• Hallo Zusammen,

    seit neuestem finde ich in meiner Search Console unter „Seitenindexierung“ -> „Seite mit Weiterleitung“ eine steigende Anzahl von etwas seltsamen bzw. nicht existierenden URLs, die dann logischer einen 404-Status auslösen und in meinem Fall damit auf die Startseite umgeleitet werden.

    Diese URLs beziehen sich alle auf meinen Blog und zwar genau auf einen dort veröffentlichten Blogartikel.

    Die URLs sehen konkret so aus:

    https://www.meine-domain.de/agentur-blog/webdesign/was-ist-gute-website-usability/staubsauger_mit_beutel_stiftung_warentest/kleid-blumenmuster

    Alles was fett in der URL gekennzeichnet ist, existiert nicht. 

    URLs in solcher Art mit verschiedenen sagen wir mal „Produktbezeichnungen“ gibt es nun mittlerweile einige und anscheinend steigt die Anzahl immer weiter an. 

    Finde ich auf jeden Fall sehr seltsam und da wäre die Frage, ob jemand weiß, was das sein könnte?

    Wurde meine WordPress-Website gehackt, warum bezieht sich das genau nur auf diesen einen Blog-Artikel?

    Ich hab auch mittels eines Plugins die Möglichkeit ein 404 Log einzusehen. Dort werden fast schon im Minuten-Takt Zugriffe auf nicht existierende URLs in der von mir oben genannten Form protokolliert.

    In der Search Console waren auch ein paar URLs in der oben genannten Form nur mit asiatischen (chinesische oder japanische) Zeichen am Schluss.

    Ich habe soweit auch ein Security-Plugin laufen (WordPress All in One Security) und eigentlich sollte die Website ganz gut abgesichert sein.

    Hab auch schon mehrere Malware-Scanner drüber laufen lassen, ohne das sich da Probleme erkennen lassen.

    Grüße,
    Tom

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 16)
  • Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    Kann schon sein, dass jemand austesten möchte, wie sich deine Website bei Aufruf nicht vorhandener Webseiten verhält, ob sie z.B. die Pfade ausgibt, irgendwelche Informationen im HTTP-Header … – gehackt ist sie deswegen nicht. Wenn in deiner Abwesenheit jemand an deine Haus-/Wohnungstür klopft, würdest du auch nicht von einem Einbruch sprechen?

    Ich habe soweit auch ein Security-Plugin laufen (WordPress All in One Security) und eigentlich sollte die Website ganz gut abgesichert sein.

    Genau das ist das Problem: eigentlich. „Ich hab doch alles für die Sicherheit gemacht – alle Kästchen sind angekreuzt.“ und dann ist ganz egal, was da eigentlich im Hintergrund passiert und wofür das gut ist. Lustigerweise haben ausgerechnet solche All-in-One-Sicherheits-Plugins öfter mal eine kapitale Sicherheitslücke. Kurz: ich halte von solchen Lösungen nichts.

    WordPress ist nicht so unsicher, dass ein Plugin installiert werden muss. Aber man kann mit zusätzlichen Maßnahmen die Sicherheit noch erhöhen – zum Beispiel, indem man Angreifern gar nicht erst die PHP-Version übermittelt, die auf dem Server genutzt wird. Damit wird im Zweifelsfall auch dem Angreifer nicht mitgeteilt, dass man eine veraltete Version nutzt, zu der eine Sicherheitslücke bekannt ist – „bitte hier angreifen“. Die Maßnahmen zur Sicherheit solltest du aber einzeln durchgehen, um auch zu verstehen, was und warum gesichert wird.

    Wenn deine Zeit es erlaubt, lies dir mal diesen Beitrag durch, der die möglichen Sicherheitsrisiken anschaulich erklärt und beschreibt, welche Maßnahmen sinnvoll sind: WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website. Als Punkt 12 werden dann zwar doch wieder die einschlägig bekannten Sicherheits-Plugins aufgeführt, aber du hast dann wenigstens eine Idee, worum es überhaupt geht. Wenn dir die offizielle Dokumentation lieber ist, könnte auch Hardening WordPress (engl.) interessant sein.

    Hab auch schon mehrere Malware-Scanner drüber laufen lassen, ohne das sich da Probleme erkennen lassen.

    Na, wer sagt’s denn. Dann ist doch alles prima?
    Wenn du magst, kannst du deine URL auch hier nochmal eingeben: Free website malware and security checker

    Thread-Starter Der Informationsdesigner

    (@derinformationsdesigner)

    Danke soweit für die Tipps.

    Ein Großteil der in dem Blog-Beitrag genannten Maßnahmen ist soweit entweder durch das Security-Plugin bereits umgesetzt, andere habe ich jetzt nochmal aufgegriffen wie das mit dem Ausblenden der aktuell verwendeten PHP-Version.

    Vielleicht hat die ganze Geschichte auch damit zu tun, dass seit vorletzter Woche meine Website über Cloudflare läuft.

    Und so wie ich das jetzt verstanden habe, kann ich dagegen auch nichts machen?

    Ich kann mir halt vorstellen das Google das nicht so dolle findet, wenn die dauernd irgendwelche URLs crawlen, die es gar nicht gibt.

    Nur damit ich das auch richtig verstehe, irgendwer verlinkt mit Absicht auf nicht existierende URLs von meiner Website – wenn ja, warum sollte man das machen?

    Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    Und so wie ich das jetzt verstanden habe, kann ich dagegen auch nichts machen?

    Was willst du dagegen machen, dass ich bei Google nach deiner Website suche und an die URL /waschmaschine anhänge?

    Ich kann mir halt vorstellen das Google das nicht so dolle findet, wenn die dauernd irgendwelche URLs crawlen, die es gar nicht gibt.

    Dem Bot dürfte das egal sein, solange /waschmaschine nicht in der Sitemap steht.

    Nur damit ich das auch richtig verstehe, irgendwer verlinkt mit Absicht auf nicht existierende URLs von meiner Website – wenn ja, warum sollte man das machen?

    Wenn jemand auf deine Website verlinkt, taucht das nicht in der Search-Console auf? Ich hatte das so verstanden, dass jemand die Links aufruft und dann eine 404-Fehlermeldung bekommt. Das kann wie gesagt dem Fingerprinting dienen.

    Natürlich gibt es noch andere Möglichkeiten, z.B. ein Malware-Skript, dass ohne dein Wissen aufgerufen wird. Nur passt dazu die Permalinkstruktur nicht so recht. Ein Bug in einem Plugin, der willkürliche Seitennamen anhängt, ist mir auch nicht bekannt. Deine Permalink-Einstellungen wirst du geprüft haben. Mehr lässt sich ohne Informationen zur Website kaum dazu schreiben.

    Thread-Starter Der Informationsdesigner

    (@derinformationsdesigner)

    In meiner Google Search Console stehen unter Indexierung -> Seiten -> Seiten mit Weiterleitung eben diese ganzen seltsamen URLs die von Google kürzlich gecrawlt wurden, aber da es sie ja nicht gibt, werden sie per 404 Status Code auf die Startseite des Blogs weitergeleitet.

    Da stellt sich mir halt schon die Frage, warum die überhaupt gecrawlt wurden. Da ich ja die Seiten meines Wissens nicht angelegt / verlinkt habe, bleibt für mich nur noch die Option, dass jemand diese Links extern setzt, Google folgt ihnen und sieht dann, dass es sie nicht gibt.

    Oder hab ich da jetzt einen Denkfehler?

    Vielleicht entstehen diese URLs auch beim Aufruf des entsprechen Blog-Posts.

    Ist ja schon ein wenig seltsam, dass diese URLs allesamt mit dem Artikel meine-domain.de/agentur-blog/was-ist-gute-website-usability/ zu tun haben.

    Thread-Starter Der Informationsdesigner

    (@derinformationsdesigner)

    Hab jetzt mal hier noch einen Screen angehängt, wo man sieht, in welchen kurzen Abständen lt. 404-Log eines Plugins (für die Einrichtung von Redirects) diese seltsamen URLs anscheinend angefragt werden.

    Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    In meiner Google Search Console stehen unter Indexierung -> Seiten -> Seiten mit Weiterleitung eben diese ganzen seltsamen URLs …

    Ahhhh, dazu ist mir gerade was eingefallen:

    Wir hatten vor kurzem eine Anfrage von einem Nutzer, der in der Sidebar einen Link falsch gesetzt hatte. Ich versuche mal, es sinngemäß wiederzugeben.

    Der Link war nach dem Schema <a href="kontakt">Kontakt</a> – also ein relativer Link (kein Schema https, keine Domain, nur der Verzeichnisname). Ergebnis war, dass kontakt an die aktuell aufgerufene URL angehängt wurde – und zwar auf jeder Seite, weil der Link in der Sidebar stand. Wenn also der Bot die Seite Über mich aufgerufen hat, ist er automatisch dem Link kontakt gefolgt, eine Seite https://example.com/ueber-mich/kontakt gab es aber natürlich nicht und in der Search Console wurde angezeigt, dass die URL einen 404 ergibt. – Macht das für dich Sinn?

    Probier doch mal, nach dem angehängten Teil zu suchen. Dazu gibst du in der Adressleiste die URL nach dem Muster https://example.com/?s=staubsauger_mit_beutel ein (natürlich mit deiner Domain/Anhang).

    Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    Die angehängten Teile des Permalinks sehen irgendwie mehr nach Spam/Malware aus. Hast du mal die Webseiten nach Malware gescannt?

    Thread-Starter Der Informationsdesigner

    (@derinformationsdesigner)

    Ja, ich hab mal mit sucuri gecheckt. Da sah alles gut aus.

    Jetzt hab ich nochmal ein anderes Plugin (Security by CleanTalk) genommen und da ist mir dann folgendes aufgefallen:

    Diese ganzen Zugriffe aus Singapore scheinen das Problem zu sein bzw. die rufen diese seltsamen URLs warum auch immer auf.

    Aber durch die zusätzliche Firewall des Plugins „Security by CleanTalk“ nehmen zumindest mal die Zugriffe auf diese seltsamen URLs ab weil sie geblockt werden. Auch wenn weiterhin noch ein paar Anfragen durchkommen.

    Moderator Bego Mario Garde

    (@pixolin)

    Moderator (nicht mehr aktiv)

    … und tatsächlich sitzt der Initiator des Skripts in Amsterdam oder Wanne-Eickel und nutzt ein VPN. Schwer zu sagen.

    Schade, die Idee mit dem fehlerhaften Link war so vielversprechend. Manchmal ist es aber auch ganz trivial, es gibt einen Sicherheitslücke in einem Online-Shop und sie klappern Webserver ab, um noch offene Lücken zu finden, irgendsowas …

    Thread-Starter Der Informationsdesigner

    (@derinformationsdesigner)

    Hmh, wer weiß das schon… jetzt hoffe ich mal, dass die Firewall ihren Dienst verrichtet und das irgendwann aufhört.

    Scheint aber dann wohl eher nicht meine WordPress-Installation direkt betroffen bzw. gehackt worden zu sein, wenn ich das richtig interpretiere.

    Ich verstehe aber trotzdem immer noch nicht, warum diese URLs in der Google Search Console auftauchen.

    Da muss es ja dann irgendwo die Verlinkungen geben oder wie kommt sonst Google darauf zu versuchen diese URLs zu indexieren.

    Anonymous User 20597857

    (@anonymized-20597857)

    indem man Angreifern gar nicht erst die PHP-Version übermittelt

    Wie kann jemand die PHP Version sehen und wie kann man diese Einsichten verhindern?

    Leider finde ich das nicht bei der Kinsta Liste. Überhaupt: Das geht von supereasy „Mache Backup“ bis zu relativ komplizierten Sachen, die man als Non-Profi nicht packt.

    Thread-Starter Der Informationsdesigner

    (@derinformationsdesigner)

    Wie kann jemand die PHP Version sehen und wie kann man diese Einsichten verhindern?

    Also, ich habe in der php.ini des Webservers folgendes hinterlegt:

    expose_php = off

    siehe auch hier: https://wpclimax.com/hide-wordpress-php-version-php-ini-htaccess-rule/

    Anonymous User 20597857

    (@anonymized-20597857)

    Danke. Scheinbar blenden die meisten Hoster das ohnehin aus, weil ich fand diese Info weder bei den eigenen Sites, noch etlichen anderen.
    Nur bei der Site mit dem Tipp fand ich es.

    Thread-Starter Der Informationsdesigner

    (@derinformationsdesigner)

    Also, ich konnte jetzt noch folgende Erkenntnis gewinnen, falls jemand mal einen ähnlichen Sachverhalt haben sollte:

    Die Requests auf diese seltsamen nicht existierenden URLs die ja anscheinend auch irgendwie auf Onlineshops abzielen, werden vom Huawei Search-Bot „PetalBot“ aus Singapur initiert. Warum auch immer.

    Ich habe jetzt einfach mal eine Firewall-Regel integriert, die alles blockiert was nach „PetalBot“ aussieht.

    Allerdings gibt es auch noch vereinzelte Requests in der gleichen Form aus den USA vom Google-Bot.

    Aber zumindest konnte ich damit massiv die Anzahl der 404-Errors runterfahren und mal sehen, ob sich das dann auch in der Google Search Console entsprechend auswirkt.

    Ich versteh’s immer noch nicht woher diese URLs kommen sollen bzw. warum die Request zu solchen URLs überhaupt entstehen.

    Vielleicht hat da ja noch jemand einen Erklärungsansatz?

    Anonymous User 20597857

    (@anonymized-20597857)

    Erklärung habe ich auch keine. Doch die Hinweise der Mods scheinen mir plausibel und daher würde ich das nicht weiter Zeit aufwenden, um diese seltsamen Such-Angewohnheiten nach nie existenten Links zu erklären.

    Besser die Zeit ins Absichern investieren und das Verhalten der Site beobachten.
    Das Absichern scheint mir doch aufwändig und ist u.U. nie mit einem sog. AIO-Security Plugin zu machen. So ein Dings schadet zwar hoffentlich nicht (der Performance?), hilft einem aber möglicherweise, die Regeln zu verstehen. Die dann evtl. für die weiteren manuellen Abdichtungs-Maßnahmen herangezogen werden können.

    Wenn die Site als Malware-frei einzustufen und abgesichert ist, man auch sicher sein kann, dass diese seltsamen Links nicht von innen heraus entstanden sind, dann würde ich es dabei belassen.

    Die Verfolgung bringt auch nichts. Wo auch immer es scheinbar herkommt: Weder die Kennung noch die Herkunft müssen stimmen. Und wenn schon, gegen machen kannst nichts.

    Ich kann mir halt vorstellen das Google das nicht so dolle findet, wenn die dauernd irgendwelche URLs crawlen, die es gar nicht gibt.

    Tja, möglich …
    Evtl. lässt sich das in einem speziellen SEO Forum oder bei Google selbst irgendwo näher aufarbeiten?

Ansicht von 15 Antworten – 1 bis 15 (von insgesamt 16)
  • Das Thema „Seltsame URLs (in Search Console)“ ist für neue Antworten geschlossen.