URL hijacking: dirottamento dell’URL

Tramite l’URL hijacking (in italiano “dirottamento dell’URL”) è possibile che il tuo sito venga cancellato dall’indice del rispettivo motore di ricerca e potenziali visitatori e visitatrici avranno più difficoltà a trovarti. Questo fenomeno si verifica soprattutto quando si utilizzano reindirizzamenti al posto di link.

Che cos’è l’URL hijacking?¶

Il termine URL hijacking definisce quel fenomeno per il quale una pagina internet scompare erroneamente dai risultati di un motore di ricerca e viene sostituita da un’altra. Questa altra pagina rimanda con un link all’effettiva pagina di destinazione, quindi all’URL, ma non tramite un link diretto, bensì attraverso un inoltro (chiamato anche redirect, “reindirizzamento” in italiano). Così si rimanda ad esempio da pagina-da-collegare.it a la-tua-pagina.it, ma non con un solito tag HTML <a>, piuttosto che con un reindirizzamento. L’URL per il reindirizzamento appare ad esempio così:

www.pagina-da-collegare.it/redirect.php?target=www.la-tua-pagina.it

Se un motore di ricerca trova un link simile, classifica la pagina da collegare e la pagina di destinazione come identica, il che comporta che una delle due venga rimossa dall’indice. Perciò si orienta in base ai codici di stato HTTP che stabiliscono i reindirizzamenti del dominio.

Mentre il codice 301 (Moved Permanently) definisce un reindirizzamento permanente all’URL inserito, il codice 302 (Found) segnala un reindirizzamento provvisorio all’URL indicato. Con il primo tipo non sorgono difficoltà, mentre con il redirect 302 si manifesta un eventuale URL hijacking. Questi inoltri, così contrassegnati, suggeriscono ai crawler dei motori di ricerca che la pagina di destinazione esisterà solo temporaneamente e che la pagina collegata è in realtà quella originale: non avviene però un controllo volto a verificare se entrambe le pagine abbiano un qualche legame tra di loro. In questo modo viene indicizzata la pagina errata, che prende così il ranking dell’URL collegato.

In quali casi vengono utilizzati i redirect 301 e 302?¶

Ci sono molti motivi che spingono a utilizzare gli inoltri dell’URL. Così i reindirizzamenti permanenti dei domini digitati in modo sbagliato ai domini corretti sono una pratica molto diffusa. Se nella barra degli indirizzi del proprio browser si digita, ad esempio, erroneamente googel.com al posto di google.com, si finisce comunque sull’homepage del famoso motore di ricerca. È frequente anche l’inoltro permanente all’indirizzo corretto della pagina iniziale.

Se visiti, ad esempio, la pagina iniziale di Wikipedia in italiano it.wikipedia.org, un reindirizzamento 301 ti porta direttamente all’URL https://it.wikipedia.org/wiki/Pagina_principale. Inoltre, i webmaster utilizzano inoltri permanenti per reindirizzare automaticamente i visitatori sul nuovo indirizzo web dopo un cambio di dominio o per segnalare appropriatamente i contenuti del progetto web che possiedono un nuovo URL.

Gli inoltri temporanei 302 hanno, invece, essenzialmente, la funzione di presentare i contenuti temporanei su un altro URL, quando questo, ad esempio, deve rimanere disponibile durante le ristrutturazioni alla pagina originale. Se un webmaster genera questo tipo di reindirizzamento manualmente, di solito accade perché si ha l’intento di riportare il contenuto sull’URL originale. Tuttavia, ci sono tre scenari per i reindirizzamenti temporanei, che portano all’URL hijacking o che se lo prefiggono addirittura come obiettivo:

Utilizzo non intenzionale del reindirizzamento 302¶

È possibile che i webmaster rimandino con un inoltro temporaneo a un progetto esterno senza avere cattive intenzioni. Si può trattare di una svista, perché in realtà dovrebbe essere impostato un reindirizzamento permanente. Anche il modulo URL di reindirizzamento (Rewrite Engine) del server web Apache, mod_rewrite, configura per impostazione predefinita inoltri con il codice di stato 302.

URL generati dinamicamente¶

PHP è un componente imprescindibile dello sviluppo web. Gli script lato server in questo popolare linguaggio di programmazione sono una via pratica e facile per generare contenuti dinamici per il proprio sito. Spesso sono però anche gli script PHP che integrano dinamicamente gli indirizzi di destinazione in un URL esistente e utilizzano perciò il codice di stato 302 per gli inoltri temporanei. Questo tipo di script viene soprattutto utilizzato nelle directory per gli indirizzi web, ma anche in molti CMS.

URL hijacking causati volontariamente¶

Anche ai criminali è noto il fenomeno del dirottamento dell’URL, che sfruttano spesso e volentieri a loro favore. Così utilizzano i reindirizzamenti 302 consapevolmente per accelerare l’indicizzazione dei propri contenuti e cercano nel frattempo di “dirottare” le pagine che hanno un ranking particolarmente buono. Questo procedimento non è però né efficiente né legale e ricade nell’ambito della Black Hat SEO.

URL hijacking rispetto ad altri metodi di attacco¶

L’URL hijacking viene spesso confuso con altri metodi di attacco come il domain hijacking o il typosquatting. Tuttavia, si tratta di attacchi diversi che possono essere utilizzati per danneggiare l’utente o il posizionamento del sito web sui motori di ricerca.

URL hijacking e domain hijacking¶

Sebbene sia l’URL hijacking che il domain hijacking siano utilizzati con l’obiettivo di ottenere il controllo di un sito web, i due metodi di attacco differiscono in particolare per l’approccio: nel domain hijacking, gli aggressori mirano a ottenere il controllo di un dominio accedendo ai relativi account di amministrazione. A tal fine, vengono modificate, ad esempio, le impostazioni DNS. In questo modo, gli aggressori possono, nel peggiore dei casi, assumere il controllo di tutto il sito web della vittima.

URL hijacking e typosquatting¶

Come suggerisce il nome, la tecnica di attacco del typosquatting sfrutta specificamente i refusi. Si ricorre al typosquatting in quei casi in cui normalmente si utilizzano i reindirizzamenti per raggiungere il sito web desiderato nel caso di piccoli errori di battitura: gli aggressori registrano domini con tipici errori di battitura per indirizzare i visitatori e le visitatrici al loro sito web, che spesso contiene codice dannoso.

Come proteggere il tuo progetto web dall’URL hijacking¶

Tutti quelli che sono impegnati a migliorare il ranking delle loro pagine web sanno quanto sia impegnativa e quanto tempo richieda questa impresa. Più si scalano posizioni sui motori di ricerca, più un possibile dirottamento delle pagine indicizzate avrà delle gravi ripercussioni. A differenza di un attacco che avviene per via di una vulnerabilità del tuo progetto web, il procedimento dell’URL hijacking è strettamente connesso a una delle discipline classiche della SEO, la link building e perciò non è affatto facile evitarlo ricorrendo a software per la sicurezza.

Di conseguenza è obbligatorio analizzare regolarmente i backlink nuovi e quelli già esistenti, per individuare eventuali URL problematici. A questo scopo esistono innumerevoli strumenti e servizi come quelli presentati qui di seguito:

• SEMrush
• LinkResearchTools,
• SISTRIX
• Google Search Console.

L’ultimo servizio nominato di Google ti offre inoltre uno strumento per rimuovere gli URL, così da eliminare dall’indice di ricerca gli inoltri indesiderati che rimandano alla tua offerta web. Prima dovresti, tuttavia, contattare il webmaster responsabile e pregarlo di sistemare l’inoltro, così rimane la possibilità di poter mantenere i rispettivi backlink. Con il codice di stato 307 (Temporary Redirect), a partire da HTTP 1.1, c’è persino l’opzione per gli inoltri temporanei che non comportano l’URL hijacking.

Se la pagina originale è già scomparsa dall’indice, dopo la sistemazione o la rimozione del backlink dannoso, dovresti contattare il motore di ricerca e richiedere un ripristino del ranking originario.