导读：一个网站的死去，和一个孩子的溺水一样，都是悄无声息的。

很多时候，溺水者都是站在水中悄悄死去的，没有呼救、没有挣扎、甚至眼睛都是睁着的，看上去只是在茫然地发呆，生机就在寂静中一分一秒地流逝，一个网站的死去也是这样。

独立站被黑，有时候卖家是并不知情的，只是疑惑为什么最近网站的流量和订单都少了，或者奇怪为什么自己的网站在谷歌排名下降了？却不知道自己的网站已经悄悄被入侵了。

最近，陆续有卖家反映自己的店铺出现了问题，大多都是通过Shopify建站的独立站卖家。卖家在自查时会发现一些不属于自己创建的网页被谷歌收录了，而且放的URL都是非常低俗和完全不搭边的广告。

显然，这是卖家的网站被黑了。

这样恶劣的攻击手段，可能只开始于Shopify一个小小的bug，就像巨轮上一条的不起眼的裂缝：

恶意黑帽者通过利用Shopify网站上的“vendor-供应商名称”搜索查询漏洞，生成以“病毒广告站点”产品详细信息（比如上图中的“Betkings66.com”）作为标题的假页面，并在垃圾外链站上创建假链接指向这个假页面的URL，最后谷歌对其发现、索引并收录，显示在搜索结果中。该页面本身并不独立存在，它仅作为目标网站上搜索结果的一部分存在。

此次攻击方式类似于网站被挂上了木马病毒。即黑客找到了网站的漏洞，随后上传文件，文件可以修改网站的代码，把页面变为黑客自己想要的样子或跳转到另外的网站。这种情况，一般会出现在一些开源网站。

而Shopify正是这样的开源系统。比如我们进入一个Shopify独立站，在官网首页网址后添加/collections/vendors?q=任意内容，达成这样的模式：

https://www.example.com/collections/vendors?q=

页面就会显示出你所添加的内容（注：URL中的“?q=”向url结构的第一部分中的网站发送搜索查询，它可以搜索URL之后的任何内容）。

更可怕的是，这样的攻击总是悄悄发生的，卖家如果不去搜根本发现不了，而这些URL却可以由任何人创建，还会在谷歌的系统上被真实记录，根本防不胜防。

如今在谷歌用一些奇怪的关键词或者违禁词进行检索，包括【六合彩】、【病毒广告关键词】【彩票】等等，冒头的几乎都是Shopify站点。如果用被黑的网站中出现的病毒广告关键词进行搜索，还会出现更多，检索结果高达数百万。

而这些被黑掉的网站大都是同一种URL：

https://www.examplesite.com/collections/vendors?q=

实际上，这就是Shopify的Collection URL路由规则，也就是说，这些被黑掉的网站都是Shopify卖家们的网站。新网站由于被谷歌bot发现、收录和审查需要更多时间，幕后的黑手专刷域名权重高的网站，因此流量越大、时间越久的网站，被收录的垃圾链接越多，这样一来，一搜这些词都排在前面。

目前已经有中国卖家中招，瞬间在卖家群里引起了恐慌：

“shopify不能用了，这只是冰山一角”

“这些网站都是shopify建站的”

还有卖家自我安慰道：“还好我不靠SEO”。

但试想一下，网站被黑之后，用户打开网页看到的就是赌博之类的垃圾信息，自然不敢继续购买产品。有正义感的用户说不定还会反手举报网站，导致网站被搜索引擎列入不受信任的网站，甚至有风险的网站，导致客户大量流失。

而对于非常依赖谷歌流量的独立站而言，这种攻击可以说是致命的，因为这类垃圾URL收录会严重影响品牌或店铺的声誉、Google对站点的审查，以及网站SEO和用户的体验。如果被谷歌列入黑名单，网站则很有可能会失去95%的自然谷歌搜索流量，而这会迅速反映到产品销量和收入上。

Shopify论坛中也已经有不少人注意到了这件事情，在讨论中我们得知：有人利用Shopify的漏洞“collections/vendors?q=XXXXXX”创建了超过4百万个垃圾邮件链接到谷歌，垃圾链接又触及最佳搜索引擎惩罚机制，现在被黑卖家的网站流量被搜索引擎限制，只有以前的一半。还有人的网站现在只有少数人访问，最后一次被访问已经是8个月前了。

那么，对于跨境卖家而言，如何确定独立站是否被恶意攻击呢？

首先，卖家可以测试密码登录独立站后台，观察是否能正常登录，有无异常。

其次，可以利用google search console工具关注网站排名情况，如果排名异常下滑，很有可能存在潜在被攻击风险。

另外还有一种更为直观的办法，我们可以利用特殊指令进行高级搜索，来确定站点是否被重新定向到了与卖家独立站无关的其他外部站点。

一般，可以使用site:指令来把搜索范围限定在你的独立站点中，然后搜寻要找的内容。根据此次被黑情况，卖家可以在Google上用高级搜索指令搜索：

site: example.com/collections/vendors

（将example替换成独立站网站网址）

就像此次大规模被黑事件，不查不知道，一查吓一跳，这些信息就悄悄隐藏在你网站的角落里影响着你的排名。

这些被攻击的网站，大部分的域名格式都为：

https://www.example.com/collections/vendors?q=

通过分析和部分网站的标注，就可以知道此次被攻击的大部分都是shopfiy的店铺。

另外，跨境卖家也要清楚做病毒广告的不仅有国内的黑帽玩家，还有国外的黑帽玩家。卖家在日常运营中务必要多检查，避免网站被黑还不知道。

（国外）

（被黑网站页面详情）

排查到这些问题后，该如何去解决呢？

根据Shopify的官方说法，跨境商家可以利用SEO工具软件，来拒绝这些垃圾反向链接。

首先，可以利用Ahrefs、SEMrush、Moz或Majestic等工具，将所有不良反向链接收集到一个.txt文件中，然后通过Google拒绝工具提交这些URL。

查找链接是整个流程中最为繁琐的工作，有两种具体的查找垃圾邮件反向链接的工作方法：1、检测链接到您的低质量网站；2、识别锚文本。

方法一：检测链接到您的低质量网站

垃圾反向链接通常来自低质量网站，我们要做的就是找到这些垃圾网站。这里，我们以Ahrefs工具为例进行讲解。

（1）将独立站域名复制到Ahrefs站点资源管理器，左侧菜单中找到名为“反向链接配置文件”的选项。在“引用域”报告中将展示出链接到您的所有网站列表。

（2）对网站列表进行排序，即按照DR（域名评级）从低到高。然后再对可疑的链接进行调查，尤其是那些有大量外文的域名、明显不属于你的利基市场的网站。

（3）检测到此类可疑域名之后，单击“反向链接”列下的数字可以获取这个链接的更多详细信息，以此来确定这个链接是真实的最后一步。一般，如果看起来可疑、不连贯、与网站定位不符，多半就是需要摘出来的垃圾外链。对于这些链接，可以收集在.txt文件中。

方法二：识别垃圾邮件锚文本

另一种查找垃圾邮件反向链接的方法是直接查看锚文本。如果有很多相同的与你的网站页面并不相关的锚文本，那这些链接可能就是垃圾邮件，影响你的排名。

这些查找也可以利用SEO工具，在Ahrefs Site Explorer中，所需的报告称为“Anchors”，位于左侧菜单中。要查找不良反向链接，点击已识别的可疑锚文本边的“详细信息”按钮，即可获得垃圾邮件引用域名列表。

经过上述两种方法收集整理成.txt文档后，就可以登录后上传Google的拒绝工具，Google就会拒绝这些网址，文件上传网址：

https://search.google.com/search-console/disavow-links

根据Google要求，文件格式需注意：

• 每行只能指定一个要拒绝的域名，要具体，不要拒绝整个子路径；

• 拒绝某个域名（或子域名），请添加“domain:”前缀，例如：domain:example.com；

• 文件必须是以 UTF-8 或 7 位 ASCII 编码的文本文件；

• 文件名必须以 .txt 结尾；

• 网址长度上限为 2048 个字符；

• 文件最多只能包含 10 万行内容（包括空白行和注释行），大小不得超过 2MB；

• 可以视需要添加注释，只需在注释行开头添加 ＃ 号即可。Google 会忽略所有以 ＃ 开头的行。

示例：

需要注意的是，Google也对该行为进行了提示，这是一项高级功能，要谨慎使用，使用不当反而可能会影响网站在Google搜索结果中的排名。

对于很多企业和个人而言，网站是脆弱的。互联网巨头同样也有过被人入侵的经历，比如百度、谷歌，还有在2014年号称永不宕机的Facebook。因此网上有一种声音：“遇到这样的情况，就把网站关掉吧”。可越是这样我们越是不应该害怕和妥协，就像我们曾说“不要温和地走进那个良夜”，反抗精神应该是我们灵魂的底色，越是规规矩矩做生意，越要有足够的力量来保护自己。

首先是要注意网站的安全性，做好网站内容建设、外链建设以及用户体验建设，按照既定的策略进行SEO优化，让网站越来越强大，在搜索引擎那里的信任度和权重越来越高。信任度及权值高的网站抵抗负面SEO的能力更强，搜索引擎的容忍范围更大，也会给出更长的处理时间——5W条垃圾外链可能会整垮一个小站，但对于一个大型网站，可能压根就没什么影响。

其次是要定期检查网站的FTP、代码、外链、内容、服务器等等，就算挡不住真正的黑客大神，但对于一般的负面SEO，只要认真检查，还是能及时发现并进行处理的。而对于查出来的问题，特别是网站内容中的挂马以及垃圾外链，一定要请懂技术的人来彻底解决，该清除的清除，该拒绝的拒绝，把隐患掐死在摇篮里。

最后，保持善良，千万不要去做黑帽SEO，被眼前的利益引诱走上捷径，殊不知捷径的尽头可能是绝境。不正当的黑帽SEO只会让网站变得更加脆弱，根植于黑帽SEO的网站本身根基就是有问题的，今天你黑了别人的网站，或许明天就有人给你挂马，那时内因外因一起作用，就是审判的巨剑落下了。

“关注大数跨境公众号，后台回复【独立站】，进Shopify卖家交流群，掌握独立站被黑最新动态及应对办法”