t. +7 (495) 620-58-99
+7 (495) 620-58-99Оставить заявку
/
/
Что такое кликджекинг и как снять фильтр в Яндекс за него
Блог
7048
12.01.2017
Яндекс

Что такое кликджекинг и как снять фильтр в Яндекс за него

В декабре 2015 года Яндекс ввел новый фильтр, который наказывал за так называемый "кликджекинг". В 2016 году вебмастерам и владельцам сайтов пришлось выводить свои сайты из-под фильтра. В статье мы дадим подробные рекомендации по диагностике и снятию этого фильтра.

Что такое кликджекинг

Кликджекинг (от англ. Clickjacking) – это технология обмана пользователей интернета, основанная на том, что на странице кроме видимых элементов располагаются невидимые. Невидимые кнопки, ссылки размещаются поверх видимых кнопок и ссылок - там, где кликают пользователи. Соответственно, по клику происходит действие, которого пользователь не ожидал: например, подписка на какую-то группу в соцсети.
определение кликджекинга от Яндекса

В Рунете одним из распространенных проявлений кликджекинга стал так называемый "соцфишинг".

Соцфишинг – это одна из технологий определения контактных данных по профилю в социальной сети для пользователя, который зашел на сайт, но не оставлял никаких данных. Для этого нужно выполнить 2 условия: посетитель сайта должен быть авторизован в социальной сети, а также выполнить хотя бы 1 клик на сайте.

Как это работает. Владелец сайта или вебмастер регистрируется в одном из сервисов, использующих соцфишинг, получает код этого сервиса и ставит на свой сайт.

На сайте появляется невидимый слой (фрейм), куда загружается кнопка "Мне нравится" от ВКонтакте, которая следует за курсором. Как только вы где-то кликнете, то автоматически нажмете эту невидимую кнопку. Если вы в браузере авторизованы в социальной сети ВКонтакте, то такое действие поможет сервису определить ваш профиль и получить общедоступные данные профиля (адрес профиля, имя, а также телефон и мейл, если они общедоступны).

После чего эти данные передаются сервису, а он уже продает их владельцу сайта, установившему код. Используя их, вы можете связаться с людьми, которые заходили к вам на сайт. Стоит ли говорить, что они этого не ожидают, ведь они не передавали вам никакие персональные данные?

Результат действия подобного сервиса примерно такой: вам в личные сообщения пишет неизвестный человек и предлагает услугу.

пример соцфишинга

Во всех случаях, что мы видели, подобные сервисы используют именно кликджекинг и Яндекс с этим согласен.

определение соцфишинга от Яндекс

Будьте внимательны! Авторы подобных сервисов могут утверждать, что их скрипт "дружит" с Яндексом, поэтому внимательно изучайте, как работают скрипты, которые устанавливаете себе на сайт. Если сервис предлагает что-то похожее на описанное выше – подумайте и почитайте отзывы о нем.

При этом обычные виджеты соцсетей, конечно же, не являются кликджекингом:

Яндекс о виджетах соц. сетей

Фильтр за кликджекинг

В декабре 2015 года Яндекс ввел новый фильтр за кликджекинг (новость в блоге Яндекса), который наказывает за использование подобных технологий. Заявлено, что такие сайты будут ранжироваться ниже.

Действительно, после попадания сайта под фильтр он практически по всем запросам проседает примерно на 20 позиций.

29 января 2016 года Яндекс опубликовал новую статью с советами и статистикой: за время работы нового фильтра было обнаружено более 15 000 сайтов, использовавших кликджекинг, а также около 50 сервисов, которые данную технологию предлагали.

Еще ряд важных тезисов из этой статьи:

  • Алгоритм принимает решение только по актуальным данным.
  • Если код кликджекинга не активен – санкций не будет. Алгоритм Яндекса наказывает не за код какого-то сервиса, а за использование технологии.
  • Многие сайты используют кликджекинг ненамеренно, он просто присутствует в ряде сервисов как дополнительный функционал. Большинство из этих сервисов отключили использование кликджекинга по умолчанию после появления фильтра.

К сожалению, с данным фильтром пришлось столкнуться и нам, поэтому алгоритм снятия фильтра будет дополнен данными реального кейса.

Все началось с того, что по одному из продвигаемых сайтов просели позиции без апдейта 16-го февраля. Просели на 12-28 позиций. В среднем, примерно на 20 позиций – так можно достаточно легко определить санкции такого рода. Позиции проседают по 60-90% запросов.

динамика позиций
Динамика позиций проекта (справа-налево)

В нашем случае отслеживалось 394 запроса: в ТОП10 – было 83%, стало 171 – 36%. 57% запросов выпали из ТОП10 Яндекса.

Как определить наличие фильтра за кликджекинг

Мы не знали, что это за фильтр, однако определить его быстро и просто.

Заходим в Яндекс.Вебмастер, раздел "Диагностика" - "Безопасность и нарушения". Если фильтр есть, там будет четко про это написано. Так и было в нашем случае.

сообщение в Яндекс.Вебмастер

Мы также написали в техподдержку Яндекс, которая подтвердила санкции.

ответ тех. поддержки Яндекса

Как найти скрипт кликджекинга и проверить сайт?

К сожалению, это может быть непросто, если у вас недостаточно технических навыков. Вы можете делегировать эту задачу специалисту либо воспользоваться инструкцией, приведенной ниже.

Сперва приведем краткую инструкцию от Яндекса:

инструкция от Яндекс

Если вы не можете определить какой из скриптов может вызывать проблему, определите сперва, какие скрипты подключены на сайте. Для этого зайдите в исходный код сайта (комбинация Ctrl+U в браузере) и поищите в коде следующее (комбинация Ctrl+F в браузере):

  • .js;
  • base64.
поиск скриптов

Это поможет найти все скрипты. После этого необходимо определить, что это за скрипт, от какого сервиса он и не несет ли этот сервис угрозы.

Если вы найдете в коде скрипт, который содержит base64 – значит используется кодирование данных в ASCII текст и это главный кандидат на проверку. Вот пример кода сервиса, использующего кликджекинг:

отслеживающий скрипт

Также можно проверить, не подключается ли виджет "Мне нравится" от ВКонтакте. Например, используем плагин Firebug для браузера FireFox и смотрим данные на вкладке Сеть – Все.

Важно! Если вы найдете, что подключаются скрипты от ВКонтакте, это не значит, что у вас используется кликджекинг. Это может быть кнопка "Мне нравится" для сайта.

Пример: нашли, что подключается виджет лайков от vk.com (ищем widget_like_php). Стоит ли паниковать в данном случае?

поиск скрипта в консоли

Нет, ведь на странице есть кнопка, она не скрыта и используется строго по назначению:

кнопка лайков

В нашем случае мы нашли при проверке вот такой скрипт:

подозрительный скрипт в консоли

Мы были в курсе, что этот сервис использует кликджекинг, поэтому дальше нужно было его удалить. Но не все может быть так просто.

Посмотрите еще один пример:

подозрительный отслеживающий скрипт

Отлично, скрипт найден, удаляем его самостоятельно либо поручаем программисту.

Обратите внимание, что скрипт может быть внедрен на сайт с помощью Google Tag Manager, поэтому вы не найдете его в исходном коде. Если GTM установлен на сайте, проверьте содержимое контейнера Google Tag Manager.

Итак, скрипт удален! Что дальше? Идем в Яндекс.Вебмастер и нажимаем кнопку «Все исправил» под сообщением о санкциях. Но сперва убедитесь, что вы действительно устранили проблему и обратите внимание на некоторые нюансы от Яндекса:

исправления в Яндекс.Вебмастер

После нажатия кнопки вы увидите следующее:

сигнал отправлен

Это только дополнительный способ сообщить об устранении кликджекинга. Алгоритм среагирует после переиндексации сайта. Мы на всякий случай написали в техподдержку после устранения проблемы, но это не поможет – процесс автоматизирован. Вот ответ Яндекса:

ожидание переиндексации

Примерный срок снятия санкций, заявленный Яндексом, - 2 недели. В нашем случае это произошло гораздо быстрее.

Но вы можете ускорить переиндексацию сайта с помощью инструмента "Инструменты" - "Переобход страниц" в Яндекс.Вебмастере: можно переиндексировать в приоритетном порядке до 10 страниц в день.

переобход страниц

Результат

Проблема была устранена 18 февраля – мы нашли и удалили код.

Позиции вернулись также без апдейта 26 февраля – спустя 8 дней. Сообщение о санкциях в панели вебмастера, тем не менее, осталось еще на 3 дня. Видимо, была задержка с обновлением данных.

Поисковый трафик из Яндекс полностью вернулся.

возвращение трафикка

Сообщение о проблеме пропало.

диагностика сайта

До наложения фильтра в ТОП10 было 394 запроса – 83% всех запросов, а после снятия фильтра в ТОП10 стало 353 запроса – 74%. 41 запрос из 477 не вернулся в ТОП10 сразу после снятия фильтра. Остальные запросы вернулись на те же позиции с разбежкой в 1-2 позиции по сравнению с позицией до наложения фильтра.

Важно! Яндекс не гарантирует 100% возвращения позиций.

Итоги

Итак, подведем итоги в виде краткого чек-листа. Что делать, если вы обнаружили санкции за кликджекинг либо есть подозрения, что они есть, но вы не уверены?

  • Убедитесь, что ваш сайт добавлен в Яндекс.Вебмастер и проверьте, есть ли санкции.
  • Если санкции есть, найдите скрипт кликджекинга либо отключите сторонние сервисы, которые потенциально могут использовать такой функционал.
  • Если затрудняетесь сделать это самостоятельно – обратитесь к профессионалам, а также напишите в техподдержку Яндекса.
  • После устранения проблемы отправьте запрос в Яндекс.Вебмастер на снятие санкций и ждите. Дополнительно можете ускорить переиндексацию сайта с помощью инструмента "Переобход страниц".

Ответы на вопросы

Ниже даны ответы на популярные вопросы. Ответы дают представители Яндекса, мы просто собрали их из официальных новостей, чтобы вам не пришлось читать несколько сотен комментариев в поисках полезной информации. В целях экономии времени на чтение вопросы не приведены дословно, а упрощены.

Источники:
https://yandex.ru/blog/webmaster/21745 - 253 комментария
https://yandex.ru/blog/webmaster/chernyy-klikdzheking-s-polnym-ego-razoblacheniem - 119 комментариев
Вопрос 1: будет ли штраф, если вебмастер сделает фон сайта кликабельным, (например, разместит там брендированную рекламу), а пользователь по ошибке туда кликнет.
ответ про кликабельный фон
Вопрос 2: будет ли штраф за «социальный замок», когда полезный контент показывается пользователю в обмен на лайк или репост в соцсети?
ответ про "социальный замок"
Вопрос 3: я использую сервис, в котором есть возможность включить функцию с использованием кликджекинга, но она отключена. Я могу попасть под фильтр?
ответ про социальный сервис
Вопрос 4: у меня санкции за кликджекинг, но никак не могу найти код у себя на сайте. Что делать?
ответ про поиск скрипта
Вопрос 5: я использовал код кликджекинга в 2015, но уже давно его удалил. Почему сайт под фильтром?
ответ про удаленный скрипт
Вопрос 6: я не использую ни одну из указанных систем, использующих соцфишинг, почему сайт под фильтром?
ответ про фильтр
Вопрос 7: можно ли где-то проверить код сервиса, не использует ли он кликджекинг? Авторы сервиса уверяют, что санкций не будет.
ответ про проверку кода сервиса
Вопрос 8: код ретаргетинга Вконтакте – это кликджекинг?
ответ про код ретаргетинга

Полезные материалы

https://yandex.ru/blog/webmaster/21745 - про кликджекинг
https://yandex.ru/support/webmaster-
https://yandex.ru/blog/webmaster/chernyy-klikdzheking-s-polnym-ego-razoblacheniem - как диагностировать (а тут еще комментарии интересные)