify的缺陷？黑客是如何利用的？對你的shopify站點(diǎn)的影響？你應(yīng)該如何解決？

1 背景

今天在檢測shopify網(wǎng)站時(shí)，通過site高級搜索指令時(shí)，在SERP發(fā)現(xiàn)了一些原本不屬于我自己創(chuàng)建的網(wǎng)頁，被Google收錄了。

當(dāng)時(shí)在想這些鏈接，頁面的功能及頁面最初是如何創(chuàng)建的，是否含插件和自定義代碼，也有可能是某插件的惡意JavaScript代碼注入到DOM中實(shí)現(xiàn)的渲染。

2 問題排查與發(fā)現(xiàn)

因?yàn)檫@類垃圾URL收錄，會嚴(yán)重影響品牌或店鋪的聲譽(yù)，Google對站點(diǎn)的審查，會影響SEO和用戶體驗(yàn)。

接下來我進(jìn)行了排查，通過在Google搜索[病毒廣告關(guān)鍵詞] 后，竟然發(fā)現(xiàn)：

2.1 數(shù)百萬站點(diǎn)受影響

被Google收錄，并且含有這段病毒廣告的URL，竟然高達(dá)數(shù)百萬；

請馬上在Google上，使用高級搜索指令：
site: example/collections/vendors
搜索下，看下你的shopify站點(diǎn)，是不是也被黑了？（如果被黑了，請轉(zhuǎn)載給更多Shopify賣家）

同時(shí)，可以搜索下你的競爭對手shopify站點(diǎn)，99%也被黑了。

2.2 基本都是Shopify的店鋪

https://www.examplesite.com/collections/vendors?q=

大都是上面這種URL，熟悉shopfiy的朋友都知道，shopify的Collection URL路由規(guī)則就是這樣的，經(jīng)過源代碼分析和檢測，果真Shopify。

見下圖所示：

2.3 這些 URL 可以由任何人創(chuàng)建

經(jīng)過測試發(fā)現(xiàn)，隨便訪問shopify的網(wǎng)站并將/collections/vendors?q=test添加到商店地址的末尾，并按回車鍵，會看到一個(gè)頁面顯示為“test”，但沒有找到任何產(chǎn)品。

2.4 不僅是國內(nèi)的黑帽玩家做病毒廣告，也有國外黑帽玩家

看看下面這個(gè)沙雕寫的文案，真TM想錢想瘋了。（比如國內(nèi)病毒廣告站點(diǎn)：xe66.com ?）

看看下面這張圖，我越看越氣??！

bing也是一樣的問題。

也有國外病毒廣告站點(diǎn)：fifa23coins.com ?（FIFA 23 硬幣）

2.5 流量越大時(shí)間越久的網(wǎng)站，被收錄的垃圾鏈接越多

新網(wǎng)站由于googlebot發(fā)現(xiàn)、收錄和審查等，會需要更多時(shí)間；

老站，DA高的shopify網(wǎng)站99.9%都已經(jīng)被黑。

3 Shopify ?Bug 引發(fā)的黑帽SEO思路

任何人都可以創(chuàng)建這類查詢的動態(tài)URL時(shí)，黑帽SEO玩家嗅到了money的味道。

在講解實(shí)現(xiàn)思路前，我先定義下名詞：

• Shopify商家站點(diǎn)：代指受影響的Shopify商家站點(diǎn)，比如 https://cstrecords.com/

• 病毒廣告站點(diǎn)：黑帽玩家推廣目的的服務(wù)或產(chǎn)品的站點(diǎn)，比如 zhanbu88.com （星盤/塔羅/八字/心理咨詢等）

• 垃圾外鏈站：黑帽玩家以該站點(diǎn)創(chuàng)建假的url，作為你的垃圾外鏈站，目的是讓Google蜘蛛能發(fā)現(xiàn)URL，比如https://ugs9.com/

畫了個(gè)簡易的流程圖，輔助理解。

惡意黑帽者通過利用shopify網(wǎng)站上的「vendor-供應(yīng)商名稱」搜索查詢漏洞，生成以「病毒廣告站點(diǎn)」產(chǎn)品詳細(xì)信息作為標(biāo)題的假頁面；并且在「垃圾外鏈站」上創(chuàng)建指向這個(gè)假 url ；最后谷歌對該頁面進(jìn)行發(fā)現(xiàn)、索引并將其「Shopify商家站點(diǎn)」URL，顯示在SERP搜索結(jié)果中，以達(dá)到幫助推廣「病毒廣告站點(diǎn)」的服務(wù)或產(chǎn)品的目的。

注意，這個(gè)帶q參數(shù)的動態(tài)URL，該頁面本身并不獨(dú)立存在，它僅作為目標(biāo)網(wǎng)站上搜索結(jié)果的一部分存在。

4 Shopify賣家解決方案（重點(diǎn)）

先給大家看下Shopify官方的回復(fù)的解決方案，
https://community.shopify.com/c/shopify-discussions/website-hacked-help/td-p/1748004 ?（也就是下面的4.1方案，我會再補(bǔ)充4.2/4.3解決方案，以及4.4檢查方案）

4.1 拒絕這些垃圾反向鏈接

1.?使用 SEO 診斷軟件，比如SEMrush、Ahrefs等，將所有垃圾反向鏈接收集到一個(gè).txt 文件中

2.?通過Google 的拒絕工具提交這些URL，地址：
https://search.google.com/search-console/disavow-links

按照要求的拒絕鏈接格式上傳一個(gè)文本文件 (*.txt)，其中包含要拒絕的鏈接或網(wǎng)域，地址：
https://support.google.com/webmasters/answer/2648487

比如*.txt文件：

3.?上傳成功后，見下圖：

注意：

這是一項(xiàng)高級功能，應(yīng)謹(jǐn)慎使用。如果使用不當(dāng)，此功能可能會損害您的網(wǎng)站在 Google 搜索結(jié)果中的表現(xiàn)。如果您認(rèn)為有大量垃圾郵件、人工或低質(zhì)量鏈接指向您的網(wǎng)站，并且您確信這些鏈接會給您帶來問題，我們建議您僅拒絕反向鏈接。

4.2 Google Search Console拒絕收錄垃圾頁面

1. 進(jìn)入Google Search Console后臺 > 【編制索引】 > 【刪除】菜單處；

2.?點(diǎn)擊「新請求」按鈕

3.?選擇「僅移除此網(wǎng)址」或「移除所有帶此前綴的網(wǎng)址均可」

依次輸入被google收錄的垃圾廣告鏈接；或者輸入：你的域名/collections/vendors

4.3 編輯Robots.txt協(xié)議

操作步驟：

1.?進(jìn)入Shopify Admin后臺，依次點(diǎn)擊 ?【在線商店】 -> 【模板】 -> 【編輯代碼】菜單：

2.? 在【模板】菜單下，點(diǎn)擊「添加新模板」按鈕；

3.?在彈窗中選擇「robots.txt」選項(xiàng)；

4、編輯Robots.txt協(xié)議

目的是禁止各類搜索引擎蜘蛛（如GoogleBot）抓取 ? /collections/vendors?q=test ?這類URL

代碼示例：

User-agent: *Disallow: /collections/vendors?q=

注意：

1.?robots.txt協(xié)議不要亂編輯，這里面會有規(guī)范，建議先閱讀Google官方文檔：
https://developers.google.com/search/docs/crawling-indexing/robots/intro，后續(xù)視情況，考慮整理發(fā)下robots.txt的教程?

2.?robots.txt協(xié)議屬于君子協(xié)議，搜索引擎會考慮遵守，但不排除特殊情況

4.4 最后：檢查

完成以上優(yōu)化動作后，次日在Google搜索界面，搜索：
site:你的域名/collections/vendors

-------

往期文章推薦：

從16個(gè)DTC 品牌 Facebook 廣告創(chuàng)意中找靈感

女性打造，為女性打造的DTC品牌

哈佛學(xué)霸和美邦二代都押注的「大碼經(jīng)濟(jì)」

連工資都發(fā)不起的DTC品牌是怎么年增長百萬美金的

每天花不到100美元廣告費(fèi)，年增長高達(dá)571%

北美銷量第一的泳裝品牌是這樣煉成的

半年銷量6個(gè)億！Insta360影石憑什么

一個(gè)讓上千美國家庭幫他賣貨的DTC品牌

30天賣出400萬美金的襪子獨(dú)立站是怎樣練成的

這個(gè)賣姨媽巾的獨(dú)立站是怎么靠TikTok免費(fèi)流量爆紅的