С конца 2015 года Яндекс установил новый фильтр на кликджекинг. Что это такое и как с ним справиться, расскажем далее.
Что это такое?
Clickjacking – это способ обмануть пользователя, который предполагает расстановку не только видимых, но и скрытых элементов. Это могут быть кнопки, ссылки, расположенные поверх основных. При переходе юзер попадает на сторонний сайт, а вовсе не туда, куда ему было нужно. Из самых простых – подписка на группу, из сложных – переход по вирусной ссылке.
На просторах российских ресурсов распространено другое явление, которое относят к кликджекингу. Это соцфишинг – технология, которая позволяет получить контакты, основываясь на социальной сети. Действие происходит на стороннем источнике, где читатель не оставил номера для связи. Чтобы реализовать эту возможность, нужно быть зарегистрированным в сети, и кликнуть хотя бы раз по любому полю.
Рассмотрим подробнее: на портале размещается код сервиса соцфишинга, что позволяет создать невидимый слой (фрейм). По нему движется кнопка «Мне нравится», которая перемещается вместе с курсором. Если вы нажмете на любое место на странице, она сработает. Далее проверяется, если авторизованная страничка в ВК, ОК и т.д., и оттуда технология получает общедоступные адрес, телефон, e-mail и т.д.
Вся полученная информация сохраняется в базе, и сервис продает ее владельцу или вебмастеру, установившему код. По ней можно найти человека, который просматривал страничку. Потом обычно его отыскивают в соцсети, и предлагают свою услугу. Сказать, что это неожиданно – не сказать ничего.
Яндекс согласен, что соцфишинг – это одна из категорий кликджекинга, и является неправомерным способом получения информации. Он уточняет, что получить ее через куки просто невозможно. Сам алгоритм поиска такого явления позволяет установить не способ обмана, а сам факт его наличия.
Если вы пользуетесь такими услугами, будьте уверены, что с вероятностью 99% боты Яндекса обнаружат код. Даже если сервис утверждает, что он «дружит» с поисковиком, не верьте ему. Перед установкой любого скрипта внимательно изучите его, почитайте отзывы.
И еще одно замечание – обычные виджеты не относятся к категории clickjacking. Разница заключается в том, что виджет пользователь видит, и может воспользоваться им осознанно. А кликджекинг предполагает создание прозрачного, невидимого слоя, в котором содержится указанный линк. И при нажатии в этом случае вы случайно даете доступ к своей информации.
Фильтры
С декабря 2015 года ограничения были наложены на множество источников. Результатом стало понижение на 20 пунктов, т.е. портал остался в выдаче, но при этом оказался как минимум на третьей странице.
Спустя месяц специалисты Yandex выпустили статью с полезными советами, как избежать их, включили в нее статистику. За это время было обнаружено 15 тысяч ресурсов, которые недобросовестно получали номера телефонов и адреса почты, и 50 сервисов с предложением установить кодировку. Также в ней указывалось:
- Проверка проходит в режиме реального времени.
- Если кликджекинг есть, но он неактивен, санкций не будет – распознается факт обмана, а не наличие сторонних кодов.
- Многие владельцы даже не знают о его наличии, т.к. он идет в ряде сервисов, как дополнительный функционал. После появления санкций эти сервисы в основном отключили функцию.
Рассмотрим на реальном примере. На продвигаемом сайте просаживаются позиции в среднем на 10-30 пунктов, это касается 60-90% запросов. На практике оказалось, что около 57% запросов из ТОП-10 опустилось на третий или четвертый лист выдачи.
Как понять, что это связано с кликджекингом?
Определить его можно быстро и легко – для этого перейдите в Вебмастер, зайдите в меню «Диагностика», перейдите в раздел «Безопасность и нарушения». Если сработала какая-то санкция, об этом будет написано здесь. Можно также обратиться в службу поддержки, часто ответ приходит аналогичный.
Что делать?
Далее самостоятельно найдите и устраните проблему. Но часто сделать это сложно и проблематично, этим занимаются специалисты, которые работают по специальной инструкции.
- Определить, какие внешние сервисы используются на странице, изучить их функции и возможности.
- Использовать средства для разработчиков, чтобы понять, какие действия приводят к переходам на сторонние порталы, в том числе соцсети.
- Установить сниффер, и пройти еще раз предыдущий пункт на уровне соцсети.
Если проблема так и не обнаружена, найдите все подключенные скрипты в исходном коде (Ctrl+U), и проконтролируйте наличие комбинаций .js или base64 (используйте сочетание клавиш Ctrl+F). Из этого списка проверяются все пункты, чтобы определить, зачем они нужны, и какую роль играют. Например, для base64 – это кодирование ASCII, и его анализируют в первую очередь. Вот как это выглядит:
Обратите внимание, что виджет Вконтакте может быть подключен и намерено, и он не будет скрытым. Отключать его не обязательно.
Есть еще один вариант внедрения – через Google Tag Manager. Его не будет видно в исходном коде, поэтому проверка производится непосредственно в GTM.
После того, как вы все удалили, переходим снова в Вебмастер, и нажимаем «Я все исправил». Но обратите внимание, воспользоваться ею можно только раз в месяц, поэтому внимательно проверьте, действительно ли вы устранили проблему. Если повторное нажатие снова приведет к наложению санкций, срок увеличится до трех месяцев.
Если источник принадлежит сразу нескольким людям, определитесь, кто и когда отправит его на перепроверку. Кнопка будет работать у всех синхронно.
Далее происходит переиндексация, и вы получаете уведомление, что рейтинг, возможно, не будет прежним. Все зависит от качества контента.
Уведомлять техподдержку или просить ускорить процесс проверки бесполезно – все происходит автоматически. В среднем на это требуется около 2 недель, но все зависит от загруженности. Часто санкции снимаются гораздо быстрее.
Для ускорения индексации можно воспользоваться инструментом «Переобход страниц», здесь можно задать до 10 ссылок в день.
Результат
В конкретном примере на устранение проблем потребовалось 2 дня, а уже через 10 дней с момента падения позиций они вернулись на место. Но в Вебмастере уведомление еще оставалось в течение 2 дней после снятия ограничений, после его исчезло. Трафик вернулся на предыдущие позиции, диагностика не показала никаких проблем.
Изменения: в ТОП-10 пропало 9% запросов сразу после снятия ограничений, остальные вернулись приблизительно на то же место.
Что нельзя считать кликджекингом?
К этой группе относятся только те элементы, которые работают скрытно. Все открытые ссылки и переходы нельзя считать санкционными. Можно пользоваться:
- шифрами для ретаргетинга от ВК – так собирается информация для контекстной рекламы в социальной сети, но данные обезличены;
- социальным замком – продолжить чтение можно только после публикации статьи в соцсети, но при этом личные данные не собираются;
- Push-сообщениями – небольшой текст, который появляется во всплывающем окне, он не собирает данные, и показывается только после разрешения пользователя;
- комментариями через соцсеть – они не должны быть скрытыми и не должны влиять на положение портала в выдаче.
Мы рекомендуем не доверять сервисам:
- Userclick.su;
- Leadvisit.ru;
- Socfishing.ru;
- Sochunt.ru;
- Lptracker.ru;
- Soceffect.ru;
- Socbox.ru.
Подведем итог
Чтобы узнать, не попал ли ваш ресурс под фильтр, и снять его:
- Проверьте соответствующие записи в Вебмастере.
- Найдите скрипт и отключите его.
- Отправьте запрос на проверку или проведите переиндексацию вручную.
Внятного ответа относительно кликабельного фона страницы служба поддержки не дала, только уточнила, что лучше сделать все элементы максимально понятными для юзера, чтобы нажатие на них не приводило к неожиданным последствиям.
Если найти самостоятельно проблемный скрипт не удалось, можно обратиться в поддержку. Или свяжитесь с нами, мы проведем аудит, и проверим, что именно не понравилось поисковым ботам.