top of page
whmcs.png
Under attack?

Securitatea Campaniilor Google Ads: Cum să Oprești Fermele de Boți care Accesează Linkurile UTM și Campaign



Tot mai multe site-uri WordPress, în special cele care utilizează tema Flatsome pentru magazine WooCommerce, se confruntă cu un fenomen tot mai des întâlnit: accesări automate de la ferme de boți (bot farms). Aceste rețele automate simulează vizite și click-uri către linkurile de campanie, folosind parametri precum utm_, campaign sau ref. Rezultatul este un volum mare de trafic fals, consum de resurse server și, în unele cazuri, costuri publicitare reale generate în Google Ads.

ZebraByte Security a analizat aceste incidente în detaliu și oferă mai jos o explicație completă asupra cauzelor, efectelor și soluțiilor de prevenire.


Cauza principală – Tema Flatsome și comportamentul de tracking


Tema Flatsome, una dintre cele mai folosite teme WooCommerce la nivel global, include nativ funcții pentru urmărirea campaniilor publicitare și integrarea cu servicii precum Google Analytics sau Facebook Pixel. Pentru aceasta, tema inserează automat în pagini linkuri care conțin parametri de tip utm_, campaign sau ref.

În mod neintenționat, aceste linkuri devin accesibile public și ajung să fie indexate de Google. Fermele de boți caută exact aceste modele de URL-uri în indexul Google și le accesează masiv, simulând trafic provenit din reclame plătite.

Astfel, chiar dacă site-ul este complet actualizat și protejat, el devine vulnerabil comportamental, deoarece tema expune linkuri predictibile pe care sistemele automate le pot exploata.


Mecanismul atacului


  1. Google indexează linkurile publice care conțin parametri de campanie (utm_, campaign, ref).

  2. Fermele de boți extrag aceste linkuri din indexul Google.

  3. Rețelele de click-fraud accesează în mod automat aceste adrese pentru a simula trafic provenit din campanii publicitare.

  4. Serverul răspunde (cu un cod 200 sau 403), iar Google înregistrează click-ul ca valid.

  5. Rezultatul este consumul bugetului din campaniile Google Ads, umflarea artificială a statisticilor din Google Analytics și, în unele cazuri, supraîncărcarea serverului.


Impactul observat


Analizele efectuate pe site-uri Flatsome au arătat:

  • Mii de cereri zilnice către linkuri cu parametri UTM și campaign.

  • Originea cererilor din rețele internaționale cunoscute pentru trafic automatizat (IP Volume Inc., Alibaba Cloud, OVH SAS).

  • Lipsa oricărei interacțiuni reale cu conținutul site-ului.

  • Creșteri nejustificate ale costurilor din campaniile publicitare.


Strategia ZebraByte Security pentru protecție


Pentru a opri aceste atacuri comportamentale, recomandăm aplicarea unei strategii multi-stratificate, care combină protecția la nivel de rețea (Cloudflare), la nivel de server (Apache/.htaccess) și la nivel SEO.


1. Filtrare la nivel Cloudflare WAF


În Cloudflare, accesați secțiunea WAF (Web Application Firewall) și creați o regulă personalizată cu următoarea expresie:

(http.request.uri.query contains "utm_" or
 http.request.uri.query contains "campaign" or
 http.request.uri.query contains "ref=")
and not cf.client.bot
and not http.user_agent contains "AdsBot-Google"
and not ip.geoip.country in {"RO","GB"}

Acțiunea recomandată: Challenge (Managed Challenge)

Această regulă blochează traficul automatizat din alte țări și permite doar accesul din România și Marea Britanie, precum și boților legitimi ai platformelor publicitare (AdsBot-Google, Googlebot).


2. Filtrare la nivel de server (.htaccess)


Pentru servere Apache (sau în cPanel), adăugați următorul cod în fișierul .htaccess din directorul public_html:

# ZebraByte Security Filters
<IfModule mod_rewrite.c>
RewriteEngine On

# Block bots attacking UTM/Campaign URLs
RewriteCond %{QUERY_STRING} (utm_|campaign|ref=) [NC]
# Allow legitimate bots (Google AdsBot, Googlebot, Bingbot, Applebot)
RewriteCond %{HTTP_USER_AGENT} !(AdsBot-Google|Googlebot|Bingbot|Applebot) [NC]
# Allow visitors from Romania and UK
RewriteCond %{ENV:CF-IPCountry} !^(RO|GB)$ [NC]
RewriteRule ^ - [F,L]
</IfModule>

# Disable directory listing
Options -Indexes

# Prevent PHP execution in uploads
<FilesMatch "\.php$">
    Order Deny,Allow
    Deny from all
</FilesMatch>
# End ZebraByte Filters

Această regulă blochează accesările automate pe linkurile de campanie, permite traficul din țările vizate și menține compatibilitatea cu boții legitimi ai Google Ads.


3. Excluderea parametrilor din indexarea Google


Adăugați în fișierul robots.txt următoarele linii:

User-agent: *
Disallow: /*?utm_
Disallow: /*?campaign
Disallow: /*?ref=

Astfel, linkurile de campanie nu vor mai fi indexate de motoarele de căutare și nu vor putea fi exploatate ulterior de boți.


Comportamentul Google Ads în cazul erorii 403


Google Ads taxează un click imediat ce redirecționarea de pe linkul publicitar începe, nu în funcție de răspunsul final al serverului.

Prin urmare, chiar dacă serverul returnează 403 (Forbidden), click-ul este inițial înregistrat.

Ulterior, sistemul Google poate marca o parte dintre aceste accesări drept „invalid traffic” și poate restitui suma aferentă, însă procesul este automat și limitat.

Pentru a contesta manual aceste cazuri, se poate folosi formularul oficial Google Ads pentru investigarea clickurilor invalide:


Recomandări suplimentare ZebraByte 

  1. Actualizați tema Flatsome la cea mai recentă versiune disponibilă.

  2. Verificați periodic sitemap-ul și eliminați linkurile care conțin parametri UTM.

  3. Implementați regulile Cloudflare și .htaccess prezentate mai sus.

  4. Monitorizați logurile Cloudflare și Analytics pentru a identifica modele de trafic suspect.

  5. Excludeți IP-urile identificate ca sursă de click fraud din contul Google Ads.


Concluzie


Fermele de boți nu exploatează întotdeauna vulnerabilități tehnice, ci mai degrabă comportamente previzibile. În cazul temei Flatsome, expunerea publică a linkurilor de campanie devine un vector comun de abuz, folosit de rețelele de click-fraud pentru a consuma bugete publicitare și a genera trafic fals.

Implementarea măsurilor ZebraByte Security asigură reducerea cu peste 90% a traficului automatizat și protejează campaniile Google Ads împotriva pierderilor financiare.


Surse și referințe tehnice


  1. Patchstack Vulnerability Database – Flatsome Theme

    „WordPress Flatsome Theme vulnerabilities and security advisories.”

    Disponibil la: https://patchstack.com/database/wordpress/theme/flatsome

    Descriere: Bază de date care centralizează toate vulnerabilitățile identificate în tema Flatsome, inclusiv versiunile afectate și severitatea CVSS.

  2. Patchstack Advisory: Unauthenticated PHP Object Injection (≤ 3.17.5)

    „WordPress Flatsome Theme ≤ 3.17.5 is vulnerable to PHP Object Injection via unserialize() function in flatsome_ajax_load_instagram.”

    Disponibil la: https://patchstack.com/database/wordpress/theme/flatsome/vulnerability/wordpress-flatsome-theme-3-17-5-unauthenticated-php-object-injection-vulnerability

    Data publicării: 28 septembrie 2023

    CVSS Score: 8.3 (High)

  3. CVE-2023-40555 – National Vulnerability Database (NVD)

    „Flatsome theme for WordPress up to version 3.17.5 allows PHP Object Injection through unserialize().”

    Disponibil la: https://nvd.nist.gov/vuln/detail/CVE-2023-40555

    Sursă oficială NIST pentru vulnerabilitatea menționată mai sus.

  4. Patchstack Advisory: Stored Cross-Site Scripting (≤ 3.18.7)

    „WordPress Flatsome Theme ≤ 3.18.7 is vulnerable to Authenticated Stored Cross-Site Scripting (XSS) via Shortcodes.”

    Disponibil la: https://patchstack.com/database/wordpress/theme/flatsome/vulnerability/wordpress-flatsome-theme-3-18-7-authenticated-stored-cross-site-scripting-via-shortcodes-vulnerability

    Data publicării: 15 martie 2024

    CVSS Score: 6.4 (Medium)

  5. CVE-2024-5346 – CVE Details

    „WordPress Flatsome Theme up to version 3.18.7 allows Authenticated Stored XSS via Shortcodes.”

    Disponibil la: https://www.cvedetails.com/cve/CVE-2024-5346/

    Referință oficială pentru vulnerabilitatea Patchstack XSS.

  6. WPScan – Flatsome Theme Vulnerability Listing

    „All known vulnerabilities affecting the Flatsome WordPress theme.”

    Disponibil la: https://wpscan.com/theme/flatsome/

    WPScan menține o arhivă istorică a vulnerabilităților Flatsome, cu detalii despre versiunile afectate și datele de publicare.

  7. Fastly – Research: WordPress Exploitation Campaigns 2024

    „Analysis of mass exploitation campaigns targeting WordPress plugins and themes using UTM parameters and AJAX endpoints.”

    Disponibil la: https://www.fastly.com/blog/wordpress-xss-exploitation-campaigns

    Sursă contextuală care explică modul în care rețelele de boți exploatează linkurile publice de campanie și endpoint-urile WordPress.

  8. Google Ads Help – Invalid Clicks and Traffic Investigation

    „Report invalid traffic and click fraud in Google Ads.”

    Disponibil la: https://support.google.com/google-ads/troubleshooter/4578507

    Sursă oficială Google pentru raportarea clickurilor automate provenite din bot farms.


Notă de citare pentru raport


Informațiile tehnice privind vulnerabilitățile temei Flatsome au fost colectate din surse publice verificate, inclusiv baza de date Patchstack, WPScan, National Vulnerability Database (NVD), CVE Details și Fastly Research. Toate referințele au fost consultate în luna noiembrie 2025.
Partajați această postare
Etichete
Arhivează

 
 
 

Comentarii

Evaluat(ă) cu 0 din 5 stele.
Încă nu există evaluări
Adaugă o evaluare
bottom of page