Wieso Du auf Updates und Backups nicht verzichten solltest. WordPress gehackt, SEO Spam und …

Heute schreibe ich seit langer Zeit mal wieder hier im Blog. Auch wenn das Theme seit dem letzten Update noch nicht mal ansatzweise fertig ist… egal … was mir heute über den Weg gelaufen ist, muss ich hier einfach mit Euch teilen. Also los geht es mit der Geschichte: “Wieso Du auf Updates und Backups nicht verzichten solltest” Eine Saga über gehackte WordPress, SEO Spam und richtig mieses Router Phishing.

Dass böse Hacker ungeschützte Webseiten und veraltete Content-Management-Systeme gerne für diverse Zwecke missbrauchen, sollte mittlerweile jedem bekannt sein. Den Payload, der mir heute über den Weg gelaufen ist, war so perfide SEO-relevant, dass ich ihn hier mit Euch teilen möchte.

Was ist passiert?

Von einem Bekannten wurde mir gemeldet, dass man neuerdings auch auf Security-Blacklisten wegen Black Hat SEO, bzw. SEO Spam landen könne. Da ich es nicht so recht glauben wollte, schließlich wurde SEO Spam bislang “nur” zum Bescheißen von Google und Monetarisieren der Rankings eingesetzt und mir erschloss sich nicht, wieso man dadurch zu einem sicherheitsrelevanten Problem wird. Die ausgenutzten Schwachstellen sind häufig ja bekannt und die Seiten einfach nicht gepatched…

Doch, siehe da, es gibt tatsächlich bei SUCURI einen Malware-Eintrag für spam-seo.hidden_content?!

Auf sucuri geblacklisted wegen Black Hat SEO?
Auf sucuri geblacklisted wegen Black Hat SEO?

In der Beschreibung steht was von versteckten Spam-Links und Black Hat SEO, aber immer noch nichts, was aus meiner Sicht einen Eintrag als Malware rechtfertigt.

Mein Interesse war aber geweckt und so schaute ich mir den Payload der Seite mal etwas genauer an. Das erste auf das ich stoß war der folgende Code-Schnipsel:

Versteckter Backlink im Kopf der Seite
Versteckter Backlink im Kopf der Seite

Also ein mittels display:none versteckter Link im <head> der Seite – so gut – so normal (bei Crap Hats). Wie man im Artikel bei sucuri nachlesen kann, gibt es natürlich noch wesentlich ausgefeiltere Methoden den Link zu verstecken.

Übrigens zieht der Link im <head>, denn wie wir auf der SMX 2018 in München erst kürzlich von John Müller erfahren durften, beendet ein HTML-Element wie <a> den Kopfbereich der Seite! Also sorgt jedes <img>, <p>, etc. das eigentlich in den <body> der Seite gehört, im <head> dazu, dass dieser für den GoogleBot an dieser Stelle endet und alle nachfolgenden Anweisungen intepretiert werden, als befänden diese sich im <body>.

Kleiner Ausflug: Das führt zum Beispiel auch dazu, dass ein Canonical-Link oder HREFLANG-Tag im Head ignoriert wird, wenn ein eingebundenes Script im <head> davor versehentlich ein Element ausgibt, beispielsweise ein Tracking-Pixel als IMG!

Aber zurück zum Thema Black Hat SEO! Also weiter im Code geschaut … und … siehe da:

Jetzt wirds böse, wer sieht gleich wieso?
Jetzt wirds böse, wer sieht gleich wieso?

Das ist mal richtig mies. Also ich meine jetzt nicht diesen pseudo Text und den weiteren Spamlinks, der einfach “nur” irgendeine Drecksseite zum ranken bringen soll, sondern den Link direkt darunter, kurz vor Ende des </body>:

<p hidden><a id="████" href="https://192-168-o-1.███/">192.168.0.1 login</a></p></body>

Da fiel es mir wie Schuppen von den Augen! Wisst ihr, wieso die Seite durch diese Payload nun sicherheitsrelevant wurde? Damian weiß es bestimmt, aber könnt ihr es euch erklären?

Auflösung in den Kommentaren

Wollt ihr schnelles und sicheres Hosting? Checkt meinen WP-Hoster Vergleich aus!

  • Kai Spriestersbach gehört mit mehr als 15 Jahren Online-Marketing-Erfahrung zu den erfahrensten Suchmaschinen-Marketern in Deutschland. Der studierte Bachelor of Science in E-Commerce hat sich auf die strategische Beratung sowie Ausbildung und Weiterbildung in Digitalem Business sowie Web- und Suchmaschinen-Technologien spezialisiert. Als Dozent ist er sowohl für die 121WATT – School of Digital Marketing & Innovation als auch für die Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt im Fachbereich E-Commerce tätig. Daneben unterstützt Kai Spriestersbach gerne innovative Startups, ist als Affiliate-Publisher tätig und entwickelt und vermarktet digitale Produkte im Bereich WordPress, SEO und Online-Marketing.

  • Show Comments (2)

2
Hinterlasse einen Kommentar

avatar
Phillip Groschup
Gast
Phillip Groschup

also ich fand’s spannend. Hab mir aber auch schon gedacht, dass da jemand irgendwelche Router-Betrügereien machen will.
Ist ja nicht gerade eine unbekannte IP.

Fies …

Schöne Grüße Kai

You May Also Like

WordPress-Page-Builder im Test: Vergleich der 7 besten Visual Site-Builder

Das Leben eines Website-Betreibers ist schon schwer genug. Da muss jener nicht auch noch ...

VisualComposer-VS-WPBakery-Page-Builder

Visual Composer vs. WPBakery Page Builder

In diesem Artikel beschäftigen wir uns mit den Unterschieden zwischen dem Visual Composer Website ...

Das WordPress Plugin für Amazon Affiliates

Die besten Amazon-Affiliate-Link-Plugins für WordPress

Es gibt eine ganze Reihe von WordPress-Plugins, die dabei helfen können, eine Website zu ...

Verpasse keine wichtige SEO-News mehr!
Melde Dich zu meinem SEO-Newsletter an.
Du bekommst wichtige News und kostenlose Tipps automatisch in Dein Postfach geschickt.
Ich akzeptiere die Einwilligungsserklärung.
Keine Sorge, ich hasse Spam genauso wie Du.
Außerdem kannst Du Dich jederzeit wieder abmelden ;o)
close-link

Wieso Du auf Updates und Backups nicht verzichten solltest. WordPress gehackt, SEO Spam und …

von Kai Spriestersbach Lesezeit: 3 min
2

Um unsere Webseite verbessern zu können, benötigen wir ein paar Cookies. Weitere Informationen bekommst Du in der Datenschutzerklärung. Bitte stimme der Verwendung zu, in dem Du auf 'Akzeptieren' klickst. Vielen Dank!