Как работает новый фильтр от Яндекса Кликджекинг: практический кейс

С декабря 2015 года сайты, использующие технологию Clickjacking (Кликджекинг), стали терять позиции в Яндексе.

Пессимизация происходит из-за внедрения новых алгоритмов ранжирования и кликджекинг-фильтра для борьбы с мошенниками.

Чем опасен кликджекинг

Кликджекинг проявляет себя в виде незаметных элементов, размещенных на странице поверх видеороликов, кнопок и форм.

Иногда такие элементы перемещаются вслед за курсором. Цель технологии — преобразовать клик пользователя по форме, ссылке или кнопке в необходимое злоумышленнику действие.

Например, пользователь пытается воспроизвести заинтересовавшее его видео, а вместо этого, незаметно для себя, выполняет действие на внешнем сайте, например:

• ставит «лайк»;
• добавляет группу в категорию избранных;
• открывает стороннюю ссылку в новом окне.

Таким способом мошенники пытаются накручивать «лайки», увеличивать количество подписчиков в социальных сетях, собирать профили пользователей.

И, если кликджекинг не блокируется браузером или веб-сайтом, эти обманные механизмы служат для получения данных посетителя страницы из социальных сетей. Впоследствии персональные данные пользователя могут использоваться ему во вред.

Каким образом сайт попадает под фильтр Яндекса и как грамотно снять санкции

1. Условия наложения санкций

Одним из самых распространённых способов попадания сайта под фильтр является использование сторонних сервисов, которые предлагают услуги по "улучшению продаж" или сбору и обработке данных посетителей при помощи определения профилей в социальных сетях. Вредоносный код находится в скрипте, который предлагают разместить у себя на сайте данного рода компании.

Пример такого кода:

Внимание! Часто сервисы, которые предлагают такие услуги, не договаривают об использовании технологии Clickjacking в своей работе. Или прямым текстом это отрицают, вводя своих клиентов в заблуждение.

Пример ниже это подтверждает:

2. Проявление санкций фильтра или влияние кликджекинга на ранжирование

Рассмотрим на реальном кейсе, как именно проявляются санкции алгоритма.

• 10 февраля — дата наложения санкций. Средняя просадка по запросам — примерно 20 пунктов, по сравнению с позицией на 9 февраля.

• Изменения относятся только к поисковой системе Яндекс, в других поисковых системах позиции остались прежними.
• Число страниц в поиске не меняется.

3. Диагностика фильтра или как проверить сайт на Кликджекинг?

Конечно, сама по себе отрицательная динамика по позициям не позволяет однозначно говорить о наложении фильтра именно за использование технологии Clickjacking.

Поэтому Яндекс разработал удобную функцию оповещения в разделе Вебмастера «Фатальные проблемы»: https://beta.webmaster.yandex.ru. Именно здесь появляется сигнал о наложении санкций на сайт за использование кликджекинга.

Также вы можете диагностировать наличие фильтра после диалога с командой Яндекса. В этом кейсе мы использовали оба метода.

3. Снятие фильтра

Теперь посмотрим, как избавиться от фильтра и вернуть сайту прежние позиции.

В нашем примере санкции были наложены 10 февраля.

В этот же день мы приняли меры по удалению вредоносного кода и отправили сообщение в Яндекс об устранении ошибки через панель для вебмастеров: https://beta.webmaster.yandex.ru.

Учтите важный момент: Вы только один раз в 31 день можете воспользоваться сигналом об устранении ошибки.

Поэтому рекомендуем очень тщательно проверить наличие всех вредоносных кодов на сайте, прежде чем отправлять сигнал в Яндекс об устранении проблемы.

В продемонстрированном примере спустя 20 дней (1 марта) после отправки сигнала в Яндекс санкции с сайта были сняты, и позиции вернулись на прежние места. Хотя в документации говорится, что ограничения снимаются в течении двух недель. При повторном обнаружении кликджекинга на сайте срок действия ограничений может быть увеличен.

Еще один важный момент: Яндекс не гарантирует стопроцентное возвращение всех позиций сайта после снятия фильтра.

И это еще один аргумент в пользу серьезного отношения к скриптам, которые вы размещаете на сайте.

Итак, подведем итоги:

• Внимательно относитесь к выбору сервиса услуг для сайтов.

И если вы всё-таки решили воспользоваться подобными услугами, рекомендуем внимательно читать отзывы о сервисе и задавать вопросы о методах его работы. Не стоит безоговорочно верить только рекламному тексту на сайте компании.

• Если ваш ресурс всё же попал под фильтр — тщательно проверяйте код сайта.

И только после этого подавайте команде Яндекса сигнал о том, что проблема решена.