{"id":103,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/sl\/wordpress-cloaking-googlebot-ip-preverjanje\/"},"modified":"2026-01-20T06:33:06","modified_gmt":"2026-01-20T05:33:06","slug":"wordpress-cloaking-googlebot-ip-preverjanje","status":"publish","type":"post","link":"https:\/\/helloblog.io\/sl\/wordpress-cloaking-googlebot-ip-preverjanje\/","title":{"rendered":"Ko Google vidi nekaj drugega kot ti: napreden WordPress cloaking z IP-preverjanjem Googlebota"},"content":{"rendered":"\n

V WordPress svetu smo \u017ee vajeni zlorab tipa SEO spam<\/em>, preusmeritev in klasi\u010dnega “cloakinga” (prikaz razli\u010dne vsebine botom in ljudem). Zanimiv (in precej nevaren) zasuk pa je, ko napadalec ne ra\u010duna ve\u010d na grobo filtriranje po User-Agent<\/code>, ampak posku\u0161a z visoko natan\u010dnostjo preveriti, ali je obiskovalec res del Googlove infrastrukture. Rezultat: lastnik spletne strani pri ro\u010dnem preverjanju ne vidi ni\u010desar sumljivega, Google pa indeksira \u010disto drugo vsebino.<\/p>\n\n\n\n

Kaj je bilo kompromitirano: index.php kot \u201cvratar\u201d<\/h2>\n\n\n\n

V analiziranem primeru je bila zlonamerna logika vstavljena neposredno v glavni index.php<\/code> WordPress strani. To je strate\u0161ka to\u010dka: index.php<\/code> je vstopna datoteka, prek katere WordPress v obi\u010dajnem primeru nalo\u017ei okolje (bootstrap) in nato izri\u0161e stran. \u010ce napadalec prevzame nadzor tukaj, lahko pred normalnim nalaganjem WordPressa odlo\u010di, ali bo obiskovalec videl legitimno stran ali pa bo dobil vbrizgano oddaljeno vsebino.<\/p>\n\n\n\n

Zakaj je ta cloaking druga\u010den od ve\u010dine<\/h2>\n\n\n\n

Klasi\u010dni cloaking se pogosto zana\u0161a na preprost User-Agent<\/code> filter: \u010de niz vsebuje “Googlebot”, bot dobi spam vsebino. Te\u017eava za napadalca je, da je User-Agent<\/code> trivialno ponarediti, zato tak\u0161ne kampanje relativno hitro odkrijemo z ro\u010dnim testiranjem ali z osnovnimi skenerji.<\/p>\n\n\n\n

Tukaj pa je bila uporabljena bolj “in\u017eenirska” varovalka: skripta je imela hardkodiran nabor Googlovih ASN (Autonomous System Number) IP-rangeov v CIDR zapisu in je obiskoval\u010dev IP preverjala matemati\u010dno, z bitnimi (bitwise) operacijami. Poleg IPv4 je imela tudi solidno podporo za IPv6, kar je pri starej\u0161ih cloaking skriptah pogosto spregledano.<\/p>\n\n\n\n

\"Diagram
Napad je zasnovan tako, da se zlonamerna vsebina prika\u017ee le, \u010de je obiskovalec potrjen kot Google infrastruktura. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Hitri pojmi: ASN in CIDR (v kontekstu napada)<\/h2>\n\n\n\n

ASN (Autonomous System Number)<\/h3>\n\n\n\n

ASN si lahko predstavlja\u0161 kot identiteto omre\u017eja na internetu: \u0161tevilka, ki predstavlja ve\u010dji blok IP naslovov in usmerjevalno politiko organizacije (npr. Google). \u010ce promet prihaja iz IP prostora, ki pripada Googlovim ASN-jem, je bistveno bolj verjetno, da gre za \u201cpravi\u201d Googlebot (oziroma Googlov crawler iz njihove infrastrukture), ne samo za ponarejen User-Agent<\/code>.<\/p>\n\n\n\n

CIDR zapis<\/h3>\n\n\n\n

CIDR (Classless Inter-Domain Routing) je kratek zapis IP obsegov, npr. 192.168.1.0\/24<\/code>, ki opi\u0161e blok naslovov z omre\u017enim prefiksom. Namesto na\u0161tevanja vsakega IP-ja posebej lahko z enim zapisom definira\u0161 celoten range.<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>