Le lezioni su YouTube per imparare a usare in maniera ottimale gli strumenti per webmaster della Search Console di Google ci portano oggi ad affrontare un tema davvero molto delicato, ovvero quello della sicurezza. L’episodio si concentra sull’utilizzo del Rapporto Problemi di sicurezza, che informa e allerta su comportamenti pericolosi e malevoli presenti sui nostri siti.
Visto il topic, il presentatore abituale della serie Search Console Training, il Search Advocate di Google Daniel Waisberg, viene affiancato da una collega della divisione Trust & Safety Policy, Aurora Morales: i due Googler ci guidano quindi alla scoperta di come ricevere gli avvisi sui rapporti dannosi sul nostro sito e sulle azioni da intraprendere per questi problemi di sicurezza.
Che cos’è il Rapporto problemi di sicurezza
Il rapporto Problemi di sicurezza della Google Search Console è uno strumento che lancia un allarme quando Google scopre che il tuo sito è stato violato o presenta un comportamento potenzialmente dannoso per i visitatori o i loro dispositivi.
Gli esempi di compromissione
Questi comportamenti dannosi includono attacchi di phishing o l’installazione di malware o software indesiderati sui device che gli utenti utilizzano per le loro connessioni. Morales si sofferma sulle varie tipologie di problemi di sicurezza, spiegando quali sono le tre tipologie principali:
- Hacked content, contenuto compromesso.
Si tratta di contenuti inseriti all’interno del sito senza la nostra autorizzazione a causa di vulnerabilità nella sicurezza. Ad esempio, un hacker potrebbe iniettare codice maligno nelle pagine per reindirizzare i nostri utenti verso un altro sito o per creare automaticamente pagine sul sito con frasi senza senso riempite di parole chiave.
- Malware e software
È l’immissione di un software progettato per danneggiare un dispositivo o i suoi utenti, responsabile di pratiche ingannevoli, inattese o che influiscono negativamente sull’utente.
- Social engineering o ingegneria sociale.
Rientrano in questa casistica i contenuti generati da cybercriminali che inducono con l’inganno i visitatori a fare qualcosa di pericoloso, ad esempio rivelare informazioni riservate o scaricare software dannoso.
L’elenco dei problemi di sicurezza per i siti
È Aurora Morales a spiegare in dettaglio quali sono i differenti tipi di violazione e hacks e i motivi per i quali gli hackers tentano di prendere controllo di un sito. Prima di tutto, si sofferma a sottolineare che molti di questi problemi si verificano a causa di utilizzo di software obsoleto o di una cattiva gestione delle credenziali di accesso alle risorse del sito, che lasciano “porte aperte” ai malintenzionati.
Gli hacker in genere vanno alla ricerca di segnali tecnici per scoprire e valutare se un sito web è ben protetto o meno, e quando notano che un sito esegue una versione obsoleta di software potrebbero approfittarne per sfruttare una vulnerabilità sconosciuta.
- Gli attacchi con iniezione
Il problema più frequente è quello della cosiddetta iniezione, che si verifica quando un hacker riesce – attraverso un furto di credenziali, software in esecuzione obsoleto e vulnerabile, plug-in o widget di terze parti non affidabili, directory non sicure sul server, o sistemi di sicurezza poco efficaci – ad avere un accesso non autorizzato al CMS o al servizio di hosting di un sito web.
I malintenzionati hanno così la possibilità di rimuovere, modificare o creare nuove pagine sul nostro sito, rubare i dati degli utenti, sfruttare la reputazione del sito per i propri scopi commerciali, inserire nelle pagine codice che esegue operazioni non previste o fare in modo che il webserver partecipi a un attacco denial-of-service contro altri siti.
Ci sono tre modalità di attacco, ovvero iniezione di URL, contenuti e codice: tutte, ricorda la Googler, finiscono per compromettere e danneggiare l’esperienza e il trust degli utenti verso il sito e, alla lunga, nel rovinare la reputazione stessa del brand.
- L’iniezione di URL avviene quando un hacker crea nuove pagine sul sito, che contengono in genere parole o link di spam che possono reindirizzare gli utenti verso altri siti.
- L’iniezione di contenuti si verifica quando un hacker aggiunge link o testo contenente spam alle pagine del sito, come ad esempio keyword non correlate ai contenuti del sito o testo privo di senso.
- L’iniezione di codice si concretizza se un hacker entra nel sito e modifica il codice per cambiare il suo comportamento. Ad esempio, può impostare l’invio di email spam, oppure inserire reindirizzamenti a un sito dannoso o l’esecuzione di software di cryptomining sul browser mentre la pagina è aperta.
- Gli attacchi di ingegneria sociale
Il secondo gruppo di problemi rientra nella sfera del social engineering, le cui tecniche ingannevoli spingono gli utenti a compiere azioni pericolose online, come rivelare informazioni sensibili o scaricare software maligni. Anche il phishing è un esempio di queste pratiche.
Il sistema Google Safe Browsing (Google Navigazione sicura) cerca di proteggere gli utenti avvertendoli in anticipo se stanno per cliccare su un sito sospetto o se stanno per scaricare file dannosi; quando il sistema rileva che un sito web presenta un contenuto ingannevole, il browser Chrome potrebbe mostrare un’immagine a tutta pagina che blocca la navigazione dei visitatori allertandoli sui rischi che corrono nel proseguire con i clic.
Altri esempi di attacchi di social engineering sono:
- Contenuti ingannevoli, se il sito presenta pagine che fingendo di essere entità attendibili inducono con l’inganno i visitatori a fare qualcosa di pericoloso, come rivelare password o numero di carta di credito.
- ADS ingannevoli, quando il sito include pubblicità ingannevoli o risorse incorporate che spingono con l’inganno i visitatori a pensare di avere software obsoleto e, pertanto, a scaricare altro software indesiderato o veri e propri malware, proponendosi come una fonte affidabile (e ottenendo in genere anche l’inserimento di dati riservati).
- I problemi di download insoliti o indesiderati
A volte, un sito può proporre agli utenti un download che Google Navigazione sicura non ha mai visto prima; in questi casi di download insolito, Chrome potrebbe identificare il file come malware o software indesiderato e segnalarlo di conseguenza agli utenti. Se però successivamente Google scopre che i file sono sicuri, rimuoverà automaticamente la segnalazione.
Nel caso di download indesiderati – quelli certamente identificati come malware o software indesiderato – invece, la rimozione del messaggio di allarme arriva solo quando noi stessi rimuoviamo questi download dal sito.
- Fatturazione con reti mobili non chiara
In questo caso, Google rileva che il sito non informa in modo adeguato gli utenti in merito agli addebiti per l’uso di reti mobili, e di conseguenza Chrome potrebbe mostrare un avviso prima del caricamento di una pagina che comporta addebiti.
- Malware
Frequenti sono anche i casi di siti infettati o che ospitano malware di un hacker malintenzionato, sotto forma di un software, di un’applicazione per dispositivi mobili o di uno script pensati appositamente per danneggiare un computer, un dispositivo mobile, il software in esecuzione o gli utenti stessi che li scaricano in maniera volontaria o inconsapevole.
Cosa succede ai siti compromessi
Google ha un sistema di segnalazione di questi problemi agli utenti: quando un sito è stato compromesso per manipolare le classifiche di ricerca, può comparire una etichetta con l’indicazione “Questo sito potrebbe essere stato violato” che avverte gli utenti direttamente nei risultati di ricerca.
Quando invece un sito è stato hackerato per danneggiare gli utenti, i browser che hanno abilitato la tecnologia Google Safe Browsing possono visualizzare pagine di avviso interstitial o alert quando l’utente prova a visitarli o quando vengono scaricati i file, ad esempio, per avvertire i visitatori che stanno per accedere a siti web dannosi e pericolosi.
Google Safe Browsing può anche etichettare i risultati di ricerca rischiosi in SERP, segnalando ad esempio che “questo sito può danneggiare il tuo computer”.
Come scoprire le pagine danneggiate
I report della Google Search Console ci possono aiutare a scoprire se il nostro sito è stato colpito da attacchi hacker, quali sono le pagine che presentano problemi di sicurezza e come risolverli in maniera efficace.
In caso di problemi di sicurezza su sito verificato in Search Console, il proprietario riceve una email con un avviso e un link per ottenere maggiori informazioni per risolvere la questione. Quindi, consiglia Waisberg, è importante “leggere le email in modo attento e scoprire questi avvisi al più presto possibile”, così da attuare interventi di correzione rapidi e limitare i danni.
L’uso del security issues report
Se la mail ci è sfuggita – o come attività routinaria per verificare la salute del sito – possiamo comunque ritrovare tutte le informazioni sulla sicurezza anche nella dashboard della Search Console, che già nella schermata di Panoramica segnala con un banner in evidenza nella parte alta della pagina la presenza di problemi di sicurezza sul sito.
Cliccando sul messaggio saremo indirizzati al Rapporto problemi di sicurezza, in cui troveremo il conteggio di tutti i security issues presenti sul nostro sito – mentre se non ci sono problemi compare un segno di spunta verde e un messaggio appropriato.
Ovviamente, qui sono elencati solo i problemi riscontrati da Google, che “fa del suo meglio per controllare i problemi di sicurezza più comuni, ma dovreste comunque tenere gli occhi aperti”, suggerisce Waisberg.
Ricostruire la storia della sicurezza di un sito
Il rapporto ci consente anche di navigare nel pannello Messaggi e scegliere la categoria Problemi di sicurezza per vedere tutti i messaggi che sono stati inviati al sito web in passato rispetto a questo tema. Si tratta di una funzione molto utile per ricostruire la storia di un sito, soprattutto in caso di recente acquisizione di un sito web già esistente o di lavoro su commissione di un nuovo cliente, perché ci permette di scoprire il contesto storico del progetto e se ha “questioni in sospeso”.
Come risolvere i problemi di sicurezza
Il video descrive anche il processo consigliato per correggere un problema di sicurezza sul sito e comunicarlo a Google.
- Espandiamo la descrizione del problema nel rapporto Problemi di sicurezza e leggiamo i dettagli contenuti nel link “Ulteriori informazioni”, che riportano informazioni particolareggiate e i passaggi per risolvere il problema.
- Valutiamo se riteniamo di poter intervenire personalmente o se necessitiamo di supporto esterno.
- Usiamo il campione di pagine interessate fornito nella sezione dei dettagli per intervenire sul problema.
L’elenco fornito da Google non è necessariamente completo, ma è appunto un campione di pagine del sito che sono interessate dal problema. A volte, potremmo trovare un problema di sicurezza senza URL di esempio: ciò non significa che nessuna pagina è colpita, ma che Google, per qualche motivo, non ha potuto generare esempi specifici per quel caso.
- Risolviamo il problema in tutte le pagine del sito. Concentrarci a correggere solo alcune pagine non garantisce la soluzione completa, quindi non dobbiamo escludere alcuna pagina.
- Se il rapporto elenca più problemi di sicurezza sul sito, correggiamoli tutti.
- Penultimo step è la fase di test delle correzioni.
- Quando abbiamo corretto tutti i problemi elencati nel rapporto in tutte le pagine e siamo sicuri del risultato, possiamo selezionare il pulsante Richiedi esame nel rapporto Problemi di sicurezza. La richiesta di riconsiderazione a Google deve contenere le correzioni introdotte e, per essere efficace, deve soddisfare tre criteri:
- spiega con precisione il problema di qualità del sito;
- descrive la procedura attuata per risolvere il problema;
- documenta il risultato delle contromisure adottate.
Nota. Per approfondire come Google gestisce le penalizzazioni manuali per web spam e come funziona il processo di riconsiderazione e revisione, Waisberg invita a recuperare il video esplicativo di John Mueller di cui abbiamo parlato anche noi sul blog.
La revisione dei siti
In genere, gli esami relativi alla riconsiderazione durano alcuni giorni, ma in alcuni casi possono richiedere anche una settimana o due di lavoro. Google segnala via mail aggiornamenti sullo stato della richiesta, dal momento dell’invio (per confermare che l’esame è in corso) fino al completamento del processo.
Dobbiamo quindi pazientare e non inviare una nuova richiesta senza aver prima ricevuto la decisione finale per quella già attiva, e anzi questa pratica è sconsigliata per due motivi: può allungare i tempi di risposta per la richiesta successiva e, soprattutto, può portare a un’etichetta di “trasgressore recidivo” da parte di Google, che interpreta come non risolti i problemi di sicurezza segnalati.
Problemi di cloaking
Si potrebbe verificare un caso particolare, quando andiamo a investigare le pagine del sito che Google ha contrassegnato come “a rischio compromissione”, ovvero non riuscire a vedere l’head content negli URL forniti dalla Search Console.
Come spiega Waisberg, questo potrebbe essere un esempio di cloaking, una delle più note violazioni delle Istruzioni per i webmaster di Google (spesso usata come tattica di black hat SEO), che rende più difficile la pulizia di un sito web perché mostra contenuti diversi agli utenti rispetto a quelli forniti ai motori di ricerca.
Ad esempio, una pagina del sito potrebbe avere un head content che non riusciamo a visualizzare lato utente, e questo potrebbe farci superficialmente pensare che la Search Console abbia inviato un messaggio sbagliato segnalando il problema. In realtà, un motore di ricerca come Google che accede alla stessa pagina potrebbe trovarvi testo spammy nascosto e link nocivi, da rimuovere al più presto.