Что такое кликджекинг и как снять фильтр в Яндекс за него

Подробная информация по диагностике и снятию фильтра за кликджекинг в Яндекс.

В декабре 2015 года Яндекс ввел новый фильтр, который наказывал за так называемый "кликджекинг". В 2016 году вебмастерам и владельцам сайтов пришлось выводить свои сайты из-под фильтра. В статье мы дадим подробные рекомендации по диагностике и снятию этого фильтра.

Что такое кликджекинг

Кликджекинг (от англ. Clickjacking) – это технология обмана пользователей интернета, основанная на том, что на странице кроме видимых элементов располагаются невидимые. Невидимые кнопки, ссылки размещаются поверх видимых кнопок и ссылок - там, где кликают пользователи. Соответственно, по клику происходит действие, которого пользователь не ожидал: например, подписка на какую-то группу в соцсети.

Статья в Википедии о кликджекинге

В Рунете одним из распространенных проявлений кликджекинга стал так называемый "соцфишинг".

Соцфишинг – это одна из технологий определения контактных данных по профилю в социальной сети для пользователя, который зашел на сайт, но не оставлял никаких данных. Для этого нужно выполнить 2 условия: посетитель сайта должен быть авторизован в социальной сети, а также выполнить хотя бы 1 клик на сайте.

Как это работает. Владелец сайта или вебмастер регистрируется в одном из сервисов, использующих соцфишинг, получает код этого сервиса и ставит на свой сайт.

На сайте появляется невидимый слой (фрейм), куда загружается кнопка "Мне нравится" от ВКонтакте, которая следует за курсором. Как только вы где-то кликнете, то автоматически нажмете эту невидимую кнопку. Если вы в браузере авторизованы в социальной сети ВКонтакте, то такое действие поможет сервису определить ваш профиль и получить общедоступные данные профиля (адрес профиля, имя, а также телефон и мейл, если они общедоступны).

После чего эти данные передаются сервису, а он уже продает их владельцу сайта, установившему код. Используя их, вы можете связаться с людьми, которые заходили к вам на сайт. Стоит ли говорить, что они этого не ожидают, ведь они не передавали вам никакие персональные данные?

Результат действия подобного сервиса примерно такой: вам в личные сообщения пишет неизвестный человек и предлагает услугу.

Во всех случаях, что мы видели, подобные сервисы используют именно кликджекинг и Яндекс с этим согласен.

Будьте внимательны! Авторы подобных сервисов могут утверждать, что их скрипт "дружит" с Яндексом, поэтому внимательно изучайте, как работают скрипты, которые устанавливаете себе на сайт. Если сервис предлагает что-то похожее на описанное выше – подумайте и почитайте отзывы о нем.

При этом обычные виджеты соцсетей, конечно же, не являются кликджекингом:

Фильтр за кликджекинг

В декабре 2015 года Яндекс ввел новый фильтр за кликджекинг (новость в блоге Яндекса), который наказывает за использование подобных технологий. Заявлено, что такие сайты будут ранжироваться ниже.

Действительно, после попадания сайта под фильтр он практически по всем запросам проседает примерно на 20 позиций.

29 января 2016 года Яндекс опубликовал новую статью с советами и статистикой: за время работы нового фильтра было обнаружено более 15 000 сайтов, использовавших кликджекинг, а также около 50 сервисов, которые данную технологию предлагали.

Еще ряд важных тезисов из этой статьи:

  1. Алгоритм принимает решение только по актуальным данным. 
  2. Если код кликджекинга не активен – санкций не будет. Алгоритм Яндекса наказывает не за код какого-то сервиса, а за использование технологии.
  3. Многие сайты используют кликджекинг ненамеренно, он просто присутствует в ряде сервисов как дополнительный функционал. Большинство из этих сервисов отключили использование кликджекинга по умолчанию после появления фильтра.

К сожалению, с данным фильтром пришлось столкнуться и нам, поэтому алгоритм снятия фильтра будет дополнен данными реального кейса.

Все началось с того, что по одному из продвигаемых сайтов просели позиции без апдейта 16-го февраля. Просели на 12-28 позиций. В среднем, примерно на 20 позиций – так можно достаточно легко определить санкции такого рода. Позиции проседают по 60-90% запросов.


Динамика позиций проекта (справа-налево)

В нашем случае отслеживалось 394 запроса: в ТОП10 – было 83%, стало 171 – 36%. 57% запросов выпали из ТОП10 Яндекса.

Как определить наличие фильтра за кликджекинг

Мы не знали, что это за фильтр, однако определить его быстро и просто.

Заходим в Яндекс.Вебмастер, раздел "Диагностика" - "Безопасность и нарушения". Если фильтр есть, там будет четко про это написано. Так и было в нашем случае.

Мы также написали в техподдержку Яндекс, которая подтвердила санкции.

Как найти скрипт кликджекинга и проверить сайт?

К сожалению, это может быть непросто, если у вас недостаточно технических навыков. Вы можете делегировать эту задачу специалисту либо воспользоваться инструкцией, приведенной ниже.

Сперва приведем краткую инструкцию от Яндекса:

Если вы не можете определить какой из скриптов может вызывать проблему, определите сперва, какие скрипты подключены на сайте. Для этого зайдите в исходный код сайта (комбинация Ctrl+U в браузере) и поищите в коде следующее (комбинация Ctrl+F в браузере):

  • .js
  • <script
  • base64

Это поможет найти все скрипты. После этого необходимо определить, что это за скрипт, от какого сервиса он и не несет ли этот сервис угрозы.

Если вы найдете в коде скрипт, который содержит base64 – значит используется кодирование данных в ASCII текст и это главный кандидат на проверку. Вот пример кода сервиса, использующего кликджекинг:

Также можно проверить, не подключается ли виджет "Мне нравится" от ВКонтакте. Например, используем плагин Firebug для браузера FireFox и смотрим данные на вкладке Сеть – Все.

Важно! Если вы найдете, что подключаются скрипты от ВКонтакте, это не значит, что у вас используется кликджекинг. Это может быть кнопка "Мне нравится" для сайта.

Пример: нашли, что подключается виджет лайков от vk.com (ищем widget_like_php). Стоит ли паниковать в данном случае?

Нет, ведь на странице есть кнопка, она не скрыта и используется строго по назначению:

В нашем случае мы нашли при проверке вот такой скрипт:

Мы были в курсе, что этот сервис использует кликджекинг, поэтому дальше нужно было его удалить. Но не все может быть так просто.

Посмотрите еще один пример:

В данном случае вроде бы нет ничего подозрительного, просто непонятный код, но есть ссылка на goo.gl – это сервис сокращения ссылок. Если мы пройдем по ссылке, то увидим подключение скрипта. Это более хитрый способ скрытия скрипта от Яндекса, поэтому надо проверять все досконально. Как видим, тут подключается все тот же скрипт.

Отлично, скрипт найден, удаляем его самостоятельно либо поручаем программисту.

Обратите внимание, что скрипт может быть внедрен на сайт с помощью Google Tag Manager, поэтому вы не найдете его в исходном коде. Если GTM установлен на сайте, проверьте содержимое контейнера Google Tag Manager.

Итак, скрипт удален! Что дальше? Идем в Яндекс.Вебмастер и нажимаем кнопку «Все исправил» под сообщением о санкциях. Но сперва убедитесь, что вы действительно устранили проблему и обратите внимание на некоторые нюансы от Яндекса:

После нажатия кнопки вы увидите следующее:

Это только дополнительный способ сообщить об устранении кликджекинга. Алгоритм среагирует после переиндексации сайта. Мы на всякий случай написали в техподдержку после устранения проблемы, но это не поможет – процесс автоматизирован. Вот ответ Яндекса:

Примерный срок снятия санкций, заявленный Яндексом, - 2 недели. В нашем случае это произошло гораздо быстрее.

Но вы можете ускорить переиндексацию сайта с помощью инструмента "Инструменты" - "Переобход страниц" в Яндекс.Вебмастере: можно переиндексировать в приоритетном порядке до 10 страниц в день.

Результат

Проблема была устранена 18 февраля – мы нашли и удалили код.

Позиции вернулись также без апдейта 26 февраля – спустя 8 дней. Сообщение о санкциях в панели вебмастера, тем не менее, осталось еще на 3 дня. Видимо, была задержка с обновлением данных.

Поисковый трафик из Яндекс полностью вернулся.

Сообщение о проблеме пропало.

До наложения фильтра в ТОП10 было 394 запроса – 83% всех запросов, а после снятия фильтра в ТОП10 стало 353 запроса – 74%. 41 запрос из 477 не вернулся в ТОП10 сразу после снятия фильтра. Остальные запросы вернулись на те же позиции с разбежкой в 1-2 позиции по сравнению с позицией до наложения фильтра.

Важно! Яндекс не гарантирует 100% возвращения позиций.

Итоги

Итак, подведем итоги в виде краткого чек-листа. Что делать, если вы обнаружили санкции за кликджекинг либо есть подозрения, что они есть, но вы не уверены?

  1. Убедитесь, что ваш сайт добавлен в Яндекс.Вебмастер и проверьте, есть ли санкции.
  2. Если санкции есть, найдите скрипт кликджекинга либо отключите сторонние сервисы, которые потенциально могут использовать такой функционал.
  3. Если затрудняетесь сделать это самостоятельно – обратитесь к профессионалам, а также напишите в техподдержку Яндекса. На этой странице размещены ответы на вопросов о кликджекинге от Яндекса, а также ссылка на форму обратной связи.
  4. После устранения проблемы отправьте запрос в Яндекс.Вебмастер на снятие санкций и ждите. Дополнительно можете ускорить переиндексацию сайта с помощью инструмента "Переобход страниц".

Ответы на вопросы

Ниже даны ответы на популярные вопросы. Ответы дают представители Яндекса, мы просто собрали их из официальных новостей, чтобы вам не пришлось читать несколько сотен комментариев в поисках полезной информации. В целях экономии времени на чтение вопросы не приведены дословно, а упрощены.

Источники:
https://yandex.ru/blog/webmaster/21745 - 253 комментария
https://yandex.ru/blog/webmaster/chernyy-klikdzheking-s-polnym-ego-razoblacheniem - 119 комментариев

Вопрос 1: будет ли штраф, если вебмастер сделает фон сайта кликабельным, (например, разместит там брендированную рекламу), а пользователь по ошибке туда кликнет.

Вопрос 2: будет ли штраф за «социальный замок», когда полезный контент показывается пользователю в обмен на лайк или репост в соцсети?

Вопрос 3: я использую сервис, в котором есть возможность включить функцию с использованием кликджекинга, но она отключена. Я могу попасть под фильтр?

Вопрос 4: у меня санкции за кликджекинг, но никак не могу найти код у себя на сайте. Что делать?

Вопрос 5: я использовал код кликджекинга в 2015, но уже давно его удалил. Почему сайт под фильтром?

Вопрос 6: я не использую ни одну из указанных систем, использующих соцфишинг, почему сайт под фильтром?

Вопрос 7: можно ли где-то проверить код сервиса, не использует ли он кликджекинг? Авторы сервиса уверяют, что санкций не будет.

Вопрос 8: код ретаргетинга Вконтакте – это кликджекинг?

Полезные материалы

https://yandex.ru/blog/webmaster/21745 - про кликджекинг
https://yandex.ru/support/webmaster-troubleshooting/clickjacking.xml - вопрос-ответ от Яндекса
https://yandex.ru/blog/webmaster/chernyy-klikdzheking-s-polnym-ego-razoblacheniem - как диагностировать (а тут еще комментарии интересные)

Автор: Антон Шабан,
Руководитель группы SEO-специалистов
ARTOX media

ТОП статей и материалов по digital-маркетингу и не только

Делимся десятилетним опытом продвижения и web-исследованиями по отраслям в рассылке

Всего 2 раза в месяц

Нажимая на кнопку Подписаться, я даю согласие на обработку персональных данных

Наш и клиентский опыт в digital за 10 лет по отраслям

Подробности в первом письме

Еще статьи по теме
Продвижение сайта официального дилера KIA

8 Декабря 2017

Продвижение сайта официального дилера KIA

Увеличение органического трафика сайта в 2,3 раза.

Читать далее...
ARTOX media выступит на конференции CyberSERMday 2017

5 Декабря 2017

ARTOX media выступит на конференции CyberSERMday 2017

Влияние репутации на бизнес-показатели компании

Читать далее...
Почему нельзя пропустить Национальный рекламный форум'17?

19 Октября 2017

Почему нельзя пропустить Национальный рекламный форум'17?

ARTOX media – медиапартнер и спикер ключевого digital-события страны

Читать далее...
Контекстная реклама капсульного отеля в Москве

9 Октября 2017

Контекстная реклама капсульного отеля в Москве

Количество бронирований с сайта увеличилось на 22% в месяц

Читать далее...

ОСТАВЬТЕ ЗАЯВКУ И МЫ ОБЯЗАТЕЛЬНО СВЯЖЕМСЯ С ВАМИ

Нажимая на кнопку Отправить, я даю согласие на обработку персональных данных

ОСТАВЬТЕ ЗАЯВКУ И МЫ ОБЯЗАТЕЛЬНО СВЯЖЕМСЯ С ВАМИ

Нажимая на кнопку Отправить, я даю согласие на обработку персональных данных