谢谢HN:谷歌几乎杀死我的网站后汲取的经验教训
我是Uploader窗口的创建者,一个网站,帮助用户将上传小部件添加到自己的应用程序或网站上。
我们已经在没有任何问题的情况下运行了这个网站近3年(自2017年以来)。但是昨天发生了一些事情,这几乎在一瞬间关闭了我的整个业务。
我的是开工响铃。除了电子邮件支持外,我还给许多支付用户我的个人WA号码是否适合紧急情况。它是一条来自客户的消息,现在超过2年超过2年。他说他们因脚本而在他们的网站上发出警告。访问任何网站的人,其中我的客户集成了我的应用也也显示了这种死亡的红色屏幕。
我打开了我的收件箱,并且来自客户的另一电子邮件有关同样的问题。
现在我们运行自动测试以每30秒监控服务器正常运行时间并检查服务器是否存在问题。不幸的是,自动化测试脚本很乐意获得HTTP / 200回复,而使用Chrome浏览器的人被告知这是一个骗局企业,试图窃取他们的银行账户信息。
不知道我开始寻找的事情的第一件事我可以快速解决它。这是我意识到这对我来说是新的,它已经发生了很长一段时间,许多企业受其影响。所有是因为这一整个游黑的过程是漂亮的自动,你真的不知道它,直到你真的被黑名单。
我从未有谷歌的任何电子邮件,但随着许多文章建议最佳地点在GWT内(重命名的搜索中心)。一旦我向GWT添加了我的网站,我就有一个大的红色安全问题,我的网站被归类为危害客户的欺骗性网络钓鱼网站。它还将我的主页列为欺骗性的页面。
几个小时前发布了,我已经在几个小时内已经在5个黑名单。很快Firefox用户也开始看到警告。
我检查了我主页的源代码,用手检查所有JavaScript,手动登录到我的服务器,并在我的服务器上检查所有正在运行的进程,以查看实际上我们是否已被黑了攻击。没什么,绝对没有任何改变。
有一个框来提交您的网站进行审核,但并没有说出需要多长时间。有人说它可能需要4天,其他网站说它可能更长!如果花了那么长时间,我的业务肯定会死。
在寻找为什么发生这种情况和修复它的方法时,我偶然发现了黑客新闻的类似线程。似乎很多人都是谷歌的受害者'触发快乐的黑名单,这不是一个简单的修复。
一旦您列出,您会撞到Google搜索结果,所有用户都被禁止访问您的网站(某些用户表示,在接受先进警告后,他们甚至无法访问它)。基本上它是你网站的“PowerOff -H”。
但是有很多谷歌工程师和黑客新闻的乐于助人的人。竭尽全力帮助别人的人
我是超级诱惑直接联系这个人,但我决定它是不礼貌地打扰这样的人。相反,我发布了自己的线程,主要寻找关于如何加快审查过程的建议,也许可以了解昨天发生了什么。
我列出了我可以思考的所有原因,人们很快就可以帮助。我呼吁快速到达HN的主页,我终于想到了发生了什么
所以经过很多头脑风暴和思想,我终于想到了罪魁祸首。
我们在我们的家中有一个现场演示,人们可以上传测试文件。 Demo是用户实际上看到上传者如何了解自己的应用程序的一种方式。它'是用户在没有实际注册的情况下测试网站的方式。
游客喜欢演示。它极大地帮助我们的转换。我确实认为演示可以用于文件盗版,因此24小时后,上传到演示的任何文件都会自动删除。我们永远不会允许除视频和图像文件以外的任何内容。我们在CDN上托管文件,因此它们将使用子域(CDN.UPLOADER.WIN)链接
我们还为所有用户提供20MB的测试存储。这是为了帮助他们在开发期间将上传者集成在自己的网站上。
我相信有人注册了我们的服务(免费注册),然后在我们的测试存储上上传恶意文件并滥用此功能。
不幸的是,我们不能禁用实时演示或删除测试存储,因为它们都提供了一个目的。但是,我们将在未来减轻它的情况很少:
使用单独的域共链接到任何用户上载的内容(从不主域或子域)。
如果您为用户提供以其站点集成的任何脚本,请务必在单独的域中托管它们。
我不是100%肯定的这一点,但是当我疯狂地尝试使用各种在线服务扫描我的网站时,很多人都在主页中使用Base64内容警告。
此外,如果您还记得谷歌并没有说它是子域,而是直接链接到我的主页作为托管欺骗内容。
添加内联图像的原因是减少HTTP请求的数量(加速页面加载)。这让我们在Pagespeed Insights上获得了一个很好的分数,但同时有很多在线病毒扫描仪会皱眉,这些页面会皱起它。
由于我永远不会知道我做错了什么,我刚刚删除了所有内联内容(如一些人提出的那样)。
这只是假设,它可能是也可能不是这种情况......但为什么要机会?
我最大的担忧是如何影响我的客户依赖我的网站上传。我感觉如此无助和焦虑。
所以我决定在等待解决方案时直接与一些客户进行沟通。我的大多数客户不仅超级支持,而且我也意识到我的大多数客户只是像我这样的开发人员,并理解这样的事情发生,无法控制。
整个磨损只在6到7个小时内排序,事情又很棒!我相信HN线程上的主页非常帮助我,谷歌的某人毕竟帮助了,并加快了审查(或者我也是我知道的幸运)。在发布我听到的线程后的只需4个小时内(此时收到一封电子邮件),我的网站被审核并从黑名单中删除。
这对我来说是一个很好的学习体验,但也有点可怕了脆弱的在线企业。您可以编写所有Cron作业以监视业务的每一部分,但您永远无法为一切准备。
当SHTF时,最好的解决方案是始终开放发生的事情并询问帮助。有这么多好人会竭尽全力帮助你。
如此特别感谢黑客新闻中的所有人,他们不仅超强了他们的建议和意见,而且还帮助我快速地进行了分类!
P.S.如果您从我的经验或喜欢阅读这方面学习了一些东西,请花一点时间通过单击此处查看上传窗口窗口。这是100%免费试用,可以减少您的发展时间!
