URL hijacking

Ottenere un buon posizionamento sui motori di ricerca è di importanza vitale per il successo di un progetto web. Se le vostre pagine compaiono tra i primi risultati di ricerca, avete molte possibilità che gli utenti dei motori di ricerca trovino e visitino il vostro sito. Non per niente l’ottimizzazione per i motori di ricerca rientra da anni tra le discipline più importanti nello sviluppo web.

Da una parte è necessario trovare le keyword adatte e integrarle nel sito, dall’altra è richiesto di realizzare la struttura delle pagine in modo ottimale per la valutazione da parte dei motori di ricerca. Uno scopo aggiuntivo è quello di aumentare la propria link popularity, generando backlink su pagine esterne, cioè link che rimandano al vostro progetto web.

Dopo aver messo in piedi la struttura di base SEO, ci si aspetta un aumento del flusso di visitatori che si mette in moto, di solito, in presenza di un concept ben calibrato. Se, malgrado l’ottimizzazione per i motori di ricerca, non si registra alcun aumento o nel lungo periodo perdete addirittura traffico, ciò può voler dire che le vostre misure SEO non attecchiscono. Esiste però anche la possibilità che tramite l’URL hijacking (in italiano “dirottamento dell’URL”) le vostre pagine siano state cancellate dall’indice del rispettivo motore di ricerca e che ciò vi abbia tenuto nascosti ai potenziali visitatori.

Il termine URL hijacking definisce quel fenomeno per il quale una pagina Internet scompare erroneamente dai risultati di un motore di ricerca e viene sostituita da un’altra. Questa altra pagina rimanda con un link all’effettiva pagina di destinazione, quindi all’URL, ma non tramite un link diretto, bensì attraverso un inoltro (chiamato anche redirect, “reindirizzamento” in italiano). Così si rimanda ad esempio da pagina-da-collegare.it a la-mia-pagina.it, ma non con un solito tag HTML <a>, piuttosto con un inoltro. L’URL per il reindirizzamento appare ad esempio così:

Se un motore di ricerca trova un link simile, classifica la pagina da collegare e la pagina di destinazione come identica, cosa che ha come conseguenza il fatto che una delle due venga rimossa dall’indice. Perciò si orienta in base ai codici di stato HTTP che stabiliscono i reindirizzamenti.

Mentre il codice 301 (Moved Permanently) definisce un reindirizzamento permanente all’URL inserito, il codice 302 (Found) segnala un reindirizzamento provvisorio all’URL indicato. Con il primo tipo non sorgono difficoltà, mentre con il redirect 302 si manifesta un eventuale URL hijacking. Questi inoltri, così contrassegnati, suggeriscono ai crawler dei motori di ricerca che la pagina di destinazione esisterà solo temporaneamente e che la pagina collegata è in realtà quella originale: non avviene però un controllo volto a verificare se entrambe le pagine abbiano un qualche legame tra di loro. In questo modo viene indicizzata la pagina errata, che prende così il ranking dell’URL collegato.

Ci sono molti motivi che spingono a utilizzare gli inoltri dell’URL. Così i reindirizzamenti permanenti dei domini digitati in modo sbagliato ai domini corretti sono una pratica molto diffusa. Se nella barra degli indirizzi del proprio browser si digita, ad esempio, erroneamente googel.com al posto di google.com, si finisce comunque sull’homepage del famoso motore di ricerca. È frequente anche l’inoltro permanente all’indirizzo corretto della pagina iniziale.

Se visitate, ad esempio, la pagina iniziale di Wikipedia in italiano it.wikipedia.org, un redirect 301 vi porta direttamente all’URL https://it.wikipedia.org/wiki/Pagina_principale. Inoltre i webmaster utilizzano inoltri permanenti per reindirizzare automaticamente i visitatori sul nuovo indirizzo web dopo un cambio di dominio o per segnalare appropriatamente i contenuti del progetto web che possiedono un nuovo URL.

Gli inoltri temporanei 302 hanno, invece, essenzialmente, la funzione di presentare i contenuti temporanei su un altro URL, quando questo, ad esempio, deve rimanere disponibile durante le ristrutturazioni alla pagina originale. Se un webmaster genera questo tipo di deviazione manualmente, di solito accade perché si ha l’intento di riportare il contenuto sull’URL originale. Tuttavia, ci sono tre scenari per i redirect temporanei, che portano all’ URL hijacking o che se lo prefiggono addirittura come obiettivo:

1. Utilizzo non intenzionale del redirect 302: è possibile che i webmaster rimandino con un inoltro temporaneo a un progetto esterno senza avere cattive intenzioni. Si può trattare di una svista, perché in realtà dovrebbe essere impostato un redirect permanente. Anche il modulo URL di reindirizzamento (Rewrite-Engine) del web server Apache, mod_rewrite, imposta di default deviazioni con il codice di stato 302.


2. URL generati dinamicamente: il PHP è un componente imprescindibile dello sviluppo web. Gli script lato server in questo popolare linguaggio di programmazione sono una via pratica e facile per generare contenuti dinamici per il proprio sito. Spesso sono però anche gli script PHP che integrano dinamicamente gli indirizzi di destinazione in un URL esistente e utilizzano perciò il codice di stato 302 per gli inoltri temporanei. Questo tipo di script viene soprattutto utilizzato nelle directory per gli indirizzi web, ma anche in molti CMS.


3. URL hijacking causati volontariamente: anche ai criminali è noto il fenomeno del dirottamento dell’URL, che sfruttano spesso e volentieri a loro favore. Così utilizzano i redirect 302 consapevolmente per accelerare l’indicizzazione dei propri contenuti e cercano nel frattempo di “dirottare” le pagine che hanno un ranking particolarmente buono. Questo procedimento non è però né efficiente né legale e ricade nell’ambito della Black Hat SEO.

Tutti quelli che sono impegnati a migliorare il ranking delle loro pagine web sanno quanto sia impegnativa e quanto tempo richieda questa impresa. Più scalate posizioni sui motori di ricerca, più un possibile dirottamento delle pagine indicizzate avrà delle gravi ripercussioni. A differenza di un attacco, che avviene per via di una vulnerabilità del vostro progetto web, il procedimento dell’URL hijacking è strettamente connesso a una delle discipline classiche della SEO, la link building e perciò non è affatto facile evitarla ricorrendo a software per la sicurezza.

Di conseguenza è obbligatorio analizzare regolarmente i backlink nuovi e quelli già esistenti, per individuare eventuali URL problematici. A questo scopo esistono innumerevoli tool e servizi come SEMrush, LinkResearchTools, SISTRIX o la Google Search Console.

L’ultimo servizio nominato di Google vi offre inoltre un tool per rimuovere gli URL, così da eliminare dall’indice di ricerca gli inoltri indesiderati che rimandano alla vostra offerta web. Prima dovreste, tuttavia, contattare il webmaster responsabile e pregarlo di sistemare l’inoltro, così rimane la possibilità di poter mantenere i rispettivi backlink. Con il codice di stato 307 (Temporary Redirect), a partire dall’HTTP 1.1, c’è persino l’opzione per gli inoltri temporanei che non comportano l’URL hijacking.

Se la pagina originale è già scomparsa dall’indice, dopo la sistemazione o la rimozione del backlink dannoso, dovreste contattare il motore di ricerca e richiedere un ripristino del ranking originario.