Wer Opensource Software wie Wordpress nutzt sollte tunlichst darauf achten Updates nicht zu verpassen. Auch einen Google Alert ist in diesem Bereich sicher eine gute Idee. Der Grund für diesen Beitrag liegt darin, dass diese Achtsamkeit bei Vielen Nutzern nicht im Blick ist. Was passieren kann zeige ich am Beispiel einer Site, die durch ausgefeilte Blackhat Techniken für Linkbuilding missbraucht wurde.
Die betroffenen Webseite erlebte einen Einbruch im Google-Traffic, was die Folge von massiven Verlusten im Ranking darstellte. Auch über einen recht langen Zeitraum traten keine anhaltenden positiv gearteten Änderungen auf. In der SEO Toolbox von Sistrix ist dies gut erkennbar:
Ein erster Check der Website zeigte keine Auffälligkeiten und die SEO Hausaufgaben sind gemacht worden. Jedoch ein Blick in die Textversion des Google Cache zeigte die Ursachen für die Verluste im Ranking. Im Footer der Seite waren nun 50 Links zu sehen, die jeweils Linktexte aus dem Bereich von Potenzmittel und anderen Medikamenten beinhalteten. 
Die Linkziele waren jeweils andere Unterseiten verschiedener EDU Domains. Diese Uni Unterseiten (eindeutig Studenten-Accounts) enthielten 301 Weiterleitungen auf ein entsprechendes Projekt, welches in der Regel nie Verlinkungen auf normalem Wege erhalten hätte.
Durch eine Cloacking Technik wurden die Verlinkungen nur beim AUfruf der Seiten durch den Google Spider integriert und so blieb die Problematik für den Betreiber auch verdeckt.
Die Ursache für diese Integration war ein Exploit der Wordpress 2.6 Version. Durch diese Lücke wurde eine PHP Datei auf den Server aufgespielt, mit welcher ein Vollzugriff auf den Server (ähnlich einer Root-Shell) ermöglicht wurde. Über diesen Zugang konnte ein modifiziertes Plugin in Wordpress integriert werden, welches für die entsprechenden Verlinkungen sorgte.
Ein schnelles Update hätte hier einiges an Arbeit und auch entgangenen Traffic erspart.
“Die Ursache für diese Integration war ein Exploid der Wordpress 2.6 Version.”
-> “Exploit” mit T
Vielen Dank für den Hinweis!!!
Es ist gar nicht so leicht, alle sicherheitsrelevanten Sachen im Auge zu behalten, da sind solche Tipps immer sehr hilfreich. Danke dafür -und das immer interessante Blog!
Was noch helfen dürfte:
Wenn die gehackte Seite nicht im Cache auftaucht, wird wahrscheinlich (IP-)Cloaking eingesetzt. D.h. der User sieht etwas anderes, als der Google Robot.
Um das zu überprüfen einfach bei den Google Webmaster Tools mal “Fetch as Googlebot” anwenden, nur so sieht man tatsächlich, was der Google Bot ausgeliefert bekommt.
Yep! Die Google Webmaster Tools sind hier eine gute Hilfe, um solche SEO Techniken aufzudecken.
Aktuell geht sowas auch im Bereich Typo3 rum. Ergo:
Vorsicht bei Typo3 Erweiterungen!!!