数百万Shopify网站被黑，已有中国卖家中招，应对方案来啦！（shopify rebellion是什么意思）

原标题：数百万Shopify网站被黑，已有中国卖家中招，应对方案来啦！

导读：一个网站的死去，和一个孩子的溺水一样，都是悄无声息的很多时候，溺水者都是站在水中悄悄死去的，没有呼救、没有挣扎、甚至眼睛都是睁着的，看上去只是在茫然地发呆，生机就在寂静中一分一秒地流逝，一个网站的死去也是这样。

独立站被黑，有时候卖家是并不知情的，只是疑惑为什么最近网站的流量和订单都少了，或者奇怪为什么自己的网站在谷歌排名下降了？却不知道自己的网站已经悄悄被入侵了巨轮上的裂缝：一个Shopify漏洞最近，陆续有卖家反映自己的店铺出现了问题，大多都是通过Shopify建站的独立站卖家。

卖家在自查时会发现一些不属于自己创建的网页被谷歌收录了，而且放的URL都是非常低俗和完全不搭边的广告

显然，这是卖家的网站被黑了。

这样恶劣的攻击手段，可能只开始于Shopify一个小小的bug，就像巨轮上一条的不起眼的裂缝：恶意黑帽者通过利用Shopify网站上的“vendor-供应商名称”搜索查询漏洞，生成以“病毒广告站点”产品详细信息作为标题的假页面，并在垃圾外链站上创建假链接指向这个假页面的URL，最后谷歌对其发现、索引并收录，显示在搜索结果中。

该页面本身并不独立存在，它仅作为目标网站上搜索结果的一部分存在此次攻击方式类似于网站被挂上了木马病毒即黑客找到了网站的漏洞，随后上传文件，文件可以修改网站的代码，把页面变为黑客自己想要的样子或跳转到另外的网站。

这种情况，一般会出现在一些开源网站而Shopify正是这样的开源系统。比如我们进入一个Shopify独立站，在官网首页网址后添加/collections/vendors?q=任意内容。

更可怕的是，这样的攻击总是悄悄发生的，卖家如果不去搜根本发现不了，而这些URL却可以由任何人创建，还会在谷歌的系统上被真实记录，根本防不胜防。

大水灌入：数百万网站被影响如今在谷歌用一些奇怪的关键词或者违禁词进行检索，包括【六合彩】、【病毒广告关键词】【彩票】等等，冒头的几乎都是Shopify站点如果用被黑的网站中出现的病毒广告关键词进行搜索，还会出现更多，。

检索结果高达数百万。

而这些被黑掉的网站大都是同一种URL实际上，这就是Shopify的Collection URL路由规则，也就是说，这些被黑掉的网站都是Shopify卖家们的网站新网站由于被谷歌bot发现、收录和审查需要更多时间，幕后的黑手专刷域名权重高的网站，因此流量越大、时间越久的网站，被收录的垃圾链接越多，这样一来，一搜这些词都排在前面。

目前已经有中国卖家中招，瞬间在卖家群里引起了恐慌：

“shopify不能用了，这只是冰山一角”“这些网站都是shopify建站的”还有卖家自我安慰道：“还好我不靠SEO”但试想一下，网站被黑之后，用户打开网页看到的就是赌博之类的垃圾信息，自然不敢继续购买产品。

有正义感的用户说不定还会反手举报网站，导致网站被搜索引擎列入不受信任的网站，甚至有风险的网站，导致客户大量流失而对于非常依赖谷歌流量的独立站而言，这种攻击可以说是致命的，因为这类垃圾URL收录会严重影响品牌或店铺的声誉、Google对站点的审查，以及网站SEO和用户的体验。

如果被谷歌列入黑名单，网站则很有可能会失去95%的自然谷歌搜索流量，而这会迅速反映到产品销量和收入上Shopify论坛中也已经有不少人注意到了这件事情，在讨论中我们得知：有人利用Shopify的漏洞“collections/vendors?q=XXXXXX”创建了

超过4百万个垃圾邮件链接到谷歌，垃圾链接又触及最佳搜索引擎惩罚机制，现在被黑卖家的网站流量被搜索引擎限制，只有以前的一半还有人的网站现在只有少数人访问，最后一次被访问已经是8个月前了自救手册：独立站风险解决机制。

那么，对于跨境卖家而言，如何确定独立站是否被恶意攻击呢？首先，卖家可以测试密码登录独立站后台，观察是否能正常登录，有无异常其次，可以利用google search console工具关注网站排名情况，如果排名异常下滑，很有可能存在潜在被攻击风险。

另外还有一种更为直观的办法，我们可以利用特殊指令进行高级搜索，来确定站点是否被重新定向到了与卖家独立站无关的其他外部站点一般，可以使用site:指令来把搜索范围限定在你的独立站点中，然后搜寻要找的内容根据此次被黑情况，卖家可以在Google上用高级搜索指令搜索：。

site: example/collections/vendors（将example替换成独立站网站网址）就像此次大规模被黑事件，不查不知道，一查吓一跳，这些信息就悄悄隐藏在你网站的角落里影响着你的排名。

通过分析和部分网站的标注，就可以知道此次被攻击的大部分都是shopfiy的店铺。

另外，跨境卖家也要清楚做病毒广告的不仅有国内的黑帽玩家，还有国外的黑帽玩家。卖家在日常运营中务必要多检查，避免网站被黑还不知道。

（国外）

（被黑网站页面详情）排查到这些问题后，该如何去解决呢？根据Shopify的官方说法，跨境商家可以利用SEO工具软件，来拒绝这些垃圾反向链接首先，可以利用Ahrefs、SEMrush、Moz或 Majestic等工具，将所有不良反向链接收集到一个.txt文件中，然后通过Google拒绝工具提交这些URL。

查找链接是整个流程中最为繁琐的工作，有两种具体的查找垃圾邮件反向链接的工作方法：1、检测链接到您的低质量网站；2、识别锚文本方法一：检测链接到您的低质量网站垃圾反向链接通常来自低质量网站，我们要做的就是找到这些垃圾网站。

这里，我们以Ahrefs工具为例进行讲解（1）将独立站域名复制到Ahrefs站点资源管理器，左侧菜单中找到名为“反向链接配置文件”的选项。在“引用域”报告中将展示出链接到您的所有网站列表。

（2）对网站列表进行排序，即按照DR（域名评级）从低到高然后再对可疑的链接进行调查，尤其是那些有大量外文的域名、明显不属于你的利基市场的网站（3）检测到此类可疑域名之后，单击“反向链接”列下的数字可以获取这个链接的更多详细信息，以此来确定这个链接是真实的最后一步。

一般，如果看起来可疑、不连贯、与网站定位不符，多半就是需要摘出来的垃圾外链对于这些链接，可以收集在.txt文件中

方法二：识别垃圾邮件锚文本另一种查找垃圾邮件反向链接的方法是直接查看锚文本如果有很多相同的与你的网站页面并不相关的锚文本，那这些链接可能就是垃圾邮件，影响你的排名这些查找也可以利用SEO工具，在Ahrefs Site Explorer中，所需的报告称为“Anchors”，位于左侧菜单中。

要查找不良反向链接，点击已识别的可疑锚文本边的“详细信息”按钮，即可获得垃圾邮件引用域名列表

经过上述两种方法收集整理成.txt文档后，就可以登录后上传Google的拒绝工具，Google就会拒绝这些网址根据Google要求，文件格式需注意：·每行只能指定一个要拒绝的域名，要具体，不要拒绝整个子路径；。

·拒绝某个域名（或子域名），请添加“domain:”前缀，例如：domain:example；·文件必须是以 UTF-8 或 7 位 ASCII 编码的文本文件；·文件名必须以 .txt 结尾；·网址长度上限为 2048 个字符；

·文件最多只能包含 10 万行内容（包括空白行和注释行），大小不得超过 2MB；·可以视需要添加注释，只需在注释行开头添加 ＃ 号即可Google 会忽略所有以 ＃ 开头的行需要注意的是，Google也对该行为进行了提示，这是一项高级功能，要谨慎使用，使用不当反而可能会影响网站在Google搜索结果中的排名。

卖家生存启示录：规避风险，保护网站对于很多企业和个人而言，网站是脆弱的互联网巨头同样也有过被人入侵的经历，比如百度、谷歌，还有在2014年号称永不宕机的Facebook因此网上有一种声音：“遇到这样的情况，就把网站关掉吧”。

可越是这样我们越是不应该害怕和妥协，就像我们曾说“不要温和地走进那个良夜”，反抗精神应该是我们灵魂的底色，越是规规矩矩做生意，越要有足够的力量来保护自己首先是要注意网站的安全性，做好网站内容建设、外链建设以及用户体验建设，按照既定的策略进行SEO优化，让网站越来越强大，在搜索引擎那里的信任度和权重越来越高。

信任度及权值高的网站抵抗负面SEO的能力更强，搜索引擎的容忍范围更大，也会给出更长的处理时间——5W条垃圾外链可能会整垮一个小站，但对于一个大型网站，可能压根就没什么影响其次是要定期检查网站的FTP、代码、外链、内容、服务器等等，就算挡不住真正的黑客大神，但对于一般的负面SEO，只要认真检查，还是能及时发现并进行处理的。

而对于查出来的问题，特别是网站内容中的挂马以及垃圾外链，一定要请懂技术的人来彻底解决，该清除的清除，该拒绝的拒绝，把隐患掐死在摇篮里最后，保持善良，千万不要去做黑帽SEO，被眼前的利益引诱走上捷径，殊不知捷径的尽头可能是绝境。

不正当的黑帽SEO只会让网站变得更加脆弱，根植于黑帽SEO的网站本身根基就是有问题的，今天你黑了别人的网站，或许明天就有人给你挂马，那时内因外因一起作用，就是审判的巨剑落下了返回搜狐，查看更多责任编辑：。