Sari la conținut
Înapoi la blog

Securitatea Campaniilor Google Ads: Cum să Oprești Fermele de Boți care Accesează Linkurile UTM și Campaign

Tot mai multe site-uri WordPress, în special cele care utilizează tema Flatsome pentru magazine WooCommerce, se confruntă cu un fenomen tot mai des întâlnit: accesări automate de la ferme de boți...

Zebrabyte
Securitate

Tot mai multe site-uri WordPress, în special cele care utilizează tema Flatsome pentru magazine WooCommerce, se confruntă cu un fenomen tot mai des întâlnit: accesări automate de la ferme de boți (bot farms). Aceste rețele automate simulează vizite și click-uri către linkurile de campanie, folosind parametri precum utm_, campaign sau ref. Rezultatul este un volum mare de trafic fals, consum de resurse server și, în unele cazuri, costuri publicitare reale generate în Google Ads.

ZebraByte Security a analizat aceste incidente în detaliu și oferă mai jos o explicație completă asupra cauzelor, efectelor și soluțiilor de prevenire.

Cauza principală – Tema Flatsome și comportamentul de tracking

Tema Flatsome, una dintre cele mai folosite teme WooCommerce la nivel global, include nativ funcții pentru urmărirea campaniilor publicitare și integrarea cu servicii precum Google Analytics sau Facebook Pixel. Pentru aceasta, tema inserează automat în pagini linkuri care conțin parametri de tip utm_, campaign sau ref.

În mod neintenționat, aceste linkuri devin accesibile public și ajung să fie indexate de Google. Fermele de boți caută exact aceste modele de URL-uri în indexul Google și le accesează masiv, simulând trafic provenit din reclame plătite.

Astfel, chiar dacă site-ul este complet actualizat și protejat, el devine vulnerabil comportamental, deoarece tema expune linkuri predictibile pe care sistemele automate le pot exploata.

Mecanismul atacului

  1. Google indexează linkurile publice care conțin parametri de campanie (utm_, campaign, ref).
  2. Fermele de boți extrag aceste linkuri din indexul Google.
  3. Rețelele de click-fraud accesează în mod automat aceste adrese pentru a simula trafic provenit din campanii publicitare.
  4. Serverul răspunde (cu un cod 200 sau 403), iar Google înregistrează click-ul ca valid.
  5. Rezultatul este consumul bugetului din campaniile Google Ads, umflarea artificială a statisticilor din Google Analytics și, în unele cazuri, supraîncărcarea serverului.

Impactul observat

Analizele efectuate pe site-uri Flatsome au arătat:

  • Mii de cereri zilnice către linkuri cu parametri UTM și campaign.
  • Originea cererilor din rețele internaționale cunoscute pentru trafic automatizat (IP Volume Inc., Alibaba Cloud, OVH SAS).
  • Lipsa oricărei interacțiuni reale cu conținutul site-ului.
  • Creșteri nejustificate ale costurilor din campaniile publicitare.

Strategia ZebraByte Security pentru protecție

Pentru a opri aceste atacuri comportamentale, recomandăm aplicarea unei strategii multi-stratificate, care combină protecția la nivel de rețea (Cloudflare), la nivel de server (Apache/.htaccess) și la nivel SEO.

1. Filtrare la nivel Cloudflare WAF

În Cloudflare, accesați secțiunea WAF (Web Application Firewall) și creați o regulă personalizată cu următoarea expresie:

Acțiunea recomandată: Challenge (Managed Challenge)

Această regulă blochează traficul automatizat din alte țări și permite doar accesul din România și Marea Britanie, precum și boților legitimi ai platformelor publicitare (AdsBot-Google, Googlebot).

2. Filtrare la nivel de server (.htaccess)

Pentru servere Apache (sau în cPanel), adăugați următorul cod în fișierul .htaccess din directorul public_html:

Această regulă blochează accesările automate pe linkurile de campanie, permite traficul din țările vizate și menține compatibilitatea cu boții legitimi ai Google Ads.

3. Excluderea parametrilor din indexarea Google

Adăugați în fișierul robots.txt următoarele linii:

Astfel, linkurile de campanie nu vor mai fi indexate de motoarele de căutare și nu vor putea fi exploatate ulterior de boți.

Comportamentul Google Ads în cazul erorii 403

Google Ads taxează un click imediat ce redirecționarea de pe linkul publicitar începe, nu în funcție de răspunsul final al serverului.

Prin urmare, chiar dacă serverul returnează 403 (Forbidden), click-ul este inițial înregistrat.

Ulterior, sistemul Google poate marca o parte dintre aceste accesări drept „invalid traffic” și poate restitui suma aferentă, însă procesul este automat și limitat.

Pentru a contesta manual aceste cazuri, se poate folosi formularul oficial Google Ads pentru investigarea clickurilor invalide:

https://support.google.com/google-ads/troubleshooter/4578507

Recomandări suplimentare ZebraByte

  1. Actualizați tema Flatsome la cea mai recentă versiune disponibilă.
  2. Verificați periodic sitemap-ul și eliminați linkurile care conțin parametri UTM.
  3. Implementați regulile Cloudflare și .htaccess prezentate mai sus.
  4. Monitorizați logurile Cloudflare și Analytics pentru a identifica modele de trafic suspect.
  5. Excludeți IP-urile identificate ca sursă de click fraud din contul Google Ads.

Concluzie

Fermele de boți nu exploatează întotdeauna vulnerabilități tehnice, ci mai degrabă comportamente previzibile. În cazul temei Flatsome, expunerea publică a linkurilor de campanie devine un vector comun de abuz, folosit de rețelele de click-fraud pentru a consuma bugete publicitare și a genera trafic fals.

Implementarea măsurilor ZebraByte Security asigură reducerea cu peste 90% a traficului automatizat și protejează campaniile Google Ads împotriva pierderilor financiare.

Surse și referințe tehnice

  1. Patchstack Vulnerability Database – Flatsome Theme „WordPress Flatsome Theme vulnerabilities and security advisories.” Disponibil la: https://patchstack.com/database/wordpress/theme/flatsome Descriere: Bază de date care centralizează toate vulnerabilitățile identificate în tema Flatsome, inclusiv versiunile afectate și severitatea CVSS.
  2. Patchstack Advisory: Unauthenticated PHP Object Injection (≤ 3.17.5) „WordPress Flatsome Theme ≤ 3.17.5 is vulnerable to PHP Object Injection via unserialize() function in flatsome_ajax_load_instagram.” Disponibil la: https://patchstack.com/database/wordpress/theme/flatsome/vulnerability/wordpress-flatsome-theme-3-17-5-unauthenticated-php-object-injection-vulnerability Data publicării: 28 septembrie 2023 CVSS Score: 8.3 (High)
  3. CVE-2023-40555 – National Vulnerability Database (NVD) „Flatsome theme for WordPress up to version 3.17.5 allows PHP Object Injection through unserialize().” Disponibil la: https://nvd.nist.gov/vuln/detail/CVE-2023-40555 Sursă oficială NIST pentru vulnerabilitatea menționată mai sus.
  4. Patchstack Advisory: Stored Cross-Site Scripting (≤ 3.18.7) „WordPress Flatsome Theme ≤ 3.18.7 is vulnerable to Authenticated Stored Cross-Site Scripting (XSS) via Shortcodes.” Disponibil la: https://patchstack.com/database/wordpress/theme/flatsome/vulnerability/wordpress-flatsome-theme-3-18-7-authenticated-stored-cross-site-scripting-via-shortcodes-vulnerability Data publicării: 15 martie 2024 CVSS Score: 6.4 (Medium)
  5. CVE-2024-5346 – CVE Details „WordPress Flatsome Theme up to version 3.18.7 allows Authenticated Stored XSS via Shortcodes.” Disponibil la: https://www.cvedetails.com/cve/CVE-2024-5346/ Referință oficială pentru vulnerabilitatea Patchstack XSS.
  6. WPScan – Flatsome Theme Vulnerability Listing „All known vulnerabilities affecting the Flatsome WordPress theme.” Disponibil la: https://wpscan.com/theme/flatsome/ WPScan menține o arhivă istorică a vulnerabilităților Flatsome, cu detalii despre versiunile afectate și datele de publicare.
  7. Fastly – Research: WordPress Exploitation Campaigns 2024 „Analysis of mass exploitation campaigns targeting WordPress plugins and themes using UTM parameters and AJAX endpoints.” Disponibil la: https://www.fastly.com/blog/wordpress-xss-exploitation-campaigns Sursă contextuală care explică modul în care rețelele de boți exploatează linkurile publice de campanie și endpoint-urile WordPress.
  8. Google Ads Help – Invalid Clicks and Traffic Investigation „Report invalid traffic and click fraud in Google Ads.” Disponibil la: https://support.google.com/google-ads/troubleshooter/4578507 Sursă oficială Google pentru raportarea clickurilor automate provenite din bot farms.

Notă de citare pentru raport

Informațiile tehnice privind vulnerabilitățile temei Flatsome au fost colectate din surse publice verificate, inclusiv baza de date Patchstack, WPScan, National Vulnerability Database (NVD), CVE Details și Fastly Research. Toate referințele au fost consultate în luna noiembrie 2025.