Ziua în care Google a decis că site-ul unui client vinde produse contrafăcute din China.
O poveste reală din intervențiile noastre de securitate, despre unul dintre cele mai greu de detectat tipuri de atac: cloaking-ul.
Un client a observat o scădere de 90% a traficului organic, fără nicio schimbare vizibilă pe site. Google Search Console arăta un avertisment de securitate și zeci de pagini indexate recent, cu conținut spam în caractere chinezești — deși site-ul, accesat normal din browser, arăta complet curat.
Explicația: site-ul afișa conținut diferit vizitatorilor umani față de Googlebot. Regula de redirecționare era ascunsă în fișierul .htaccess, iar cauza rădăcină era o vulnerabilitate de deserializare PHP, exploatată printr-un plugin abandonat de ani de zile, pe care nimeni din echipa clientului nu-l mai folosea activ.
Ce a făcut acest incident deosebit de greu de detectat: scanările standard de malware, care caută semnături de fișiere cunoscute, nu au găsit nimic — pentru că nu exista niciun fișier nou, evident malițios. Atacatorii au refolosit codul deja existent pe server, într-un mod neintenționat de dezvoltatorii lui originali, pentru a genera dinamic conținutul fals servit către motorul de căutare.
Remedierea tehnică — eliminarea regulilor malițioase, dezinstalarea pluginului vulnerabil, scanare completă — a fost partea rapidă. Recuperarea completă a traficului a necesitat și o solicitare explicită de reevaluare în Search Console, proces care a mai durat câteva zile după ce site-ul era deja curat.
Lecția pe care o aplicăm consecvent de atunci: un plugin abandonat, neactualizat, rămâne un risc real chiar și atunci când pare complet inofensiv. Verificarea periodică și eliminarea plugin-urilor abandonate e parte standard din toate auditurile noastre de securitate.
Povestea completă a investigației, cu toate detaliile tehnice, e pe blogul nostru.
O poveste reală despre cloaking, un plugin abandonat și o vulnerabilitate de deserializare PHP — cum am descoperit și rezolvat un atac inviz















