网络营销手-武汉GOOGLE研究院

近期我们收到Google网站优化工具小组的邮件，告知我们目前Google网站优化工具所存在的安全问题，以及最便捷的解决方案。

很多人也许从来没有使用过Google网站优化工具，说简单一点Google网站优化工具就是网站的A/B Test tools，也是Google AdWords产品中的重要转换优化工具。将网站的不同版本进行对比测试，是进行页面优化，用户体验优化的重要工具。

Google 网站优化工具存在一项潜在安全问题。通过利用 Google 网站优化工具控制脚本的一个漏洞，攻击者可能会使用跨站脚本（Cross-Site Scripting，XSS）攻击的方式在您的网站上执行恶意代码。不过，只有在网站或浏览器已经受到其他独立攻击的威胁时，跨站脚本攻击才会发生。尽管直接遭受此类攻击的可能性不大，不过我们强烈建议您采取行动保护您的网站。

我们已经修复了这一错误，所有新实验都不会受到此类不良影响。不过，您需要更新您当前运行的所有实验，以修复您网站上的这一错误。另外，如果您已暂停或停止的实验是创建于 2010 年 12 月 3 日之前，您也需要删除或更新与其相关的所有 Google 网站优化工具脚本代码。

更新代码的方法有两种。您可以停止当前的实验，删除旧脚本，然后创建新实验；也可以直接在您的网站上更新代码。您最好创建新实验，因为这种方法比较简单。

创建新实验

1. 停止当前运行的所有 Google 网站优化工具实验
2. 从您的网站中删除所有 Google 网站优化工具脚本
3. 按照常规操作创建新实验，新实验不易受到攻击

直接更新 Google 网站优化工具控制脚本

1. 在网站上找到控制脚本。此脚本如下所示:

A/B 测试控制脚本
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');</script>
<!-- End of Google Website Optimizer Control Script -->

多版本测试控制脚本
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);return c.substring(i+n.
length+1,j<0?c.length:j)}}}var x=f('__utmx'),xx=f('__utmxx'),h=l.hash;
d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

2. 在控制脚本中找到 return c.substring(...
3. 按照如下所示修改相应行:
   修改前: return c.substring(i+n.length+1,j<0?c.length:j)
   修改后: return escape(c.substring(i+n.length+1,j<0?c.length:j))
   请不要忘记末尾的右圆括号 “)”

修复的 A/B 控制脚本
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){} (function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){ if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script><script>utmx("url",'A/B');
</script>
<!-- End of Google Website Optimizer Control Script -->

修复的多版本控制脚本
<!-- Google Website Optimizer Control Script -->
<script>
function utmx_section(){}function utmx(){}
(function(){var k='XXXXXXXXXX',d=document,l=d.location,c=d.cookie;function f(n){
if(c){var i=c.indexOf(n+'=');if(i>-1){var j=c.indexOf(';',i);
return escape(c.substring(i+n.length+1,j<0?c.length:j))}}}
var x=f('__utmx'),xx=f('__utmxx'),h=l.hash; d.write('<sc'+'ript src="'+
'http'+(l.protocol=='https:'?'s://ssl':'://www')+'.google-analytics.com'
+'/siteopt.js?v=1&utmxkey='+k+'&utmx='+(x?x:'')+'&utmxx='+(xx?xx:'')+'&utmxtime='
+new Date().valueOf()+(h?'&utmxhash='+escape(h.substr(1)):'')+
'" type="text/javascript" charset="utf-8"></sc'+'ript>')})();
</script>
<!-- End of Google Website Optimizer Control Script -->

请注意，以上控制脚本示例中的 k=XXXXXXXXX 行是占位符。

在进行上述更新后，您的实验将继续照常运行，您无需暂停或重新开始实验。

我们始终致力于保证 Google 网站优化工具的安全。对于这一安全问题，我们深表歉意。我们将一如既往地努力工作，防止日后再次出现漏洞。

最近两天，不止一位网友跟我说，他们的左旋肉碱adwords竞价广告出现了问题。按他们的说法叫被K，可能是作SEO出身的吧，以前叫K站，现在叫K账户。呵呵，其实这也慢慢说明，许多的曾经SEOer都在慢慢转向作adwords竞价广告了。

Google AdWords账户被K，如果按照Google的说法就是拒登，或违反广告政策受限。正常情况下Google会明显的告诉你你的广告为什么被拒登。但现在大家碰到更多的问题是，莫名其妙的广告就不能展示了。

Google莫名其妙的拒登，大概就是以下这么几种情况：

第１种情况：关键字没有拒登，广告语也没有拒登，而且质量得分也没有明显的变化，但广告就是无法展示。而且关键字提示工具里也会告诉你，当前广告没有展示，但没有原因。

第２种情况：关键字没有拒登，广告语也没有拒登，但广告提交后一直在审核，似乎永远也无法审核通过，一般只有在新账户，或老账户提供新广告时。我称这种状态为“永久审核状态”。曾经在博客中也提到过，有些广告当Google审核小组的人员无法根据已经公布的产品政策作出拒登判断时，通常就会采用这种“不审核也不通过”的策略。现在来看，又有了一些变化。提供了新广告以后，将不再显示“审核中”而是根据广告编辑政策作判断，只要文字及标点上可以通过GOOGLE广告编辑政策，即显示为“有效”。实际上这时候仅仅只是通过程序判断，确认了你的广告符合编辑政策，实际上广告才刚刚进入审核流程。

第３种情况，Google广告账户突然所有关键字质量得分为１这种情况我记得应该是今年才开始有的。网友们通常把这种情况就叫作账户被K，也就是被处罚的意思。以前的GG很干脆，要么上，要么不让上。我记得，当我第一次碰到这样的情况时，还以为真的是自己的优化技术出现什么问题，反反复复改了N次。依然是１分。后来才发现，原来是Google把你的域名记入了某种类似sendbox沙盒的安全机制中。这种情况，如果你非常确信自己的广告没有违规，即不是Google仿品账户，也不是不太合规定的账户，就可以非常大胆的GG发邮件，痛斥其adwords系统的BUG。

目前已经陆续开始有左旋肉碱的adwords的账户出现问题。基本上会出现以下几种情况：

第一，如果你之前一直在比较正常的投放广告，会突然出现除了广告无法搜索，没有任何异常的情况。也就是前面第一提到的：没有拒登，但广告诊断工具里会显示“广告目前无法正常展示”，其它就没有了。

然后，你们会出第二种情况，重新开户。大部分作左旋肉碱的都是习惯了作偏门产品的，按近期的Google工作效率来看，换账户应该是家常便饭了。然后你会发现，换账户换域名重新提交以后，运气好的可能会展示几个小时，运气不好的就直接被K了，也就是所有关键字质量得分为１。我曾经提到过，关键字质量得分为１，实际上是被标记了处罚信息，而这个信息是记录在域名上的。所以出现问题的账户，如果重新开户是最好用新域名的。

其实还有一种情况，大概在1~2个月以前，就已经开始有苗头了，GOOGLE准备对左旋肉碱类产品下手了。我曾经碰到过一个很奇怪的案例，左旋肉碱的展示网络广告无法正常展示，但也不是完全没有展示，仅仅只是在每天的凌晨展示１~３个小时，具体时间不确实的。广告消费从原来的2000/天跌到100多元/天。当时在咨询了Google审核小组的有关人员后，给出了一个非常官方的答复，大意是：丰胸减肥类的广告受到了投诉，所以作出一限制。

关于解决办法，在没有亲手验证以前我是不能确定有效的。而且，也不可能长期有效。我的建议是，既然不让作，就算了吧。现在上左旋肉碱的adwords的竞价广告，亏钱的已经越来越多了。每个产品都有他的周期。如同娃娃……虽然现在左旋肉碱依然有非常多的竞价广告，但大家可以拭目以待。和google斗法，我们都还很年轻。

最后还是真诚的对大家说，不要作不愿让你家人看到的广告。作违规产品，并不是google adwords的唯一功能。让搜索引擎营销去服务于那些真正需要帮助的中小企业吧。