Szenario: Ein Bekannter macht dich darauf aufmerksam, dass dein gut geranktes Blog nicht mehr bei Google gelistet ist. Du schaust nach und stellst fest, er hat recht! Warum schmeisst mich Google aus dem Index? Ich hab’ doch gar nichts verbotenes gemacht. Eine Email an Google und die darauf folgende Antwort bringen Licht in’s Dunkel:
Wir haben auf Ihren Seiten insbesondere die Verwendung folgender Techniken festgestellt:
verborgene Links auf domain.dez. B.
spambegriff 1
spambegriff 2
usw…
Erster Gedanke, das kann nicht sein! Aber eine genauere Untersuchung des Blogs zeigt, dass Google recht hat. Versteckt mit position:absolute; top:-3333px; left:-2222px???… befinden sich besagte Links unterhalb vieler Beiträge unsichtbar für den Leser aber sehr sichtbar für Suchmaschinen. Das Blog wurde wohl gehackt, wie weitere Nachforschungen zeigen. Wie das? Es war wohl nicht die aktuellste Version. Da WordPress ziemlich gut dokumentiert ist, sind natürlich auch die Schwachstellen der einzelnen Versionen für jeden gut einsehbar, aber auch Schwachstellen (XSS) in den Themes öffnen gerne mal ein Hintertürchen. In vielen Templates findet man die Versionsnummer von WordPress als Metatag im Header bzw. haben nicht gerade wenig User diese im Footer stehen. Mit diesen Infos ausgerüstet, kann man dann schon mal sein Glück versuchen sich Zugang zum Adminbereich oder zur Datenbank zu verschaffen.
Ach ja, das Szenario ist übrigens keine Erfindung sondern so wirklich passiert. Werbeblogger.de hatte da vor wenigen Tagen ziemliches Pech gehabt aber dank kompetenter Leserschaft klärte sich alles ziemlich schnell auf, die Lücken wurden gestopft, der Spam entfernt und die Seite bei Google wieder aufgenommen.
Wie kann man sich schützen? Updates nicht auf die lange Bank schieben um vorhandene und bekannte Lücken schnell zu schliessen. Die Versionsnummer besser nicht öffentlich anzeigen lassen. Wenn man schon nicht Up to Date ist, muss man das ja nicht noch nach aussen kommunizieren. Hier gibt’s noch ein paar Tipps zum Thema und “BlogSecurity” ist auch ein Besuch wert. Blog Security ist ein Tool mit dem man sein Blog nach Schwachstellen abklopfen lassen kann. Dazu gibt es dann Tipps wie man gefundene Lücken schliessen kann.
Du willst was sagen?! Na dann mal los.