Как сэкономить время при продвижении сайта?
SEO Wiki / Кликджекинг

Кликджекинг

Кликджекинг (clickjacking) – обманная технология, основанная на размещении вызывающих какие-то действия невидимых элементов на сайте поверх видимых активных (кнопки, воспроизведение видео и т. д.). В результате пользователь, сам того не зная, совершает что-то, что не входило в его планы. Например, собирается воспроизвести видео, но подписывается на чью-то рассылку.

Цель кликджекинга может быть любой – от более-менее безобидной накрутки лайков в социальных сетях или подписчиков до скрытого получения персональных данных, совершения покупок за чужой счет и т. д. Чаще всего идет взаимодействие через социальные сети: лайки, вступления в сообщества, кражу личных данных из профиля.

Отношение поисковых систем

Яндекс относит кликджекинг к факторам, негативно влияющим на ранжирование сайта, потому что технология в той или иной степени наносит вред пользователям.

При обнаружении использования обманной технологии позиции сайта в органической выдаче Яндекса понизятся, пока не прекратится использование кликджекинга.

Отмечают проседание позиций на 20–30 пунктов и заметное снижение поискового трафика по брендовым запросам.

Ограничения в ранжировании снимаются в течение двух неделей после устранения проблемы. В редких случаях нужен срок немного больше.

Наложение санкций за кликджекинг отображается в разделе «Безопасность и нарушения» в Яндекс.Вебмастере.

В Яндекс.Браузере сайт будет показываться с предупреждением, что может заметно сказываться на кликабельности.

Решение о наложении санкций применяется только по актуальным данным. То есть использование кликджекинга, например, месяц назад не сказывается на его сегодняшнем положении в выдаче Яндекса.

Если код обманной технологии есть, но неактивен, ограничения в ранжировании на поиске Яндекса не будет.

Google официально не понижает позиции сайта в выдаче, но замеченные в использовании ресурсы исключаются из контекстно-медийной сети, их владельцы не смогут зарабатывать на размещении рекламы от Гугла.

Риски

Не все владельцы сайтов знают, что на их ресурсе используется кликджекинг. Он может быть добавлен незаметно вместе с любым кодом неизвестного происхождения.

Разработчики не афишируют, что применяют кликджекинг. А результат его работы, например кражу персональных данных, могут выдавать как цель, достигаемую другими методами.

Так, например, кликджекинг используют некоторые сервисы, обещающие повысить продажи с сайта с помощью идентификации посетителей через профили в социальных сетях. Контакты пользователя сохраняются в системе и употребляются для рассылки спама, осуществления навязчивых звонков и т. д.

При решении вопроса о добавлении какого-либо кода на сайт должны насторожить следующие обещания разработчика:

  • идентифицировать пользователей по аккаунтам в социальных сетях;
  • предоставлять информацию, которую пользователь явно не указывает.

Сервисы, оказывающие подобные услуги, необязательно используют кликджекинг, так как есть и другие, легальные технологии, не обманывающие пользователей и не вызывающие понижение в ранжировании в Яндексе. Но недобросовестные разработчики могут на самом деле применять и кликджекинг, выдавая за него другую методику. Поэтому нужно проверять работу всех добавляемых на сайт элементов.

Код может быть размещен осознанно или нет не только владельцем сайта. Технологию могут внедрить злоумышленники, взломав ресурс.

Как обнаружить кликджекинг

Если в Вебмастере Яндекса появилось сообщение, что сайт использует обманную технологию, нужно выявить элементы, содержащие вредоносный код.

Найти их можно с помощью специального софта или вручную.

Пример софта – расширение Clickjacking Reveal для браузера Google Chrome. Нужно произвести установку, на исследуемом сайте открыть Developer Tools (Ctrl + Shift + I), обновить страницу (Ctrl + F5). Расширение найдет вредоносный код. Если он есть, откроется вкладка Source. В ней будут указаны скрипты, использующие обманную технологию.

Чтобы найти кликджекинг вручную, нужно выявить скрытые элементы. Для этого используется консоль браузера. Во время проверки нужно быть авторизованным в какой-нибудь социальной сети.

Необходимо выполнить следующие действия:

  1. Авторизоваться в соцсети (например, во «ВКонтакте»).
  2. Очистить cookies сайта в браузере.
  3. Открыть консоль (сочетание клавиш Ctrl + Shift + I или Ctrl + Shift + K для Mozilla Firefox).
  4. Загрузить исследуемую страницу.
  5. Произвести какие-нибудь действия, имитируя активность обычного пользователя.
  6. Посмотреть, есть ли обращение к социальной сети. Для этого на вкладке «Сеть» в консоли нужно поискать записи, соответствующие событиям соцсети. Для «ВКонтакте» это widget_auth.php – авторизация, widget_like.php – лайк.
  7. Далее нужно найти код, вызывающий подгрузку скрытых элементов. Во вкладке «Инспектор» нужно найти фрагменты кода, обращающиеся к социальным сетям. Каждый элемент нужно проверить: относится он к видимому или скрытому участку. Для этого достаточно навести курсор и посмотреть выделенную область экрана.
  8. Если на вкладке «Сеть» есть обращение к социальным сетям, а во вкладке «Инспектор» не удается обнаружить вызывающий его фрагмент кода, – это кликджекинг.
  9. Выявить код можно, последовательно удаляя сомнительные фрагменты, проверяя при этом, не исчезло ли обращение к социальным сетям. Особое внимание следует уделить элементам script, iframe и object.

Если найден код, являющийся причиной кликджекинга, его нужно удалить. Предварительно рекомендуется сохранять резервную копию сайта, чтобы случайно не нарушить работу каких-то необходимых и безопасных для пользователей элементов.

После устранения кода кликджекинга нужно зайти в раздел «Безопасность и нарушения» в Вебмастере Яндекса и нажать на кнопку «Я все исправил», чтобы быстрее произошла повторная проверка.

Что не относится к кликджекингу

Внедрение санкций со стороны Яндекса за кликджекинг вызвало много вопросов о некоторых размещаемых на сайтах элементах. Что не попадает под определение и может использоваться:

  • код для ретаргетинга из «ВКонтакте». При его установке собирается информация о том, что на сайте смотрел пользователь, а потом в соцсети ему демонстрируется «догоняющая» реклама. Так как все данные обезличены, это не кликджекинг;
  • формы для оставления комментариев через социальную сеть. Если они не скрытые, то не попадают под определение и не влияют на положение сайта в выдаче Яндекса;
  • социальный замок. Делает недоступной часть контента, пока ссылкой на страничку не поделятся в соцсети. Такой замок не собирает данные, и пользователь о нем знает, поэтому никаких санкций.

Не любое взаимодействие сайта с социальной сетью может относиться к кликджекингу. Обманная технология – это только та, которая работает без ведома пользователей, скрыта от них, тайно получает данные, которые они не собирались о себе сообщать, или заставляет неосознанно совершать незапланированные действия. За использование легальных технологий, обращающихся к соцсетям, со стороны Яндекса нет санкций.

Rookee — простой способ поднять сайт в ТОП поисковых систем
Узнать
Подписывайтесь на «Новости SEO рынка»
Нажимая кнопку, вы подтверждаете свое согласие на
обработку персональных данных.