网站收到百度弹窗整改提醒该如何应对？

首页> 缘震优势

缘震优势

2016-08-11 10:50:03

弹窗是一个困扰着广大站长的问题，百度在2014年7月推出了“整改反馈功能”，即发现网站存在影响排名的问题，会通过站内消息、邮件、短信通知站长，如果站长确认此问题存在可以整改后反馈给百度，百度会重新审核撤销惩罚，目前最常见的是收到“网站存在恶劣弹窗，请马上整改避免惩罚”的整改信息。

除了故意弹窗骗取流量外，还有很多站点属于“被弹窗”。这部分站长收到“网站存在恶劣弹窗，请马上整改避免惩罚”的信息后不知所措，不知道自己站点哪里有问题了，也不知道该如何下手追查整改。那么收到“网站存在恶劣弹窗，请马上整改避免惩罚”的提醒信息后，网站该怎么办？

百度在13年推出的石榴算法主要是针对弹窗问题，不过弹窗这个问题，说实话比较复杂，算法每一轮的升级都会出现新的作弊站点被发现。不过也会有新的站点被误伤。本身如果存在弹窗，该如何处理无需讨论，那如果你没有弹窗，但是被误伤了，问题就有点麻烦了。这一般是三种情况：

1、网站被入侵；
2、调用第三方组件、js被入侵；
3、自身代码被误判。

对于第一种情况，网站被入侵，可以通过百度站长平台的安全检测工具，检查自身网站的安全情况。

同时，对弹窗提醒警告给出的示例地址，使用百度站长平台的抓取诊断，抓取页面源代码，看百度抓取到的页面源代码是否和用户所看到的源代码一致，如果不一致可能是被修改过了。

源代码对比可以使用WinMerge（一款免费开源的文件比较/合并工具，使用它可以非常方便地比较多个文档内容甚至是文件夹与文件夹之间的文件差异）。

对于第二种情况，调用第三方组件、js被入侵。可以检查示例页面调用的外部.js文件，现在很多站长喜欢调用第三方的组件，如推荐、统计、广告、特效代码。如果是大厂商提供的，一般没问题，如果调用小网站或者个人提供的组件，特效代码，那么他们的安全性问题就可能导致出现弹窗，尝试去除这些代码也许有助于问题的解决。

如果你的网站安全性良好，没有第三方调用或者可以信赖第三方，还是被误报弹窗了，那问题可能是第三者情况，网站自身代码上。我们来看一个典型的退弹代码：

window.onbeforeunload = function () {window.open('域名');}

window、onbeforeunload、 .open这些代码特征词语，单独使用也许没问题，但是如果放在一起，即便不是弹窗，也可能会被当做弹窗代码从而被误杀，类似的还包括showModelessDialog、showModalDialog。可以在代码中尽量删除相应的内容以避免被误杀。

而如果你没有被黑，第三方调用也没问题，实在没有办法甄别代码错误，最终极的解决办法就是尽可能删掉掉给出的示例页面里的JS代码，能删的都删，留下百度网盟百度统计之类应该属于白名单的代码即可。

需要注意的是，百度站长平台发送的警告信息中仅仅是“示例页面”，并没有列出所有页面，在进行整改的时候应该考虑这一点以备整改全面。在96小时内整改完毕后，站长确定网站没问题，就可以在消息提醒里边去点击申请“重新检测”，一旦百度重新检测通过，网站的搜索引擎展现将不会受到影响。

网站安全科普介绍如何防止网站被黑被攻击

网站安全.jpg

作为一名网络安全工程师，“网站安全”这个词似乎离生活有些遥远，平日里很多人开启计算机最多就是登陆网站、浏览网站，至于网站安不安全，却从未关注过。近些年来，网络安全相关话题已经引起了社会的广泛关注，还记得去年暑期大火的偶像连续剧《亲爱的热爱的》讲述了男主希望为中国拿下CTF大赛冠军的梦想之路，CTF在网络安全领域中指的是网络安全技术人员之间进行技术比拼的一种比赛形式，当然，这部剧的成功之处更在于让许多年轻人对网络安全领域产生了兴趣。本文旨在从一名网络安全工程师的角度，用更加通俗易懂的话语，介绍网站安全的相关知识。

一、网站安全的定义

百度词条的定义为网站安全是指出于防止网站受到黑客入侵者对其网站进行挂马，篡改网站源代码，被窃取数据等行为而做出一系列的安全防御工作，在我的理解中，网站安全就是当有人攻击你的网站时，你所作出的防御，又或者是事先对网站进行的一系列防止别人攻击的安全防护部署。由此看来，网站安全对于网站的正常运营具有重要意义。

二、网站安全的重要性

为什么网站安全如此重要呢？在日新月异的当代社会，互联网成为新兴热门的产业，网站技术发展迅速，渗透到人类生活的各个方面，越来越多的事情需要通过互联网来完成，与此同时，网站安全问题也就日益突出，但绝大多数的网站开发与建设公司只考虑正常用户的稳定使用，而对于网站安全方面了解甚少，发现网站安全存在问题和漏洞，其修补方式只能停留在页面代码的删除或者是恢复网站备份，很难针对网站具体的漏洞原理对源代码进行修复。但黑客对漏洞具有敏锐的洞察力，网站存在的这些漏洞就会被挖掘出来，成为黑客们直接或间接获取利益的机会。

大多数网站运营者对网站的价值认识仅仅是一台服务器或者是网站的建设成本，认为对这个网站增加的超出其成本的网站安全防护服务觉得价格有点高。事实上，网站遭受攻击之后，网站流量损失以及客户流失，订单流失的经济损失已远远超过网站安全服务的费用。所以只有网站安全了，才能给您带来更高的收益。不幸的是，实践当中有相当一部分网站负责的单位、人员，只有在网站遭受攻击受损严重后才能意识到这一点。目前国家针对于网站的安全做了信息安全等级保护，如果您的网站没有达到国家的安全标准，出现网站漏洞，被黑客攻击篡改等情况，会立即收到网警部门的通知，严重的会罚款以及造成重大影响达的负刑事责任。

笔者搜集到的网站安全事件主要有以下几类，

1、网站首页被篡改成彩票的内容，网站被挂马，被植入黑链。

2、修改支付平台订单状态，将未支付状态篡改成已支付，给支付平台和商户造成巨大财产损失和名誉损失。

3、网站运营方的客户信息被泄露，影响公司信誉。

4、APP中的用户数据被篡改，导致用户账户被随意提现。

5、劫持网站，导致用户点击进入网站随即跳转到不良网站。

以上几类问题都十分严峻，一旦发生，将会给公司带来难以估量的经济损失。因此，笔者建议，在建设网站初期除了进行网站功能设计之外，还需要联系具有丰富从业经验的网站安全公司进行渗透测试服务以及网站安全加固服务，而不是遭受损失之才才意识到事情的严重性。

三、网站安全工作如何开展

通常网站安全工作是这样开展的：

1、当接收到客户网站被攻击的消息后，网站安全工作人员首先会根据客户的描述确定网站是否被恶意攻击，随之迅速反应出网站的哪几部分可能是被攻击的对象，如服务器被攻击、首页代码被篡改、网站被劫持跳转等。

2、逐一排查可能被攻击的地方并进行漏洞修复，从而将客户网站存在的安全问题消除。

3、本着对客户负责的态度，从底层网站源代码根源入手，对客户网站的安全进行加固服务，仔细检查网站存在的漏洞，对每个文件代码都进行详细的人工安全审计，使客户网站真正变得安全，让黑客无处下手，帮助客户网站走的更远。