Wieso Du auf Updates und Backups nicht verzichten solltest. WordPress gehackt, SEO Spam und …

Heute schreibe ich seit langer Zeit mal wieder hier im Blog. Auch wenn das Theme seit dem letzten Update noch nicht mal ansatzweise fertig ist… egal … was mir heute über den Weg gelaufen ist, muss ich hier einfach mit Euch teilen. Also los geht es mit der Geschichte: „Wieso Du auf Updates und Backups nicht verzichten solltest“ Eine Saga über gehackte WordPress, SEO Spam und richtig mieses Router Phishing.

Dass böse Hacker ungeschützte Webseiten und veraltete Content-Management-Systeme gerne für diverse Zwecke missbrauchen, sollte mittlerweile jedem bekannt sein. Den Payload, der mir heute über den Weg gelaufen ist, war so perfide SEO-relevant, dass ich ihn hier mit Euch teilen möchte.

Was ist passiert?

Von einem Bekannten wurde mir gemeldet, dass man neuerdings auch auf Security-Blacklisten wegen Black Hat SEO, bzw. SEO Spam landen könne. Da ich es nicht so recht glauben wollte, schließlich wurde SEO Spam bislang „nur“ zum Bescheißen von Google und Monetarisieren der Rankings eingesetzt und mir erschloss sich nicht, wieso man dadurch zu einem sicherheitsrelevanten Problem wird. Die ausgenutzten Schwachstellen sind häufig ja bekannt und die Seiten einfach nicht gepatched…

Doch, siehe da, es gibt tatsächlich bei SUCURI einen Malware-Eintrag für spam-seo.hidden_content?!

Auf sucuri geblacklisted wegen Black Hat SEO?
Auf sucuri geblacklisted wegen Black Hat SEO?

In der Beschreibung steht was von versteckten Spam-Links und Black Hat SEO, aber immer noch nichts, was aus meiner Sicht einen Eintrag als Malware rechtfertigt.

Mein Interesse war aber geweckt und so schaute ich mir den Payload der Seite mal etwas genauer an. Das erste auf das ich stoß war der folgende Code-Schnipsel:

Versteckter Backlink im Kopf der Seite
Versteckter Backlink im Kopf der Seite

Also ein mittels display:none versteckter Link im <head> der Seite – so gut – so normal (bei Crap Hats). Wie man im Artikel bei sucuri nachlesen kann, gibt es natürlich noch wesentlich ausgefeiltere Methoden den Link zu verstecken.

Übrigens zieht der Link im <head>, denn wie wir auf der SMX 2018 in München erst kürzlich von John Müller erfahren durften, beendet ein HTML-Element wie <a> den Kopfbereich der Seite! Also sorgt jedes <img>, <p>, etc. das eigentlich in den <body> der Seite gehört, im <head> dazu, dass dieser für den GoogleBot an dieser Stelle endet und alle nachfolgenden Anweisungen intepretiert werden, als befänden diese sich im <body>.

Kleiner Ausflug: Das führt zum Beispiel auch dazu, dass ein Canonical-Link oder HREFLANG-Tag im Head ignoriert wird, wenn ein eingebundenes Script im <head> davor versehentlich ein Element ausgibt, beispielsweise ein Tracking-Pixel als IMG!

Aber zurück zum Thema Black Hat SEO! Also weiter im Code geschaut … und … siehe da:

Jetzt wirds böse, wer sieht gleich wieso?
Jetzt wirds böse, wer sieht gleich wieso?

Das ist mal richtig mies. Also ich meine jetzt nicht diesen pseudo Text und den weiteren Spamlinks, der einfach „nur“ irgendeine Drecksseite zum ranken bringen soll, sondern den Link direkt darunter, kurz vor Ende des </body>:

<p hidden><a id="████" href="https://192-168-o-1.███/">192.168.0.1 login</a></p></body>

Da fiel es mir wie Schuppen von den Augen! Wisst ihr, wieso die Seite durch diese Payload nun sicherheitsrelevant wurde? Damian weiß es bestimmt, aber könnt ihr es euch erklären?

Auflösung in den Kommentaren

  • Kai Spriestersbach ist Bachelor of Science in E-Commerce und gehört mit mehr als 14 Jahren Online Marketing Erfahrung zu den erfahrensten Suchmaschinen-Marketern in Deutschland. Er hat sich als Online Strategy Consultant und strategischer Partner der eology GmbH und Inhaber von SEARCH ONE auf die strategische SEO-Beratung und Seminare zum Thema SEO und Suchmaschinen-Technologie und -Marketing spezialisiert. Daneben unterstützt und berät Kai Spriestersbach Startups in Web-Technologie- und Online-Marketing-Fragen, ist als Affiliate Publisher tätig und entwickelt innovative SEO- und Analyse-Tools.

  • Show Comments (2)

  • Phillip Groschup

    also ich fand’s spannend. Hab mir aber auch schon gedacht, dass da jemand irgendwelche Router-Betrügereien machen will.
    Ist ja nicht gerade eine unbekannte IP.

    Fies …

    Schöne Grüße Kai

  • Kai

    Vielleicht hast Du es Dir schon gedacht? Die Seite will für die Suchanfrage „192.168.0.1 login“ ranken, damit dann unbedarfte Nutzer auf der rankenden Seite direkt mal ihre Router-Logindaten eintippen. Also Search Engine Poisoning mit Phishing! SEO kann also tatsächlich sicherheitsrelevant werden, wenn irgendwelche Seiten ranken und unbedarfte Nutzer die Adressleiste mit der Suchleiste verwechseln, bzw. den Unterschied und die Mehrfachfunktion nicht kennen UND dann auch noch der Seite vertrauen, die rankt … https://www.symantec.com/connect/blogs/search-engine-poisoning-sep-update-dangerous-searches

Your email address will not be published. Required fields are marked *

comment *

  • name *

  • email *

  • website *

Diese Webseite benötigt Cookies, um optimal zu funktionieren. Bitte stimmen Sie der Verwendung zu, in dem Sie auf 'Akzeptieren' klicken.