“Meine Website wird auf eine Apotheke weitergeleitet!” oder “meine website wurde gehackt” – das kommt häufiger per Email in meinem Postfach an.
Ein Problem, das viele Websites betrifft.
Auf Google werden Links zu Ihrer Seite mit Werbung angezeigt und führen womöglich nicht auf die von Ihnen bereitgestellten Inhalte?
Vermutlich hat sich Ihre Website den songenannten PHARMA HACK eingefangen.
Aber, wie war es schon in großen schönen Lettern auf den Hitchhiker’s Guide gedruckt:
Don’t Panic.
Keine Panik also. Das Problem läßt sich gut in den Griff bekommen. Wie eine Vireninfektion auf dem PC ist Ihre Website davon betroffen und es müssen Maßnahmen ergriffen werden, das Problem wieder los zu werden.
Wenn Sie schnelle Hilfe benötigen, helfe ich Ihnen gerne dabei alles wieder in den Griff zu bekommen.
Zur Info:
Nicht nur Sie sind davon betroffen. Es handelt sich um ein weit verbreitetes Problem, das schon seit vielen Jahren immerwieder für Ärger der Betroffenen sorgt. Besonders ältere Websites, die nicht richtig konfiguriert oder auf dem neusten Stand sind, sind davon betroffen. Sicherheitslücken werden dann ausgenutzt und Schadcode auf dem Server installiert.
So können Sie prüfen ob Ihre Seite betroffen ist
Wenn Sie sich sicher sein wollen, ob Ihre Seite tatsächlich davon betroffen ist, können Sie einfach und schnell überprüfen, wie Ihre Seite beispielsweise von Google indexiert wird.
Gehen Sie dafür wie gewohnt auf google.de und geben dort im Suchfeld wie folgt ein:
site:ihre-domain.de
Nun werden Ihnen alle Inhalte, die Google von Ihrer Website indexiert hat, aufgelistet. Sollten Sie jetzt Titel und Überschriften sehen, die nicht zu Ihren Seiteninhalten gehören, wurde Ihre Website vermutlich von Dritten geändert, bzw. gehackt.
Ok, aber das betrifft doch nur Links auf Google und nicht meine Seite?
Höufig wird vermutet, dass das Problem nur mit den Google Suchergebnissen im Zusammenhang steht. Leider ist das nicht richtig. Auch wenn Ihre Seite ganz normal abrufbar ist – z.B. unter ihre-seite.de/kontakt – haben Sie ein Problem, das man umgehend lösen sollte. Wenn Ihre Website bereits infiziert ist und ein Script bereits dafür gesorgt hat, dass Ihre Inhalte mit Kauderwelsch Wörtern rund um Viagra, Cialis, bestellen, kaufen, ohne Rezept usw. geschmückt wurden, können auch weitere Probleme entstehen. Schließlich befindet sich bereits ein “Einbrecher” in ihrem System. Das kann weitgehende Folgen haben. Zum Beispiel kann Ihre Seite als Mail Versender genutzt werden und Teil eines sogeannten Bot-Nets werden. Außerdem sind Passwörter, Newsletter, gespeicherte Personendaten nicht mehr sicher. Besonders dramatisch kann es werden, wenn Sie z.B. einen Online Store betreiben oder Nutzerkonten in der Datenbank gespeichert sind.
Wie konnte das passieren?
Falsch konfigurierte oder veraltete WordPress Installationen, bzw. veraltete Scripte und Websites sind anfällig für Angreifer aus dem Internet. Dabei wird durch den sogeanntent Pharma Hack Schad-Code direkt auf Ihrem Server ausgeführt. Häufig unbemerkt. Das kann unter Umständen dazu führen, dass Google und andere Suchmaschinen falsche oder manipulierte Suchergebnisse liefern, wenn man nach Ihrer Website oder nach Ihren Dienstleistungen sucht. Schnelles Handeln ist notwendig. Außerdem kann auch anderer Schaden angerichtet werden, wie Datenbank Inhalte, Passwörter, Emails und mehr. Ist ein Einfallstor geöffnet, kann alles mit den Daten passieren.
Suchergebnisse, die nicht zum Inhalt Ihrer Seite passen oder gar auf andere Seiten weiterleiten sind keine Seltenheit. Das ist schlecht für SEO (Suchmaschinenoptimierung)
und schadet nicht nur Ihrer Online Reputation.
Sofortmaßnahmen
Wenn Ihre Website betroffen ist, sollten Sie umgehend mit Ihrem Administrator oder einem Profi über die Probleme sprechen und Gegenmaßnahmen ergreifen.
Fehlerquellen sind in der Regel veraltete Plugins, WordPress, PHP, MySQL.
Wieso ist schnelles Handeln wichtig?
Stellen Sie sich vor, jemand taucht uneingeladen bei Ihnen zu Hause auf, setzt sich im Wohnzimmer auf die Couch, schnappt sich das Telefon und ruft nun von ihrem Telefon aus, die ganze Welt an um ihr mitzuteilen, wo man am besten Viagra oder Cialis in rauen Mengen bestellen kann und das Interessenten diese Produkte genau bei Ihnen zu Hause finden.
Immer mehr Interessenten suchen nun Ihre Wohnung auf, klopfen an die Tür und fragen nach den vermeintlichen Produkten – obwohl Sie die ja gar nicht anbieten – jedenfalls nicht das Sie davon wüssten. Es spricht sich überall in der Stadt herum und immer mehr Besucher kommen. Nun sagt der uneingeladene Besucher, den anderen Besuchern – “geht weiter zu dieser Adresse, da gibt es genau das, was ihr wollt” Ihre Wohnung wurde als Werbefläche benutzt, der Eindringling kann nun Interessenten gezielt umleiten.
Genau das passiert mit Ihrer Website. In Ihrer WordPress Installation werden nun diverse Seiten und Beiträge erstellt, die mit Inhalten wie “Jetzt Viagra 10mg bestellen” und “Apotheke-De”, “cialis günstig” usw. werben. Nun kommen Suchmaschinen und indexieren diese Inhalte. Dieser Hack ist auch bekannt als Pharma Hack.
Beispiel Links zu Ihrer Domain die in den Suchmaschinen auftauchen könnten:
/potenzmittel/, /sildehexal/, /dosierung-cialis/, /wirkung-cialis/, /viagra-rezept/, /kamagra/, /sildenafil-stada/ usw.
Besucher werden durch diese Links auf Ihre Seite gelockt, aber diese leitet diese direkt weiter zu “Online Apotheken” oder anderen Inhalten mit denen Sie und Ihre Seite nichts zu tun haben.
Das gemeine daran – nicht alle werden weitergeleitet, es kommen also Beuscher auf Ihre Seite die alles korrekt vorfinden, andere sehen Werbung für diverse Potenzmittel, wieder andere werden gleich ohne Hinweis auf unterschiedliche Websites weitergeleitet. Da macht es so schwierig, tatsächlich zu bemerken, dass die eigene Seite gehackt wurde.
Google, Bing und Co. werden irritiert – ihnen werden Inhalte vorgegaukelt, die zwar nicht von Ihnen stammen, aber für Suchmaschinen ist erstmal klar, dass sich dieser Inhalt auf Ihren Seiten befindet, bzw. von Ihnen stammen muss – und bald werden Inhalte und Überschriften dann zu Ihrer Seite verlinken.
Auch wenn der vermeintliche Inhalt nicht mit dem tatsächlichen Inhalt übereinstimmt.
Je länger man nun wartet, desto mehr Reichweite – man kann sagen, Werbefläche – haben die Eindringlinge – und das alles im Namen Ihrer Website, Ihres Restaurants, Praxis oder Vereins. Und Sie haben nichts davon, außer den Aufwand es wieder zu bereinigen.
Diese Art der Übernahme ist besonders ärgerlich, denn Sie schadet der Darstellung Ihrer Inhalte in den Suchmaschinen. Ihre SEO (Search Engine Optimisation) ist nun in Gefahr und sollte schleunigst wieder in die Richtige Richtung gebracht werden.
Außerdem wird durch vermeintliche Besucher ihr Server unnötig strapaziert, was die Ladegeschwindigkeit der Seite erheblich beeinträchtigen kann oder die Geschwindigkeit Ihrer Website.
Daher gibt Google auch häufig – aber nicht immer folgenden Hinweis aus:
Diese Website wurde möglicherweise gehackt.
Ihnen wird eventuell der korrekte Inhalt ihrer Website angezeigt.
Um das gesamte Problem noch etwas komplizierter zu Gestalten sind die Eindringlinge in Ihrem System mit allen Wassern gewaschen.
Sie haben vielleicht von Kunden oder Bekannten gehört, dass Ihre Seite merkwürdigen Inhalt oder Verlinkungen bereitstellt.
Schauen Sie nach, sieht doch alles so aus wie immer. Das Problem hier heißt GEO SPOOFING oder auch Link Cloaking – ein Cookie in Ihrem Browser oder aber die IP Adresse die Sie benutzen, wird vom Schadcode in Echtzeit analysiert und angewandt.
Besucher, die Ihre Seite über einen Direktlink besuchen (z.B. www.ihre-seite.de), bekommen dadurch eventuell andere Inhalte angezeigt, als Besucher die über Google oder Bing auf Ihrer Seite landen. Das gleiche passiert mit Besuchern aus unterschiedlichen Ländern und IP Adressen, Browser Sprachen, etc..
Jede Website kann technisch erkennen, woher Ihre Besucher stammen. Kommen Sie zum Beispiel über eine Suchanfrage bei Google.de, merkt Ihre Website dass jemand über eine Verlinkung der deutschen Google Suche auf Ihre Seite gekommen ist. Wird Google.fr benutzt, sieht Ihre Website, dass jemand über die französische Suche gekommen ist. Besucher, die Ihre Domain direkt ansteuern, können so mit alternativen Inhalten versorgt werden.
Wenn Sie Ihre eigene Website nun besuchen, wird Ihnen vorgegaukelt, alles sei in Ordnung. Denn die Seite erkennt nun, dass Sie mit Ihrer IP Adresse, Login oder Cookie die Inahberin oder der Inhaber sind.
Promt wird einfach alles vor ihren Augen versteckt – Sie sehen die Inhalte einfach nicht. Nur ein Blick in die Datenbank hilft hier, oder aber die Analyse des Quellcodes. Was wird versteckt, welches Skript wird ausgeführt?
Alternativ kann es auch passieren, dass zu bestimmten Uhrzeiten die Inhalte Ihrer Seite einfach umgstellt werden. Um 20Uhr sehen Sie andere Inhalte, als um 05Uhr in der Nacht. Das sorgt dafür, dass Google, Bing und Co. immer genau dann Ihre Seite indexieren kommen. Im Prinzip braucht die Seite nur einen Augenblick umgeschaltet werden, denn das reicht aus, in der Zeit Google und Bing zu rufen um die Seite jetzt zu indexieren.
Wie weiter oben beschrieben, können Sie ohne weiteres einfach auf google.de “site:ihre-domain.de” eingeben und sehen, welche Inhalte tatsächlich von Google und anderen Suchmaschinen indexiert wurden.
Löschen der infizierten Inhalte allein ist keine Lösung
Auch wenn man vermutet, dass das einfache Löschen von unerwünschten Inhalten auf Ihrer Website schon die Lösung des Problems sei, liegt man leider falsch. Denn die Inhalte alle zu entfernen ist zwar richtig und sollte auch umgehend geschehen. Aber das Problem, wie der Eindringling überhaupt Zugang in Ihr System erlangt haben könnte, ist damit längst nicht geklärt.
Zudem kann sich das Sicherheitsproblem in unterschiedlichen Bereichen Ihrere Website oder aber sogar Ihres PCs befinden. Oder was ist, wenn ein anderer Benutzer Ihrer Seite das Einfallstor war?
Passwörter und Benutzer könnten unter Umständen kompromittiert sein und sollten umgehend geändert werden.
Aber auch Plugins, Theme Templates, diverse Dateien, die Datenbank oder die WordPress Core Installation könnte betroffen sein und den Angreifern Zutritt zu Ihrer Website oder dem Server gewähren.
Ungewünschte Inhalte könnten nun wieder erstellt werden, ohne dass man es vorerst merkt und das gleiche Spiel beginnt von vorn.
Ähnlich wie bei einem mit Viren oder Malware infizierten PC. Man meint, es ist geschafft und auf einmal ist da schon wieder dieses PopUp…
Leider werden auch die falschen Inhalte vorerst nicht aus den Suchmaschinen verschwinden, das muss man tatkräftig in die Wege leiten.
Je schneller man allerdings gegen dieses Problem vorgeht, desto schneller wird man das Problem auch los.