Wieso Du auf Updates und Backups nicht verzichten solltest. WordPress gehackt, SEO Spam und …

Heute schreibe ich seit langer Zeit mal wieder hier im Blog. Auch wenn das Theme seit dem letzten Update noch nicht mal ansatzweise fertig ist… egal … was mir heute über den Weg gelaufen ist, muss ich hier einfach mit Euch teilen. Also los geht es mit der Geschichte: “Wieso Du auf Updates und Backups nicht verzichten solltest” Eine Saga über gehackte WordPress, SEO Spam und richtig mieses Router Phishing.

Dass böse Hacker ungeschützte Webseiten und veraltete Content-Management-Systeme gerne für diverse Zwecke missbrauchen, sollte mittlerweile jedem bekannt sein. Den Payload, der mir heute über den Weg gelaufen ist, war so perfide SEO-relevant, dass ich ihn hier mit Euch teilen möchte.

Was ist passiert?

Von einem Bekannten wurde mir gemeldet, dass man neuerdings auch auf Security-Blacklisten wegen Black Hat SEO, bzw. SEO Spam landen könne. Da ich es nicht so recht glauben wollte, schließlich wurde SEO Spam bislang “nur” zum Bescheißen von Google und Monetarisieren der Rankings eingesetzt und mir erschloss sich nicht, wieso man dadurch zu einem sicherheitsrelevanten Problem wird. Die ausgenutzten Schwachstellen sind häufig ja bekannt und die Seiten einfach nicht gepatched…

Doch, siehe da, es gibt tatsächlich bei SUCURI einen Malware-Eintrag für spam-seo.hidden_content?!

Auf sucuri geblacklisted wegen Black Hat SEO?
Auf sucuri geblacklisted wegen Black Hat SEO?

In der Beschreibung steht was von versteckten Spam-Links und Black Hat SEO, aber immer noch nichts, was aus meiner Sicht einen Eintrag als Malware rechtfertigt.

Mein Interesse war aber geweckt und so schaute ich mir den Payload der Seite mal etwas genauer an. Das erste auf das ich stoß war der folgende Code-Schnipsel:

Versteckter Backlink im Kopf der Seite
Versteckter Backlink im Kopf der Seite

Also ein mittels display:none versteckter Link im <head> der Seite – so gut – so normal (bei Crap Hats). Wie man im Artikel bei sucuri nachlesen kann, gibt es natürlich noch wesentlich ausgefeiltere Methoden den Link zu verstecken.

Übrigens zieht der Link im <head>, denn wie wir auf der SMX 2018 in München erst kürzlich von John Müller erfahren durften, beendet ein HTML-Element wie <a> den Kopfbereich der Seite! Also sorgt jedes <img>, <p>, etc. das eigentlich in den <body> der Seite gehört, im <head> dazu, dass dieser für den GoogleBot an dieser Stelle endet und alle nachfolgenden Anweisungen intepretiert werden, als befänden diese sich im <body>.

Kleiner Ausflug: Das führt zum Beispiel auch dazu, dass ein Canonical-Link oder HREFLANG-Tag im Head ignoriert wird, wenn ein eingebundenes Script im <head> davor versehentlich ein Element ausgibt, beispielsweise ein Tracking-Pixel als IMG!

Aber zurück zum Thema Black Hat SEO! Also weiter im Code geschaut … und … siehe da:

Jetzt wirds böse, wer sieht gleich wieso?
Jetzt wirds böse, wer sieht gleich wieso?

Das ist mal richtig mies. Also ich meine jetzt nicht diesen pseudo Text und den weiteren Spamlinks, der einfach “nur” irgendeine Drecksseite zum ranken bringen soll, sondern den Link direkt darunter, kurz vor Ende des </body>:

<p hidden><a id="████" href="https://192-168-o-1.███/">192.168.0.1 login</a></p></body>

Da fiel es mir wie Schuppen von den Augen! Wisst ihr, wieso die Seite durch diese Payload nun sicherheitsrelevant wurde? Damian weiß es bestimmt, aber könnt ihr es euch erklären?

Auflösung in den Kommentaren

Wollt ihr schnelles und sicheres Hosting? Checkt meinen WP-Hoster Vergleich aus!

  • Kai Spriestersbach ist Inhaber, Herausgeber und Chefredakteur von SEARCH ONE. Daneben arbeitet er als freier Mitarbeiter im Bereich Research & Development für die eology GmbH mit Sitz in Volkach. Der studierte Bachelor of Science in E-Commerce forscht und arbeitet derzeit an einem innovativen E-Learning Konzept und ist als Lehrbeauftragter an der Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt (FHWS) tätig. Als Affiliate Publisher betreibt er zahlreiche Webseite, die er auch für seine Experimente im Bereich SEO verwendet. Kai verfügt insgesamt bereits über 15 Jahre Erfahrung im Bereich Online-Marketing und Webentwicklung und hat sich im Jahr 2009 auf nutzerzentrierte und technische SEO spezialisiert. Seit Ende 2019 hat er sich auf die Themen Forschung und Lehre fokussiert.

  • Show Comments (2)

2
Hinterlasse einen Kommentar

avatar
Phillip Groschup
Gast
Phillip Groschup

also ich fand’s spannend. Hab mir aber auch schon gedacht, dass da jemand irgendwelche Router-Betrügereien machen will.
Ist ja nicht gerade eine unbekannte IP.

Fies …

Schöne Grüße Kai

Wieso Du auf Updates und Backups nicht verzichten solltest. WordPress gehackt, SEO Spam und …

von Kai Spriestersbach Lesezeit: 3 min
2