URL-Hijacking

Eine gute Positionierung in den Suchmaschinen ist von grundlegender Wichtigkeit für den Erfolg eines Webprojekts. Tauchen Ihre Seiten weit oben in den Ergebnissen der Suchanfragen auf, ist die Chance groß, dass Suchmaschinennutzer den Weg zu Ihrer Website finden. Nicht von ungefähr zählt die Suchmaschinenoptimierung daher seit Jahren zu den wichtigsten Disziplinen in der Webentwicklung. Es gilt einerseits die passenden Keywords zu finden und einzubauen, andererseits den Aufbau der Seiten optimal für die Bewertungstools der Suchmaschinen anzupassen. Ein zusätzliches Ziel besteht darin, die eigene Linkpopularität zu steigern, indem Sie sogenannte Backlinks – also Links, die auf Ihr Webprojekt verweisen – auf externen Seiten generieren.

Steht das SEO-Grundgerüst, erwartet man einen Anstieg des Besucheraufkommens, der sich bei einem stimmigen Konzept auch einstellen wird. Verzeichnen Sie trotz Suchmaschinenoptimierung keinerlei Zuwachs oder verlieren sogar langfristig an Traffic, kann dies bedeuten, dass Ihre SEO-Maßnahmen nicht greifen. Es besteht aber auch die Möglichkeit, dass sogenanntes URL-Hijacking (dt. „URL-Entführung“) Ihre Seiten aus dem Index der jeweiligen Suchmaschine gelöscht und so vor potenziellen Besuchern verborgen hat.

Der Begriff URL-Hijacking bezeichnet ein Phänomen, bei dem eine Internetseite fälschlicherweise aus den Ergebnissen einer Suchmaschine verschwindet und durch eine andere ersetzt wird. Diese andere Seite verlinkt zwar auf die eigentliche Zielseite bzw. -URL – allerdings nicht per direktem Verweis, sondern mithilfe einer Weiterleitung (auch Redirect). So wird z. B. von verlinkende-seite.de auf ihre-seite.de verwiesen, anstelle des üblichen HTML-Tags <a> jedoch eine Weiterleitung genutzt. Die weiterleitende URL sieht beispielsweise folgendermaßen aus:

Findet eine Suchmaschine einen solchen Link, stuft sie die verlinkende Seite und die Zielseite als identisch ein, was zur Folge hat, dass sie eine der beiden aus dem Index löscht. Dabei orientiert sie sich an den HTTP-Status-Codes, die den Weiterleitungen anhaften. Während Code 301 (Moved Permanently) eine permanente Umleitung auf die angegebene URL bezeichnet, steht Code 302 (Found) für eine nur vorübergehende Umleitung auf die ausgewiesene URL. Der erste Typus ist unproblematisch, im 302-Redirect besteht jedoch der Hauptgrund für das URL-Hijacking. Derart ausgezeichnete Weiterleitungen suggerieren den Crawlern der Suchmaschinen, dass die Zielseite nur vorübergehend bestehen wird und es sich bei der verlinkenden Seite um das eigentliche Original handelt – eine Überprüfung, ob beide Seiten überhaupt in irgendeiner Verbindung stehen, bleibt dabei aus. Ist dies nicht beabsichtigt, wird die falsche Seite indexiert, die somit das Ranking der verlinkten URL übernimmt.

Es gibt ganz unterschiedliche Beweggründe für die Nutzung von URL-Weiterleitungen. So sind permanente Umleitungen sogenannter Tippfehler-Domains auf die korrekte Domain eine weit verbreitete Praxis. Tippt man in die Adressleiste seines Browsers beispielsweise versehentlich googel.de anstelle von google.de ein, gelangt man dennoch auf die Startseite der bestens bekannten Suchmaschine. Auch die dauerhafte Weiterleitung auf die korrekte Adresse der Hauptseite ist nicht unüblich. Besuchen Sie beispielsweise die Hauptseite der deutschsprachigen Wikipedia de.wikipedia.org, führt Sie ein 301-Redirect direkt zu der URL de.wikipedia.org/wiki/Wikipedia:Hauptseite. Ferner verwenden Webmaster dauerhafte Weiterleitungen, um Besucher nach einem Domain-Wechsel auf die neue Webadresse zu leiten oder um Inhalte des Webprojekts, die eine neue URL erhalten haben, entsprechend zu kennzeichnen.

Temporäre 302-Weiterleitungen haben hingegen grundsätzlich die Funktion, Inhalte vorübergehend unter einer anderen URL zu präsentieren, wenn diese, beispielsweise bei Wartungen der Originalseite, dennoch verfügbar bleiben sollen. Erzeugt ein Webmaster diesen Umleitungstyp manuell, steckt dahinter in der Regel die Absicht, dass der Content später wieder auf der Original-URL erscheint. Es gibt allerdings drei Szenarien für temporäre Redirects, die zu URL-Hijacking führen bzw. dieses sogar zum Ziel haben:

1. Unbeabsichtigte Nutzung der 302-Umleitung: Es ist durchaus möglich, dass Webmaster mit einer temporären Weiterleitung auf ein fremdes Webprojekt verweisen, ohne dass dahinter böse Absichten stecken. Es kann sich um ein Versehen handeln, weil eigentlich ein dauerhafter Redirect gesetzt werden sollte. Auch das URL-Umleitungsmodul (Rewrite-Engine) des Apache-Webservers, mod_rewrite, setzt standardmäßig Umleitungen mit dem Statuscode 302.
   
2. Dynamisch generierte URLs: PHP ist eine feste Größe in der Webentwicklung. Die serverseitigen Skripte in dieser beliebten Programmiersprache sind ein einfacher und praktischer Weg, dynamische Inhalte für die eigene Website zu erzeugen. Häufig sind es allerdings auch PHP-Skripte, die Zieladressen dynamisch in eine bestehende URL einbinden und dabei den Statuscode 302 für temporäre Weiterleitungen verwenden. Diese Art von Skripten kommt vor allem in Verzeichnissen für Webadressen, aber auch in vielen Content-Management-Systemen zum Einsatz.
3. Bewusst herbeigeführtes URL-Hijacking: Auch Kriminellen ist das Phänomen der URL-Entführung bekannt, weshalb sie sich dieses immer wieder gerne zunutze machen. Sie nutzen 302-Redirects ganz bewusst, um die Indexierung ihrer eigenen Inhalte voranzutreiben und versuchen dabei, besonders gut rankende Seiten zu „entführen“. Diese Vorgehensweise ist jedoch weder nachhaltig noch legal und fällt unter das sogenannte Black-Hat-SEO.

Jeder, der damit beschäftigt ist, das Ranking seiner Webseiten zu verbessern, weiß, wie anspruchsvoll und zeitintensiv dieses Unterfangen ist. Je höher Sie in der Gunst der Suchmaschinen steigen, desto schwerer wiegt eine mögliche Entführung der indexierten Seiten. Anders als beispielsweise bei einem Angriff, der durch eine Sicherheitslücke in Ihrem Webprojekt ermöglicht wird, ist der Vorgang des URL-Hijackings eng an die eigentlich elementare SEO-Disziplin des Linkbuildings geknüpft und somit nicht einfach durch den Einsatz einer Sicherheits-Software zu verhindern. Folglich ist es zwingend erforderlich, neue und bestehende Backlinks regelmäßig zu analysieren, um problematische URLs herauszufiltern. Hierfür gibt es zahlreiche Tools und Dienste wie SEMrush, LinkResearchTools, SISTRIX oder die Google Search Console.

Der letztgenannte Service von Google bietet Ihnen darüber hinaus ein Tool zum Entfernen von URLs, um unerwünschte Weiterleitungen, die auf Ihr Webangebot verweisen, aus dem Suchindex zu löschen. Zuvor sollten Sie allerdings immer den betreffenden Webmaster kontaktieren und darum bitten, die Weiterleitung anzupassen – so besteht die Chance, die entsprechenden Backlinks aufrechtzuerhalten. Mit dem Statuscode 307 (Temporary Redirect) gibt es seit HTTP 1.1 im Übrigen sogar eine Option für vorübergehende Weiterleitungen, die nicht zu URL-Hijacking führen.

Ist die Originalseite bereits aus dem Index verschwunden, sollten Sie nach der Überarbeitung bzw. Löschung des schädigenden Backlinks den Suchmaschinenanbieter kontaktieren und um eine Wiederherstellung des ursprünglichen Rankings bitten.