Back Button Hijacking - Google обявява война на сайтовете, които те държат в капан (и какво трябва да направиш преди 15 юни 2026 г.)

Познаваш усещането. Кликаш на резултат в Google, разглеждаш страницата за секунда и решаваш - не, това не е за мен. Натискаш бутона Назад. И... нищо. Или по-лошо - отиваш на друга страница, която никога не си посещавал. Натискаш пак. Пак нещо различно. Чак след три, четири, пет клика успяваш да се върнеш в Google. Прекарал си следващите десет секунди в капан на сайт, от който искаш само да излезеш. Тази практика се казва back button hijacking. И на 13 април 2026 г., Google официално я обяви за спам. Не е изненада за потребителите - те са се дразнили от това с години. Изненадата е, че Google чак сега реши да го накаже. И по-важното: срокът е твърд. От 15 юни 2026 г. сайтовете, практикуващи back button hijacking, рискуват manual spam action или автоматично понижаване в резултатите от търсенето. Имаш точно два месеца да се оправиш.

Важна дата

Enforcement на новата политика започва на 15 юни 2026 г. Google публикува обявлението два месеца предварително, за да дадат на собствениците на сайтове време за корекция. След тази дата - наказанията са активни.

Какво е back button hijacking - точното определение

Google дефинира back button hijacking като всяка ситуация, в която сайт се намесва в браузърната навигация на потребителя и му пречи да използва бутона Назад, за да се върне незабавно на предишната страница. В официалното съобщение от Google Search Central Blog, публикувано от Chris Nelson от екипа по качество на търсенето, практиката е добавена към категорията "malicious practices" в spam политиките на Google. Не "discouraged behavior", не "best practices violation" - a malicious practice. Това е категорията на фишинг, cloaking и скрити пренасочвания. Конкретните форми, в които се проявява:

Потребителят натиска Назад и е изпратен на страница, която никога не е посещавал - рекламна страница, "препоръки", или друга вътрешна страница на сайта
Натискането на Назад не прави нищо - страницата просто се презарежда
Потребителят трябва да натисне Назад три, четири или повече пъти, за да излезе от сайта
При опит за напускане се появява overlay с реклами или "специална оферта", вместо браузърът да се върне назад
Сайтът добавя множество идентични записи в browsing историята, създавайки фиктивна "история"

Adam Thompson, директор по дигитално в BCS - the Chartered Institute for IT, коментира пред BBC: практики като back button hijacking подкопават базовото потребителско изживяване и нарушават очакванията, които хората имат за това как трябва да работи интернет.

Как работи технически - History API и злоупотребата с него

За да разбереш защо е трудно за засичане и толкова лесно за злоупотреба, трябва да разбереш как браузърът управлява историята на навигацията. Всеки браузър поддържа session history - списък от страниците, които си посетил в текущата сесия. Бутонът Назад просто се движи назад в този списък. JavaScript обаче дава на уеб разработчиците директен достъп до тази история чрез History API - и по-конкретно чрез методите history.pushState() и history.replaceState(). pushState() добавя нов запис в историята без да зарежда нова страница. Това е абсолютно легитимна и необходима функционалност за Single-Page Applications (SPA) - Next.js, React Router, Vue Router всички я използват за да симулират навигация между "страниците" без пълно презареждане. Когато кликнеш от /products към /products/123 в добре изграден React сайт, pushState() работи зад кулисите. Злоупотребата изглежда така:

Javascript

// ❌ Back button hijacking - добавя фиктивни записи при зареждане на страницата
window.addEventListener('load', function() {
  // Добавя множество идентични записи в историята
  history.pushState(null, null, window.location.href)
  history.pushState(null, null, window.location.href)
  history.pushState(null, null, window.location.href)
})
 
// Прихваща опита за навигация назад
window.addEventListener('popstate', function(e) {
  // Вместо да позволи излизане, пренасочва към рекламна страница
  window.location.href = '/special-offer-you-cant-miss'
})

Когато потребителят натисне Назад, браузърът се връща към предишния запис в историята - но тъй като са добавени три фиктивни записа при зареждане, трябва да натиснеш четири пъти, преди да излезеш от сайта. На практика - в капан. Законните употреби на History API, от друга страна, изглеждат съвсем различно. SPA, slideshow с URL синхронизация, infinite scroll с актуализиране на URL, modal диалози - всичко това използва pushState(), но с ясна логика: бутонът Назад те връща към предишното логично състояние в приложението. Ако гледаш снимка в галерия и натиснеш Назад - връщаш се към галерията. Това е очакваното поведение. Hijacking-ът го нарушава.

Защо точно сега - контекстът зад решението

Back button hijacking не е нова практика. Съществува от години и Google е знаел за нея. Защо тогава официалното обявление идва едва сега, в април 2026 г.? Официалното обяснение е, че Google е "наблюдавал нарастване на това поведение". Контекстът обаче е по-богат. Последните две-три години бяха тежки за голяма част от уеб издателите. AI Overviews на Google, нулевите кликове и спадащите реферални трафик от търсачките означаваха едно: трябваше да се изцеди повече от всеки посетител, стигнал до сайта. Времето на страницата, броят прегледани реклами, bounce rate - всичко започна да се оптимизира агресивно. И back button hijacking беше един от инструментите - задържи потребителя, изкарай още едно рекламно impression, преди да ги пуснеш. Времевият момент не е случаен. Back button hijacking се е разпространил все повече, тъй като издателите се борят за engagement метрики и рекламни приходи в пейзаж, преоформен от AI overviews, нулеви кликове и спадащ реферален трафик. Тенденцията се вписва и в по-широкия модел на Google spam политиките от последните две години: март 2024 г. - политики срещу site reputation abuse и scaled content abuse; август 2025 г. - дълъг spam update; март 2026 г. - глобален spam update; и сега - back button hijacking. Всяко следващо допълнение таргетира поведение, случващо се след клика от търсачката. Google все по-ясно казва: отговорността ти не свършва с оптимизацията на страницата. Тя продължава с цялото потребителско изживяване след кликването. Има и един допълнителен, малко известен детайл с огромно значение. От декември 2024 г. Google свърза manual search penalties с Google Ads eligibility - за първи път в историята на компанията. Ако получиш manual spam action за back button hijacking, съществува реален риск да засегне и способността ти да рекламираш чрез Google Ads. За сайтове, разчитащи едновременно на органичен трафик и платена реклама, това е двойна заплаха.

Кой е реално застрашен

Преди да влезеш в паника или в режим "не се отнася за мен", нека разгледаме реалния профил на застрашените сайтове. Най-висок риск имат сайтовете с агресивна монетизация и висока зависимост от рекламни мрежи - новинарски агрегатори, free software download сайтове, coupon и deals платформи, adult content сайтове и всякакви publisher мрежи с тежко ad покритие. Тези категории исторически са най-склонни да използват retention тактики, включително history manipulation. Среден риск имат сайтовете, използващи агресивни exit-intent инструменти, popup builder-и и engagement widget-и. Много от тези инструменти добавят функционалности, свързани с опитите за напускане на страницата. Ако popup-ът ти се задейства при натискане на Назад, а не при движение на мишката към горния ъгъл - вероятно имаш проблем. По-нисък, но съществуващ риск имат сайтовете с:

Legacy код, непреглеждан от години
Множество трети страни скриптове (ad networks, analytics инструменти, consent management platforms, A/B testing tools)
WordPress плъгини за "engagement" или "anti-bounce"
Affiliate redirect вериги

Критично: отговорността е твоя, дори при трети страни

Google изрично предупреждава: ако back button hijacking идва от библиотека на трета страна, рекламна мрежа или плъгин - наказанието пак пада върху твоя домейн. Не е достатъчно да кажеш, че не си знаел. Отговорен си за всичко, което работи на твоя сайт.

Как да проверите дали сайтът ти е засегнат

Добрата новина: проверката е сравнително проста и не изисква специализирани инструменти.

Ръчен тест - най-бързото

Стъпка 1: Отвори Google и потърси нещо, за което сайтът ти се класира. Кликни на резултата - важно е да дойдеш от Google, не директно от URL бара. Стъпка 2: Веднага натисни бутона Назад. Очакван резултат: Връщаш се в Google резултатите след един единствен клик. Проблемен резултат: Не се случва нищо, зарежда се друга страница, или трябва да натиснеш повече от веднъж. Стъпка 3: Десен клик на бутона Назад (или задръж натиснат на мобилно) - виж историята. При нормален сайт трябва да виждаш Google. При hijacking - ще виждаш множество записи от същия сайт.

Технически одит на кода

В Chrome DevTools (F12) -> Application -> Session Storage провери session history. Или директно в конзолата:

Javascript

// Провери history length - при нормална страница е 1-2
// При hijacking може да е 5-10+
console.log('History length:', history.length)

// Търси в кода за подозрителни употреби на History API
// Отвори Sources tab и потърси:
// history.pushState (легитимно в SPA, проблем при page load без user action)
// history.replaceState (по-рядко злоупотребявано)
// popstate event listeners (проверих дали прихващат само за навигация или за капаниране)

Одит на третостранни скриптове

Това е най-важната и най-пренебрегвана стъпка. Отвори DevTools -> Network tab -> филтрирай по JS. Виж всичко, което се зарежда от external домейни. За всеки непознат скрипт - провери:

От кого е? Легитимна компания ли е?
Нужен ли е? Какво прави?
Кога последно е преглеждан?

Инструментът за тест от Google Search Console -> Manual Actions ще ти покаже ако вече имаш наложено действие.

Как да се оправиш - практическа стъпка по стъпка

Стъпка 1 - Идентифицирай источника

Повечето случаи на back button hijacking идват от едно от следните места:

Рекламни мрежи - особено по-малки и агресивни мрежи, монетизиращи трафик. Google AdSense обикновено е безопасен, но programmatic ad exchanges - не задължително.
Exit-intent popup инструменти - OptinMonster, Sumo, Privy и подобни могат да бъдат конфигурирани да се задействат при back button.
Engagement и anti-bounce плъгини - WordPress плъгини, обещаващи "намален bounce rate" са класически источник.
Push notification инструменти - някои добавят history записи при subscribe flow.
Content recommendation widgets - Taboola, Outbrain и подобни имат минали проблеми с подобно поведение.
Legacy JavaScript код - написан преди години, забравен, но все още работещ.

Стъпка 2 - Отстрани проблема

Ако источникът е твой собствен код - премахни или преработи логиката около pushState и popstate event listeners.

Javascript

// ❌ Премахни: history manipulation при page load
window.addEventListener('load', () => {
  history.pushState(null, null, location.href) // ПРЕМАХНИ
})

// ❌ Премахни: прихващане на back button за нецелеви пренасочвания
window.addEventListener('popstate', () => {
  window.location = '/some-other-page' // ПРЕМАХНИ
})

// ✅ Запази: легитимна SPA навигация, реагираща на user action
document.getElementById('next-slide').addEventListener('click', () => {
  history.pushState({ slide: 2 }, '', '/presentation/slide-2') // НОРМАЛНО
})

Ако источникът е трета страна - деактивирай или премахни въпросния скрипт/плъгин. Свържи се с доставчика за да разбереш дали имат конфигурационна опция за деактивиране на history manipulation.

Стъпка 3 - Провери отново

След направените промени - повтори ръчния тест. Дойди от Google, натисни Назад, провери дали се върна на Google след един клик. Провери на мобилно и на десктоп.

Стъпка 4 - Мониторинг напред

Добави проверката на back button поведението към редовния QA процес на сайта - особено при качване на нови версии или добавяне на нови трети страни скриптове.

Легитимна употреба vs. hijacking - границата

Важно е да е ясно: Google не таргетира законните употреби на History API. Модерните уеб приложения разчитат на него и нямат нужда да се притесняват.

Употреба	Легитимна ли е?	Защо
SPA навигация (React Router, Next.js)	Да	Бутонът Назад връща към предишното логично UI състояние
Slideshow с URL синхронизация	Да	Потребителят навигира напред/назад в слайдовете по желание
Infinite scroll с URL update	Да	URL отразява текущата позиция, Назад работи нормално
Modal диалог с URL промяна	Да	Назад затваря модала - очаквано поведение
'Несъхранени промени' alert при form	Да	Предупреждение, не капан - потребителят може да продължи
Множество pushState при page load	Не	Няма user action, целта е да се затрудни напускането
Redirect към друга страница при popstate	Не	Потребителят иска да се върне назад, не да отиде другаде
Exit-intent popup при back button click	Не	Прихваща back button вместо движение на мишката
Фиктивни history записи за увеличаване на session depth	Не	Чиста манипулация на метрики

По-широкият контекст - накъде върви Google

Back button hijacking не е изолирано решение. То е следващото звено в ясна верига от решения, с която Google постепенно разширява отговорността на собствениците на сайтове отвъд класическите on-page SEO фактори. Погледни хронологията: site reputation abuse (2024), scaled content abuse (2024), expired domain abuse (2024), back button hijacking (2026). Всяко от тях таргетира поведение, случващо се след клика от Search - в post-click потребителското изживяване. Google все по-ясно казва: не е достатъчно да имаш добро съдържание. Целото изживяване след кликването трябва да е честно и полезно. За SEO специалистите това означава ново разширяване на обхвата. Browser behavior вече е part of search hygiene. За разработчиците - history handling вече не е чисто front-end архитектурен въпрос. За ad operations и монетизационните екипи - някои retention тактики, генериращи приходи, са станали материален SEO риск.

По-широка поука

Ако сайтът ти има back button hijacking, вероятно има и други deceptive friction patterns. Агресивни overlays, реклами, стилизирани като навигация, interstitial overload, modal spam. Back button hijacking рядко е единственият проблем - той е симптом на по-широка философия, която Google вече не толерира.

Ако вече имаш наказание - какво следва

Ако открия manual action в Search Console - не паникувай. Процесът е следният:

Идентифицирай и отстрани напълно проблема - не го minimizirай, не го скривай. Пълно премахване.
Провери че проблемът е решен - ръчен тест от Google, тест на мобилно и десктоп, тест на ключови landing pages.
Подай reconsideration request в Google Search Console - обясни какво откри, какво направи и как се е уверил, че е решено.
Изчакай - manual action reviews отнемат от няколко дни до няколко седмици.

При algorithmic demotion (без manual action) - след отстраняване на проблема, Google обикновено коригира ранкирането при следващото crawling и indexing. Срокът е непредвидим - може да е дни, може да са седмици.

Често задавани въпроси

SPA приложението ми използва history.pushState - в риск ли съм?

Не - ако употребата е легитимна. SPA навигацията е изрично изключена от Google. Тестът е прост: когато потребителят натисне Назад, връща ли се към предишното логично UI състояние в приложението, или е блокиран/пренасочен неочаквано? Ако бутонът Назад работи интуитивно - нямаш проблем. Ако добавяш pushState записи при page load без user action - това е red flag.

Как да разбера дали рекламната мрежа ми причинява проблема?

Временно деактивирай рекламната мрежа на тестова страница и повтори ръчния тест. Ако проблемът изчезне - рекламната мрежа е виновна. Свържи се с доставчика и поискай отговор. Ако не предоставят fix - смени мрежата. Отговорността е твоя, независимо от чий е кодът.

Exit-intent popup-ите ми нарушение ли са?

Зависи от имплементацията. Exit-intent popup, задействан от движение на мишката към горния ъгъл на браузъра - обикновено не е проблем. Exit-intent popup, задействан от натискане на бутона Назад (чрез popstate event) - вероятно е нарушение. Провери документацията на инструмента си и тествай поведението.

Засяга ли политиката мобилни устройства?

Ако оправя проблема след 15 юни, мога ли да си върна ранкирането?

Да. Google изрично посочва, че сайтове, получили наказание и след това отстранили проблема, могат да подадат reconsideration request. При algorithmic demotion - без нужда от request, Google коригира при следващото crawling. Важно е да действаш бързо: колкото по-дълго трае нарушението след 15 юни, толкова по-голям е трафичният загуб.

Back button hijacking е един от онези случаи, в които правилното за потребителя и правилното за SEO съвпадат напълно. Бутонът Назад е може би най-базовото очакване, което потребителят има от браузъра. Когато то е нарушено, доверието се руши - не само в конкретния сайт, но в интернет като цяло. Google не прави никаква услуга на издателите с тази политика - тя е закъснял корективен ход срещу практика, от която никой освен агресивните monetization екипи не е печелил. Ако сайтът ти е чист - добре. Ако не е - имаш до 15 юни 2026 г. да го оправиш. Не е много, но е достатъчно.

Back Button Hijacking - Google обявява война на сайтовете, които те държат в капан (и какво трябва да направиш преди 15 юни 2026 г.)

Какво е back button hijacking - точното определение

Как работи технически - History API и злоупотребата с него

Защо точно сега - контекстът зад решението

Кой е реално застрашен

Как да проверите дали сайтът ти е засегнат

Ръчен тест - най-бързото

Технически одит на кода

Одит на третостранни скриптове

Как да се оправиш - практическа стъпка по стъпка

Стъпка 1 - Идентифицирай источника

Стъпка 2 - Отстрани проблема

Стъпка 3 - Провери отново

Стъпка 4 - Мониторинг напред

Легитимна употреба vs. hijacking - границата

По-широкият контекст - накъде върви Google

Ако вече имаш наказание - какво следва

Често задавани въпроси

Последни публикации