Vad är URL-kapning och hur kan du förhindra det?
URL-kapning kan leda till att din webbplats raderas från sökmotorernas index och döljs för potentiella besökare. Detta fenomen uppstår ofta när omdirigeringar används istället för länkar.
Vad är URL-kapning?
Begreppet URL-kapning beskriver ett fenomen där en webbplats försvinner från sökmotorresultaten och ersätts av en annan. Denna andra webbplats länkar till den faktiska målsidan eller URL:en med hjälp av en omdirigering. Till exempel länkar linked-site.com till your-site.com men använder en omdirigering istället för den vanliga HTML-taggen <a>. Den omdirigerade URL:en ser ut ungefär som i följande exempel:
www.linked-site.com/redirect .php?target=www.your-site.comNär en sökmotor hittar en sådan länk kategoriserar den den länkade webbplatsen och målsidan som identiska, vilket innebär att den tar bort en av dem från indexet. Den orienterar sig utifrån HTTP-statuskoder som är kopplade till omdirigeringen.
Medan kod 301 (flyttad permanent) anger en permanent omdirigering från den angivna URL:en, anger kod 302 (hittad) en tillfällig omdirigering till den angivna URL:en. Den första typen är oproblematisk, men 302-omdirigeringen är den främsta orsaken till URL-kapning. Dessa välgjorda omdirigeringar antyder för sökmotorernas crawler att målsidan endast är tillfällig och att den länkade sidan faktiskt är originalet – och crawlern kontrollerar aldrig om sidorna faktiskt är relaterade eller inte. Om detta inte kontrolleras indexeras fel sida och får rankningen för den länkade URL:en.
När används 301- och 302-omdirigeringar?
Det finns många olika skäl till att använda URL-omdirigering. Som ett resultat av detta är permanent omdirigering av felstavade domäner till rätt domän en utbredd praxis. Om du till exempel av misstag skriver googel.com istället för google.com i adressfältet i din webbläsare kommer du ändå att dirigeras till den populära sökmotorens startsida. Permanent omdirigering till rätt adress för huvudsidan är inte heller ovanligt.
Om du till exempel besöker huvudsidan för den engelskspråkiga versionen av Wikipedia och skriver in en.wikipedia.org, kommer du att omdirigeras till en.wikipedia.org/wiki/Main_Page via en 301-omdirigering. Utvecklare använder också permanent omdirigering för att leda besökare till den nya webbadressen efter ett domänbyte eller för att identifiera innehållet i ett webbprojekt som har fått en ny URL.
Tillfälliga 302-omdirigeringar används däremot främst för att tillfälligt visa innehåll från en annan URL så att det förblir tillgängligt, till exempel om den ursprungliga sidan är under underhåll. Om en utvecklare manuellt skapar denna typ av omdirigering är avsikten att innehållet senare ska visas på den ursprungliga URL:en igen. Det finns tre scenarier för tillfälliga omdirigeringar som kan leda till URL-kapning, varav ett används avsiktligt för detta ändamål:
Oavsiktlig användning av 302-omdirigering
Det är fullt möjligt för utvecklare att länka till ett annat webbprojekt med en tillfällig omdirigering utan att ha onda avsikter. Det kan vara ett misstag där de avsåg att ställa in en permanent omdirigering. URL-omskrivningsmotorn i Apache-webbservern, mod_rewrite, ställer in standardomdirigeringar med statuskoden 302.
Dynamiskt genererade URL:er
PHP är ett mycket använt skriptspråk för webbutveckling. Serverskripten i detta programmeringsspråk är ett enkelt och praktiskt sätt att skapa dynamiskt innehåll för din webbplats. Men ofta är det också PHP-skript som dynamiskt integrerar måladresser i en befintlig URL med hjälp av den tillfälliga vidarebefordringsstatuskoden 302. Denna typ av skript används främst i webbadresskataloger, men också i många innehållshanteringssystem.
Avsiktlig URL-kapning
Brottslingar vet också hur man använder URL-kapning, och de utnyttjar det gärna. De använder medvetet 302-omdirigeringar för att främja sitt eget innehåll i indexet och för att “kidnappa” särskilt välrankade sidor. Taktiken är varken hållbar eller laglig och faller under begreppet black hat SEO.
URL-kapning jämfört med andra attackmetoder
URL-kapning förväxlas ofta med andra attackmetoder såsom domänkapning eller typosquatting. Det rör sig i själva verket om olika typer av attacker som kan användas för att skada dig eller din webbplats ranking.
URL-kapning kontra domänkapning
Även om både URL-kapning och domänkapning används i syfte att få kontroll över en webbplats, skiljer sig de två attackmetoderna åt, särskilt när det gäller deras tillvägagångssätt:
Domänkapning innebär att angripare tar kontroll över en domän genom att få tillgång till domänhanteringskontona, till exempel genom att ändra DNS-inställningarna. I värsta fall kan angripare ta över offrets hela webbnärvaro.
URL-kapning kontra typosquatting
Som namnet antyder utnyttjar attacktekniken typosquatting stavfel. Omdirigeringar används normalt för att hjälpa besökaren att komma till önskad webbplats trots mindre stavfel, men det är här typosquatting smyger sig in. Angripare registrerar medvetet domäner med vanliga stavfel för att dirigera besökare till sin webbplats, som ofta innehåller skadlig kod.
Hur du skyddar din webbplats från URL-kapning
Webbplatsoperatörer som försöker förbättra rankningen för sin webbplats vet hur utmanande och tidskrävande processen är. Ju högre du klättrar i sökmotorrankningen, desto större är risken att dina indexerade sidor kapas. Till skillnad från en attack som sker på grund av säkerhetsbrister i ett webbprojekt är processen för URL-kapning nära kopplad till den grundläggande SEO-disciplinen länkbyggande, så den kan inte bara förebyggas med hjälp av antivirusprogram.
Därför är det oerhört viktigt att regelbundet analysera både nya och befintliga bakåtlänkar för att filtrera bort problematiska URL:er. Det finns ett antal verktyg och tjänster som du kan använda för detta, bland annat:
Google tillhandahåller ett verktyg för att ta bort URL:er som gör att du kan radera oönskade omdirigeringar som länkar till din webbplats från sökindexet. Innan du gör det bör du alltid kontakta webbplatsadministratören som ansvarar för webbplatsen och be om att få justera omdirigeringen. På så sätt finns det en chans att behålla motsvarande bakåtlänkar. Statuskoden 307 (Temporary Redirect) har ett alternativ för tillfällig vidarebefordran som inte leder till URL-kapning, vilket har funnits sedan HTTP 1.1. Om den ursprungliga webbplatsen redan saknas i indexet bör du kontakta sökmotortillverkaren och be om att de ursprungliga rankningarna återställs när du har omarbetat eller raderat den skadade bakåtlänken.