Угон сабдомена YMYL-сайта через брошенный DNS привел к деиндексации
Ключевые факты
- 1 Брошенные DNS-записи могут привести к угону сабдоменов и деиндексации.
- 2 Google может деиндексировать сайт до появления официального уведомления о ручных санкциях.
- 3 Необходимо мониторить все версии домена (www, non-www, http, https) в GSC для выявления слепых зон.
- 4 Аномальные всплески трафика на отдельных страницах в GSC могут указывать на взлом.
- 5 Быстрое реагирование на взлом и подача запроса на пересмотр могут привести к быстрому восстановлению позиций.
Компания из YMYL-ниши обратилась к SEO-эксперту Гленну Гейбу после того, как их сайт, состоящий из 20 000 URL, полностью вылетел из индекса Google без видимых ручных санкций в Google Search Console (GSC). Изначально предполагалось, что причиной мог быть сгенерированный ИИ-контент, но дальнейший анализ показал иное. Глубокий анализ доменного ресурса в GSC выявил аномальный всплеск в 12 000 кликов на одну конкретную страницу, все запросы были связаны с гемблингом. Оказалось, что это была www-версия главной страницы, за которой клиент не следил. Сторонние инструменты подтвердили, что взломанная страница отдавала новый фавикон, тайтл и перенаправляла весь трафик на онлайн-казино. Корень проблемы заключался в DNS-записи www, которая ссылалась на старое веб-приложение Azure. Когда клиент отключил это приложение, Azure освободил сабдомен, и атакующий перехватил его, направив DNS на свою гемблинг-сетку. Поскольку мониторинг и настройки GSC были сосредоточены только на версии без www, взлом остался незамеченным. Полная деиндексация произошла немедленно, а ручные санкции за 'Major spam problems' появились только на следующий день. Клиент оперативно перекрыл DNS-запись, отправил запрос на пересмотр, и сайт полностью восстановился в течение 36 часов после обнаружения проблемы.