Wat is URL-kaping en hoe kunt u dit voorkomen?

URL-kaping kan ervoor zorgen dat uw website uit de index van een zoekmachine wordt verwijderd en verborgen blijft voor potentiële bezoekers. Dit fenomeen doet zich vaak voor wanneer omleidingen worden gebruikt in plaats van links.

Wat is URL-kaping?

Het concept van URL-kaping beschrijft een fenomeen waarbij een website uit de resultaten van een zoekmachine verdwijnt en wordt vervangen door een andere. Deze andere site linkt naar de daadwerkelijke doelpagina of URL met behulp van een omleiding. Bijvoorbeeld: linked-site.com linkt naar your-site.com, maar gebruikt een omleiding in plaats van de gebruikelijke HTML-tag <a>. De omgeleide URL ziet er ongeveer zo uit als in het volgende voorbeeld:

www.linked-site.com/redirect .php?target=www.your-site.com

Wanneer een zoekmachine een dergelijke link vindt, categoriseert hij de gelinkte site en de doelsite als identiek, wat betekent dat hij een van de twee uit de index verwijdert. Hij baseert zich daarbij op HTTP-statuscodes, die aan de omleiding zijn gekoppeld.

Terwijl code 301 (permanent verplaatst) een permanente omleiding van de opgegeven URL aangeeft, geeft code 302 (gevonden) een tijdelijke omleiding naar de opgegeven URL aan. Het eerste type is geen probleem, maar de 302-omleiding is de belangrijkste reden voor URL-kaping. Deze goed gemaakte omleidingen suggereren aan de crawler van de zoekmachine dat de doelsite slechts tijdelijk is en dat de gelinkte pagina eigenlijk de originele is – en de crawler controleert nooit of de sites daadwerkelijk aan elkaar gerelateerd zijn of niet. Als dit niet wordt gecontroleerd, wordt de verkeerde pagina geïndexeerd en neemt deze de ranking van de gelinkte URL over.

Wanneer worden 301- en 302-omleidingen gebruikt?

Er zijn tal van redenen om URL-omleiding te gebruiken. Daarom is het permanent omleiden van domeinen met typefouten naar het juiste domein een wijdverbreide praktijk. Als u bijvoorbeeld per ongeluk googel.com in plaats van google.com in de adresbalk van uw browser typt, wordt u toch naar de startpagina van de populaire zoekmachine geleid. Permanent omleiden naar het juiste adres van de hoofdpagina is ook niet ongebruikelijk.

Als u bijvoorbeeld de hoofdpagina van de Engelstalige versie van Wikipedia bezoekt door en.wikipedia.org in te typen, wordt u via een 301-redirect naar en.wikipedia.org/wiki/Main_Page geleid. Ontwikkelaars gebruiken permanente redirects ook om bezoekers naar het nieuwe webadres te leiden na een domeinwijziging of om de inhoud van een webproject te identificeren dat een nieuwe URL heeft gekregen.

Tijdelijke 302-omleidingen worden daarentegen voornamelijk gebruikt om tijdelijk inhoud van een andere URL weer te geven, zodat deze beschikbaar blijft, bijvoorbeeld als de oorspronkelijke pagina wordt onderhouden. Als een ontwikkelaar dit type omleiding handmatig aanmaakt, is het de bedoeling dat de inhoud later weer op de oorspronkelijke URL verschijnt. Er zijn drie scenario’s voor tijdelijke omleidingen die kunnen leiden tot URL-kaping, waarvan er één opzettelijk voor dit doel wordt gebruikt:

Onbedoeld gebruik van de 302-omleiding

Het is heel goed mogelijk dat ontwikkelaars zonder kwade bedoelingen naar een ander webproject linken met een tijdelijke omleiding. Het kan een fout zijn waarbij ze een permanente omleiding wilden instellen. De URL-rewrite-engine van de Apache-webserver, mod_rewrite, stelt standaardomleidingen in met de statuscode 302.

Dynamisch gegenereerde URL’s

PHP is een veelgebruikte scripttaal voor webontwikkeling. De serverscripts in deze programmeertaal zijn een eenvoudige en praktische manier om dynamische inhoud voor uw website te creëren. Maar vaak zijn dit ook PHP-scripts die doeladressen dynamisch integreren in een bestaande URL met behulp van de tijdelijke doorverwijzingsstatuscode 302. Dit soort scripts wordt voornamelijk gebruikt in webadresgidsen, maar ook in veel contentmanagementsystemen.

Opzettelijke URL-kaping

Criminelen weten ook hoe ze URL-kaping moeten gebruiken en maken daar graag gebruik van. Ze gebruiken bewust 302-omleidingen om hun eigen content in de index naar voren te brengen en om bijzonder goed gerangschikte pagina’s te ‘kapen’. Deze tactiek is niet duurzaam en ook niet legaal en valt onder de term black hat SEO.

URL-kaping versus andere aanvalsmethoden

URL-kaping wordt vaak verward met andere aanvalsmethoden, zoals domeinkaping of typosquatting. Dit zijn echter verschillende soorten aanvallen die kunnen worden gebruikt om u of de positie van uw website te schaden.

URL-kaping versus domeinkaping

Hoewel zowel URL-hijacking als domein-hijacking worden gebruikt om controle over een website te krijgen, verschillen de twee aanvalsmethoden van elkaar, vooral wat betreft hun aanpak:

Domeinkaping vindt plaats wanneer aanvallers controle krijgen over een domein door toegang te krijgen tot de domeinbeheeraccounts, bijvoorbeeld door de DNS-instellingen te wijzigen. In het ergste geval kunnen aanvallers de volledige aanwezigheid van het slachtoffer op het internet overnemen.

URL-kaping versus typosquatting

Zoals de naam al doet vermoeden, maakt de aanvalstechniek typosquatting gebruik van typefouten. Waar omleidingen normaal gesproken worden gebruikt om de bezoeker ondanks kleine typefouten naar de gewenste website te leiden, sluipt typosquatting hier binnen. Aanvallers registreren opzettelijk domeinen met veelvoorkomende typefouten om bezoekers naar hun website te leiden, die vaak schadelijke code bevat.

Hoe u uw website kunt beschermen tegen URL-kaping

Websitebeheerders die de positie van hun website willen verbeteren, weten hoe uitdagend en tijdrovend dit proces is. Hoe hoger u stijgt in de zoekresultaten van zoekmachines, hoe groter de kans dat uw geïndexeerde pagina’s worden gekaapt. In tegenstelling tot een aanval die plaatsvindt als gevolg van beveiligingslekken in een webproject, hangt het proces van URL-kaping nauw samen met de basisprincipes van SEO, namelijk linkbuilding. Het kan dus niet zomaar worden voorkomen door antivirussoftware te gebruiken.

Daarom is het superbelangrijk om regelmatig nieuwe en bestaande backlinks te checken om probleem-URL’s eruit te halen. Er zijn een paar tools en diensten die je hiervoor kunt gebruiken, zoals:

• SEMrush
• LinkResearchTools
• SISTRIX
• Google Search Console.

Google biedt een tool voor het verwijderen van URL’s waarmee u ongewenste omleidingen die naar uw website linken uit de zoekindex kunt verwijderen. Voordat u dit doet, moet u altijd contact opnemen met de websitebeheerder die verantwoordelijk is voor de site en vragen om de routing aan te passen. Op deze manier is er een kans om de bijbehorende backlinks te behouden. De statuscode 307 (Temporary Redirect) heeft een optie voor tijdelijke doorverwijzing die niet leidt tot URL-kaping, die beschikbaar is sinds HTTP 1.1. Als de oorspronkelijke site al ontbreekt in de index, moet u contact opnemen met de zoekmachineprovider en vragen om herstel van de oorspronkelijke rankings zodra u de beschadigde backlink hebt herwerkt of verwijderd.