Posted:
Heute geht es in unserer #NoHacked-Kampagne um das Beseitigen der unsinnigen URLs, über die wir im Beitrag der letzten Woche gesprochen haben. Selbst wenn eure Website nicht mit dieser speziellen Art von Hack infiziert ist, können viele dieser Schritte beim Beheben anderer Arten von Hacks hilfreich sein. Folgt auch unseren Diskussionen auf Twitter und Google+ mit dem #nohacked-Tag. (Teil 1, Teil 2, Teil 3, Teil 4)


Website vorübergehend offline schalten

Wenn ihr eure Website vorübergehend offline schaltet, können Besucher keine gehackten Seiten aufrufen, sodass ihr Zeit habt, eure Website ordnungsgemäß zu reparieren. Wenn ihr eure Website online behaltet, besteht die Gefahr, dass sie erneut gehackt wird, während ihr sie repariert.


Website reparieren

Für die nächsten Schritte müsst ihr in der Lage sein, problemlos technische Änderungen an eurer Website vorzunehmen. Falls das nicht der Fall ist, solltet ihr jemanden um Unterstützung bitten, der dazu in der Lage ist. Trotzdem kann es nützlich sein, sich mit diesen Schritten vertraut zu machen.

Bevor ihr mit dem Reparieren eurer Website beginnt, solltet ihr sie sichern. (Diese gesicherte Version enthält noch gehackten Inhalt und sollte nur verwendet werden, falls ihr versehentlich eine wichtige Datei löscht.) Wenn ihr euch nicht sicher seid, wie man eine Website sichert, bittet euren Hostinganbieter um Hilfe oder schaut in der Dokumentation des CMS (Content-Management-System) nach. Wann immer ihr beim Ausführen der Schritte eine Datei entfernt, achtet darauf, dass ihr eine Kopie der Datei aufbewahrt.

HTACCESS-Datei prüfen

Zum Manipulieren eurer Website wird bei dieser Art von Hack die HTACCESS-Datei erstellt oder ihr Inhalt verändert. Wenn ihr euch nicht sicher seid, wo die HTACCESS-Datei zu finden ist, schaut in der Server- oder CMS-Dokumentation nach.

Prüft die HTACCESS-Datei auf verdächtige Inhalte. Wenn ihr Zweifel habt, wie der Inhalt der HTACCESS-Datei zu interpretieren ist, schaut in der Dokumentation auf Apache.org nach, fragt in einem Hilfeforum nach oder bittet einen Experten um Hilfe. Hier ist ein Beispiel einer durch diesen Hack veränderten HTACCESS-Datei:

  <IfModule mod_rewrite.c>
   RewriteEngine On
   #Besucher, die über die Google-Suche kommmen, werden weitergeleitet
   RewriteCond %{HTTP_REFERER} google\.com
   #Die Besucher werden zu einer schädlichen PHP-Datei ("happypuppy.php) weitergeleitet
   RewriteRule (.*pf.*) /happypuppy.php?q=$1 [L]
  </IfModule>

Löscht alle schädlichen Inhalte, die ihr findet. In vielen Fällen umfasst die HTACCESS-Datei ausschließlich schädlichen Inhalt. Dann könnt ihr die gesamte HTACCESS-Datei löschen. Möglicherweise verweist die HTACCESS-Datei auf eine schädliche PHP-Datei. (Wir haben sie "happypuppy.php" genannt, aber oft besteht ihr Name aus einer zufälligen Kombination zweier Wörter.) Dies ist im nächsten Schritt von Bedeutung, in dem es um das Auffinden schädlicher Dateien geht.

Sonstige schädliche Dateien finden

Bei dieser Art von Hack werden vorzugsweise JavaScript- und PHP-Dateien eingeschleust oder geändert. Hacker verwenden in der Regel zwei Ansätze: Beim ersten werden auf eurem Server neue PHP- oder JavaScript-Dateien platziert. Der Name dieser Dateien kann manchmal starke Ähnlichkeit mit dem Namen einer legitimen Datei auf eurer Website haben, wie z. B. "wp-cache.php" im Vergleich zur legitimen Datei "wp_cache.php". Beim zweiten Ansatz werden legitime Dateien auf eurem Server verändert, indem beispielsweise schädlicher Inhalt in sie eingefügt wird. Wenn eure Website zum Beispiel eine Vorlagen- oder Plug-in JavaScript-Datei beinhaltet, könnten Hacker der Datei schädlichen JavaScript-Code hinzufügen.

Auf unserer Beispiel-Website wurde eine schädliche happypuppy.php-Datei, die zuvor in der HTACCESS-Datei erwähnt wurde, in einen Website-Ordner eingeschleust. Die Hacker haben jedoch auch eine legitime JavaScript-Datei namens "json2.js" manipuliert, indem sie ihr schädlichen Code hinzugefügt haben. Hier ist ein Beispiel einer manipulierten json2.js-Datei. Der schädliche Code ist in rot hervorgehoben und am Ende der json2.js-Datei sichtbar:




Für das effektive Aufspüren schädlicher Dateien ist es erforderlich, die Funktion der JavaScript- und PHP-Dateien auf eurer Website zu verstehen. Bei Bedarf könnt ihr die CMS-Dokumentation zu Rate ziehen. Sobald ihr wisst, welchen Zweck die Dateien erfüllen, ist es leichter, schädliche Dateien ausfindig zu machen, die nicht auf eure Website gehören.

Prüft eure Website außerdem auf kürzlich geänderte Dateien. Vorlagendateien, die kürzlich geändert wurden, sollten gründlich untersucht werden. Tools, die euch bei der Interpretation verschleierter PHP-Dateien helfen, findet ihr im Anhang.

Schädliche Inhalte entfernen

Wie bereits erwähnt, solltet ihr den Inhalt eurer Website sichern, bevor ihr Dateien entfernt oder verändert. Wenn ihr regelmäßig Sicherungen eurer Website anlegt, braucht ihr zu ihrer Reparatur vielleicht nur eine nicht manipulierte gesicherte Version der Website wiederherzustellen.

Aber auch, wenn ihr eure Website nicht regelmäßig sichert, gibt es Möglichkeiten. Löscht zunächst alle schädlichen Dateien, die auf eurer Website eingeschleust wurden. Auf unserer Beispiel-Website würdet ihr zum Beispiel die Datei "happypuppy.php" löschen. Bei manipulierten PHP- oder JavaScript-Dateien wie json2.js müsst ihr eine nicht manipulierte Version dieser Dateien auf eure Website hochladen. Wenn ihr ein CMS verwendet, könnt ihr eine Originalversion der CMS- und Plug-In-Dateien auf eure Website laden.


Sicherheitslücke finden und beseitigen

Sobald ihr die schädliche Datei entfernt habt, solltet ihr die Sicherheitslücke ausfindig machen und beseitigen, die das Manipulieren eurer Website ermöglicht hat. Andernfalls könnte eure Website auf diesem Wege erneut gehackt werden. Der Sicherheitslücke können ganz unterschiedliche Probleme zugrunde liegen, von einem gestohlenen Passwort bis hin zu veralteter Websoftware. In der Google-Hilfe für Webmaster bei gehackten Websites findet ihr Informationen zum Identifizieren und Beseitigen der Sicherheitslücke. Wenn ihr die Sicherheitslücke nicht finden könnt, solltet ihr alle eure Passwörter ändern, die gesamte Websoftware aktualisieren und ernsthaft erwägen, euch Hilfe zu holen, um sicherzustellen, dass alles in Ordnung ist.


Nächste Schritte

Sobald ihr eure Website repariert habt, prüft mithilfe des Tools "Abruf wie durch Google", ob die gehackten Seiten noch bei Google erscheinen. Denkt auch daran, eure Startseite auf gehackte Inhalte zu prüfen. Wenn der gehackte Inhalt nicht mehr vorhanden ist, habt ihr es geschafft. Eure Website sollte nun wieder einwandfrei sein. Wenn das Tool "Abruf wie durch Google" weiterhin gehackten Inhalt auf diesen manipulierten Seiten findet, gibt es noch etwas zu tun. Sucht nach schädlichen PHP- oder JavaScript-Dateien, die ihr möglicherweise bislang übersehen habt.

Stellt eure Website wieder online, sobald ihr euch sicher seid, dass sie einwandfrei ist und die Sicherheitslücke beseitigt wurde. Falls bei eurer Website eine manuelle Maßnahme vorliegt, könnt ihr über die Search Console einen Antrag auf erneute Überprüfung stellen. Denkt außerdem über Möglichkeiten nach, eure Website vor zukünftigen Angriffen zu schützen. Weitere Informationen zum Schutz eurer Website vor zukünftigen Angriffen findet ihr in der Google-Hilfe für Webmaster bei gehackten Websites.


Wir hoffen, dass ihr durch diesen Post besser verstanden habt, wie ihr eure Website reparieren könnt, wenn auf ihr unsinnige URLs eingeschleust wurden. Folgt unseren Kampagnen in den sozialen Medien und teilt Tipps & Tricks zur Sicherheit im Web unter dem Hashtag #nohacked.

Falls ihr noch Fragen habt, könnt ihr diese in den Hilfeforen für Webmaster posten.


Anhang

Die folgenden Tools könnten für euch von Nutzen sein. Sie stammen nicht von Google selbst und Google bietet dazu keinen Support.

PHP Decoder, UnPHP: Hacker verschleiern oft PHP-Dateien, um sie schwerer lesbar zu machen. Mithilfe dieser Tools könnt ihr PHP-Dateien bereinigen, um ihren Zweck besser zu verstehen.

Post von Eric Kuan, Webmaster Relations Specialist und Yuan Niu, Webspam Analyst
(Veröffentlicht von Sven Naumann, Search Quality Team)

Posted:
Heute geht es in unserer #nohacked-Kampagne darum, wie man aktuelle Hacks erkennt und diagnostiziert. Selbst wenn eure Website nicht mit dieser speziellen Art von Hack infiziert ist, können einige dieser Schritte auch bei anderen Hackerangriffen helfen. In der nächsten Woche gibt es einen Post dazu, wie sich dieser Hack beheben lässt. Folgt auch unseren Diskussionen auf Twitter und Google+ mit dem #nohacked-Tag. (Vorige Blogposts: Teil 1, Teil 2, Teil 3)


Symptome erkennen

Seiten mit unsinnigen Inhalten

Typisches Erkennungszeichen für diese Art von Hacking sind Spamseiten, die anscheinend zu der Website hinzugefügt wurden. Diese Seiten enthalten unsinnigen Text mit übermäßig vielen Keywords sowie Links und Bilder zur Manipulation von Suchmaschinen. So werden beispielsweise Seiten wie www.example.com/pf/download-2012-free-full-crack.html erstellt, die unsinnige Inhalte wie unten enthalten:


Cloaking

Bei dieser Art von Hackerangriff wird häufig Cloaking verwendet, um für Webmaster nicht erkennbar zu sein. Mit Cloaking bezeichnet man ein Verfahren, bei denen Webmastern, Besuchern und Suchmaschinen andere Inhalte oder URLs bereitgestellt werden. So wird dem Webmaster der Website möglicherweise eine leere Seite oder eine HTTP-404-Seite angezeigt, um ihn glauben zu machen, dass der Hack nicht mehr existiert. Allerdings werden Nutzer, die die Seite über Suchergebnisse aufrufen, auch weiterhin an Spamseiten weitergeleitet und Suchmaschinen, die die Website crawlen, werden nach wie vor unsinnige Inhalte bereitgestellt.

Website überwachen

Wenn ihr eure Website angemessen auf Hackerangriffe prüft, könnt ihr den Hack schneller beseitigen und mögliche Schäden, die dieser verursachen könnte, minimieren. Es gibt mehrere Möglichkeiten, eure Website auf diesen spezifischen Hack zu prüfen.

Ausschau nach einem akuten Anstieg im Website-Traffic halten

Da dieser Hack Keyword-lastige URLs erstellt, die von Suchmaschinen gecrawlt werden, solltet ihr prüfen, ob es in letzter Zeit einen akuten Anstieg im Traffic gegeben hat. Ist dies der Fall, könnt ihr anhand des Tools "Suchanalyse" in der Search Console überprüfen, ob ein Hackerangriff die Ursache für das ungewöhnliche Aufkommen an Website-Traffic ist.

Erscheinungsbild einer Website in den Suchergebnissen verfolgen

Alle Webmaster sollten regelmäßig prüfen, wie ihre Website in den Suchergebnissen aussieht. Dadurch lassen sich auch Anzeichen eines Hackerangriffs erkennen. Ihr könnt eure Website in Google mithilfe des Suchoperators "site:" auf eurer Website überprüfen. Sucht dazu einfach nach site:eureWebsite. Wenn ihr irgendwelche unsinnigen Links im Zusammenhang mit eurer Website seht oder eine Meldung wie "Diese Website wurde möglicherweise gehackt", wurde eure Website möglicherweise angegriffen.

Für Google Alerts registrieren

Ihr solltet euch für die Search Console registrieren. In der Search Console könnt ihr prüfen, ob Google auf eurer Website gehackte Seiten gefunden hat. Schaut dazu auf der Seite Manuelle Maßnahmen oder im Bericht zu den Sicherheitsproblemen nach. Außerdem werdet ihr von der Search Console benachrichtigt, wenn Google auf eurer Website gehackte Seiten gefunden hat.

Es empfiehlt sich außerdem, Google Alerts für eure Website einzurichten. Ihr werdet per E-Mail von Google Alerts informiert, sobald neue Ergebnisse für eine Suchanfrage vorliegen. Ihr könnt beispielsweise einen Google Alert für eure Website in Verbindung mit gängigen Spambegriffen wie [site:example.com günstige Software] einrichten. Wenn ihr eine E-Mail erhaltet, dass Google ein neues Ergebnis für diesen Begriff geliefert hat, solltet ihr sofort prüfen, welche Seiten auf eurer Website diesen Google Alert auslösen.

Diagnose für Website durchführen

Hilfreiche Tools sammeln

In der Search Console habt ihr Zugriff auf das Tool "Abruf wie durch Google". Mit dem Tool "Abruf wie durch Google" könnt ihr eine Seite so sehen, wie Google sie sieht. Das macht es euch leichter, Hackerangriffe auf euren Seiten zu erkennen, bei denen Cloaking verwendet wird. Weitere kostenlose und kostenpflichtige Tools von anderen Anbietern findet ihr im Anhang zu diesem Post.

Überprüfen, ob Seiten gehackt wurden

Falls ihr euch nicht sicher seid, ob eure Website gehackte Inhalte enthält, könnt ihr mithilfe der Fehlerbehebung für gehackte Websites von Google ein paar grundlegende Tests durchführen. Bei dieser Art von Hackerangriff solltet ihr eine site:-Suche auf eurer Website durchführen. Haltet in den Suchergebnissen Ausschau nach verdächtigen Seiten und URLs mit einer Menge seltsamer Keywords. Falls eure Website viele Seiten enthält, müsst ihr möglicherweise eine gezieltere Suchanfrage durchführen. Sucht nach gängigen Spambegriffen und fügt diese zu eurer site:-Suchanfrage hinzu [site:example.com günstige Software]. Probiert dies mit mehreren Spambegriffen, um zu sehen, ob es zu Ergebnissen führt.

Gehackte Seiten auf Cloaking überprüfen

Da diese Art von Hacking auf Cloaking zurückgreift, um nicht entdeckt zu werden, solltet ihr unbedingt das Tool "Abruf wie durch Google" in der Search Console verwenden, um die Spamseiten zu überprüfen, die ihr im vorherigen Schritt gefunden habt. Wie bereits erwähnt, kann es vorkommen, dass Seiten mit Cloaking euch eine HTTP-404-Seite präsentieren, um euch glauben zu machen, dass der Hack längst behoben ist, obwohl die Seite noch online ist. Ihr könnt "Abruf wie durch Google" auch auf eurer Startseite verwenden. Bei dieser Art von Hack kommt es häufig zum Hinzufügen von Text oder Links zur Startseite.

Wir hoffen, dass euch dieser Post eine konkrete Vorstellung davon geben konnte, wie sich Hacks, die unsinnige URLs auf eurer Website einschleusen, erkennen und diagnostizieren lassen. In der nächsten Woche zeigen wir euch, wie ihr den Hack von eurer Website entfernt.  Folgt unserer Kampagne in den sozialen Medien und teilt Tipps & Tricks zur Sicherheit im Web unter dem Hashtag #nohacked.

Falls ihr noch Fragen habt, könnt ihr diese auch in unserem Forum für Webmaster posten.

Anhang

Im Folgenden findet ihr eine Liste mit Tools, um eure Website zu überprüfen und möglicherweise problematische Inhalte zu finden. Mit Aussnahme von VirusTotal, hat Google keine Beziehung zu diesen Tools und liefert keinen Support dazu.

VirusTotal, Aw-snap.info, Sucuri Site Check, Wepawet: Mit diesen Tools könnt ihr eure Website auf problematische Inhalte überprüfen. Bitte denkt daran, dass auch mit diesen Tools nicht gewährleistet ist, dass alle Arten von problematischem Inhalt erkannt werden.

Post von Eric Kuan, Webmaster Relations Specialist und Yuan Niu, Webspam Analyst
(Veröffentlicht von Sven Naumann, Search Quality Team)

Posted:
Da wir zur Funktion "Suchanalyse" in der Google Search Console tolles Feedback erhalten haben, haben wir uns dazu entschieden, diese Daten auch über eine API für Entwickler zur Verfügung zu stellen. Wir hoffen, dass ihr mithilfe der Search Analytics API Suchleistungsdaten in eure Apps und Tools integrieren könnt.

Wenn ihr bereits andere APIs von Google oder auch eine der vorhandenen Search Console-APIs verwendet habt, sind die ersten Schritte ganz einfach. Auf der Seite mit der Anleitung, die derzeit nur auf Englisch verfügbar ist, werden Beispiele in Python dargestellt, die ihr als Vorlage für eure eigenen Programme verwenden könnt. Ihr könnt die API beispielsweise für Folgendes verwenden:

Datenpräsenz prüfen (Welches ist das jüngste Datum, das angefragt werden kann?)
Top 10 bei den Suchanfragen nach Anzahl der Klicks
Top 10 bei den Seiten
Top 10 bei den Suchanfragen in Indien
Top 10 bei den Suchanfragen auf Mobilgeräten in Indien

(Die Anleitung oben ist derzeit nur auf Englisch verfügbar. Wäre eine übersetzte Version in eurer Muttersprache für euch hilfreich? Teilt uns das bitte hier mit.)

Was werdet ihr mit der neuen API anstellen? Wir sind gespannt, wie ihr diese API in neuen Tools und Apps verwendet um euren Hunger nach weiteren Informationen und Daten rund um die Leistung eurer Website in der Google-Suche zu stillen! Wenn ihr diese API in ein Tool integriert habt, würden wir uns freuen, wenn ihr einen Kommentar dazu hinterlasst. Wenn ihr Fragen zur API habt, könnt ihr gerne im Forum für Webmaster vorbeischauen.

Post von John Mueller, Webmaster Trends Analyst, Google Schweiz
(Veröffentlicht von Sven Naumann, Search Quality Team)

Posted:
In unserer #nohacked-Kampagne geht es heute um die Zwei-Faktor-Authentifizierung. Folgt auch unseren Diskussionen auf Twitter und Google+ mit dem #nohacked-Tag. (Vorige Blogposts: Teil 1, Teil 2)

In der Vergangenheit konnte man seine Onlinekonten durch ein relativ sicheres Passwort oder durch die Beantwortung einer Sicherheitsfrage meist ausreichend schützen. Gemäß einer Studie von Stop Badware nutzen jedoch immer mehr Hacker gestohlene Anmeldedaten zur Manipulation von Websites. Darüber hinaus können auch renommierte Websites Opfer von Hackerangriffen werden, sodass personenbezogene Daten wie Passwörter potenziell in die Hände von Angreifern geraten können.

Zum Glück könnt ihr eure Konten mit der Zwei-Faktor-Authentifizierung besser schützen. Bei der Zwei-Faktor-Authentifizierung ist neben dem Passwort eine weitere Verifizierungsquelle für den Zugriff auf euer Konto erforderlich. Möglicherweise habt ihr die Zwei-Faktor-Authentifizierung bereits genutzt, als ihr zur Eingabe eines Codes von eurem Smartphone aufgefordert wurdet, um euch auf Websites sozialer Medien anzumelden, oder einen Code in einen Chipkartenleser eingeben musstet, um euch in einem Bankkonto anzumelden. Durch die Zwei-Faktor-Authentifizierung ist es für eine andere Person schwieriger, sich in eurem Konto anzumelden, auch wenn sie euer Passwort gestohlen hat.

Als Websiteinhaber solltet ihr die Zwei-Faktor-Authentifizierung für eure Konten aktivieren, sofern dies möglich ist.
Durch ein manipuliertes Konto könnt ihr nicht nur wichtige personenbezogene Daten, sondern auch den wertvollen Ruf eurer Website verlieren. Mit der Zwei-Faktor-Authentifizierung habt ihr die Gewissheit, dass eure Konten und Daten besser geschützt sind.

Google bietet die Bestätigung in zwei Schritten derzeit für alle Google-Konten an, auch für Konten von Google Apps-Domains. Ihr könnt euer Konto über euer Smartphone, ein Hardwaretoken wie z.­ B. einen Sicherheitsschlüssel oder über die Google Authenticator App bestätigen. Dank dieser Optionen seid ihr flexibel, wenn ihr auf Reisen seid oder keinen Zugriff auf das Mobilfunknetz habt.

Wenn die Zwei-Faktor-Authentifizierung von eurem Hostinganbieter, dem Content Management System (CMS) oder der Plattform, die ihr zur Verwaltung eurer Website nutzt, nicht unterstützt wird, fragt beim jeweiligen Kundenservice nach, ob es eine Möglichkeit gibt, die Zwei-Faktor-Authentifizierung in Zukunft einzusetzen. Mithilfe des Open-Source-Codes von Google kann die Zwei-Faktor-Authentifizierung in diese Plattformen integriert werden. Wenn eure Plattform oder euer Webhosting-Anbieter keinen sicheren Schutz vor unautorisiertem Zugriff bietet, solltet ihr überlegen, eure Inhalte woanders zu hosten. Eine Liste von Websites, die die Zwei-Faktor-Authentifizierung unterstützen, sowie Angaben dazu, welche Authentifizierungsoptionen angeboten werden, findet ihr unter https://twofactorauth.org/.

Falls ihr noch Fragen habt, könnt ihr in unserem Forum für Webmaster vorbeischauen.

Post von Eric Kuan, Webmaster Relations Specialist und Yuan Niu, Webspam Analyst
(Veröffentlicht von Sven Naumann, Search Quality Team)

Posted:
Das Thema unserer #nohacked-Kampagne lautet heute Social Engineering. Folgt auch unseren Diskussionen auf Twitter und Google+ mit dem #nohacked-Hashtag. (Teil 1)

Wenn ihr viel im Web surft, seid ihr höchstwahrscheinlich schon einmal auf eine Form von Social Engineering gestoßen. Beim Social Engineering versuchen Angreifer durch Täuschung oder Manipulation, vertrauliche Informationen von euch zu erhalten.



Phishing

Vielleicht habt ihr schon von Phishing gehört, einer der häufigsten Formen von Social Engineering. Phishing-Websites und -E-Mails ahmen legitime Websites nach und bringen euch dazu, vertrauliche Informationen wie etwa euren Nutzernamen und euer Passwort auf diesen Websites einzugeben. Einer aktuellen Google-Studie zufolge gelingt es einigen Phishing-Websites in 45 % der Fälle, die Nutzer zu täuschen. Wenn eine Phishing-Website eure Informationen erhalten hat, werden diese entweder verkauft oder zur Manipulation eurer Konten genutzt.

Weitere Formen von Social Engineering

Phishing ist nicht die einzige Form von Social Engineering, vor der sich Websiteinhaber in Acht nehmen müssen. Eine weitere Methode hängt mit der Software und den Tools zusammen, die ihr auf euren Websites verwendet. Wenn ihr ein Content-Management-System (CMS), Plug-ins oder Add-ons herunterladet oder verwendet, achtet darauf, dass sie aus vertrauenswürdigen Quellen stammen, also etwa direkt von der Website des Entwicklers. Die Software von nicht vertrauenswürdigen Websites kann schädliche Exploits enthalten, über die Hacker Zugriff auf eure Website erlangen können.

Webmasterin Wanda wurde zum Beispiel kürzlich von Brandon’s Pet Palace engagiert, um an der Erstellung einer Website mitzuarbeiten. Nachdem sie einige Entwürfe angefertigt hatte, begann Wanda, die Software zusammenzustellen, die sie zum Erstellen der Website benötigte. Sie stellte jedoch fest, dass "Photo Frame Beautifier", eines ihrer bevorzugten Plug-ins, von der offiziellen CMS-Plug-in-Website entfernt worden war und dass der Entwickler das Plug-in nicht mehr unterstützte. Sie fand schnell eine Website, auf der ein Archiv alter Plug-ins angeboten wurde. Sie lud das Plug-in herunter und verwendete es, um die Website fertigzustellen. Zwei Monate später wurde Wanda über die Search Console benachrichtigt, dass die Website ihres Kunden gehackt worden war. Sie machte sich sofort an die Arbeit, um den gehackten Inhalt wiederherzustellen, und fand die Fehlerquelle. Wie sich herausstellte, war das "Photo Frame Beautifier"-Plug-in von Dritten modifiziert worden, um Angreifern den Zugriff auf die Website zu ermöglichen. Wanda entfernte das Plug-in, stellte den gehackten Inhalt wieder her, sicherte die Website vor zukünftigen Angriffen und reichte über die Search Console einen Antrag auf erneute Überprüfung ein. Wie ihr seht, führte eine Unachtsamkeit von Wanda dazu, dass Unbefugte Zugriff auf die Website ihres Kunden erlangten.

Schutz vor Social-Engineering-Angriffen

Social Engineering funktioniert, weil es nicht offensichtlich ist, dass eure Aktionen zu einem Fehler führen. Es gibt jedoch einige grundlegende Punkte, durch deren Beachtung ihr euch besser vor Social Engineering schützen könnt.

  • Wachsam sein: Lasst ein gesundes Maß an Skepsis walten, wenn ihr online vertrauliche Informationen eingebt oder Websitesoftware installiert. Prüft die URLs, damit ihr nicht versehentlich vertrauliche Informationen auf einer schädlichen Website eingebt. Achtet beim Installieren von Websitesoftware darauf, dass sie aus bekannten, vertrauenswürdigen Quellen wie etwa von der Website des Entwicklers stammt.
  • Zwei-Faktor-Authentifizierung verwenden: Eine Zwei-Faktor-Authentifizierung wie die Bestätigung in zwei Schritten von Google sorgt für eine zusätzliche Sicherheitsebene. Dabei bleibt euer Konto selbst dann geschützt, wenn euer Passwort gestohlen wurde. Ihr solltet möglichst für alle Konten eine Zwei-Faktor-Authentifizierung verwenden. Nächste Woche werden wir ausführlicher auf die Vorteile der Zwei-Faktor-Authentifizierung eingehen.

Zusätzliche Ressourcen zum Thema Social Engineering:

Falls ihr noch Fragen habt, könnt ihr diese gern in unserem Forum für Webmaster posten.

Post von Eric Kuan, Webmaster Relations Specialist und Yuan Niu, Webspam Analyst
(Veröffentlicht von Sven Naumann, Search Quality Team)

Posted:
Wenn ihr irgendetwas online veröffentlicht, sollte Sicherheit eine eurer obersten Prioritäten sein. Hacking-Angriffe können nicht nur eurem Online-Ruf schaden, sondern auch dazu führen, dass wichtige und private Daten verloren gehen. Im vergangenen Jahr haben wir einen Anstieg der Hacking-Angriffe auf Websites um 180% verzeichnet. Wir arbeiten intensiv daran, diesem Hacking-Trend entgegenzuwirken. Auch ihr könnt einiges tun, um eure Inhalte im Web zu schützen.



Ab heute setzen wir unsere #nohacked-Kampagne fort. Über die kommenden Wochen erhaltet ihr Tipps, wie ihr eure Website vor Hacking-Angriffen schützen könnt, und wir erklären genauer, wie solche Hacking-Kampagnen funktionieren. Ihr könnt der #nohacked-Kampagne auf Twitter und Google+ folgen.

Wir starten die Kampagne mit einigen grundlegenden Tipps dazu, wie ihr eure Website im Web schützen könnt.

Kontosicherheit erhöhen

Für den Schutz eurer Website ist es unbedingt notwendig, ein starkes Passwort zu verwenden, das schwer zu knacken ist. Verwendet für euer Passwort eine Kombination aus Buchstaben, Zahlen und Symbolen oder eine Passphrase. Außerdem ist die Passwortlänge wichtig. Je länger das Passwort ist, desto schwerer ist es zu entschlüsseln. Es gibt viele Ressourcen im Web, mit denen ihr die Passwortstärke testen könnt. Testet ein Passwort, das eurem ähnelt, um die ungefähre Passwortstärke zu kennen. Achtet aber darauf, niemals euer tatsächliches Passwort auf anderen Websites einzugeben.

Dasselbe Passwort sollte außerdem nicht mehrfach verwendet werden. Angreifer versuchen oft, bekannte Kombinationen aus Nutzernamen und Passwort zu verwenden, die sie aus offengelegten Passwortlisten oder gehackten Diensten erhalten haben, um damit so viele Konten wie möglich zu manipulieren.

Wir empfehlen darüber hinaus die Aktivierung der Zwei-Faktor-Authentifizierung für Konten, die diese Funktion unterstützen. Damit könnt ihr die Sicherheit eures Kontos deutlich erhöhen und euch vor diversen Angriffen auf euer Konto schützen. In zwei Wochen werden wir ausführlicher auf die Vorteile der Zwei-Faktor-Authentifizierung eingehen.

Website-Software regelmäßig aktualisieren

Häufig gelingt Hackern der Angriff auf Websites aufgrund von unsicherer Software auf der Website. Prüft eure Website regelmäßig auf veraltete Software und achtet vor allem auf Updates, die Sicherheitslücken schließen. Wenn ihr einen Webserver wie Apache, nginx oder eine kommerzielle Webserversoftware verwendet, stellt sicher, dass ihr immer die neuesten Patches für eure Webserversoftware installiert. Wenn ihr ein CMS (Content Management System) oder Plug-ins oder Add-ons auf eurer Website verwendet, aktualisiert diese immer auf die neueste Version. Außerdem solltet ihr die Sicherheitsankündigungen für eure Webserversoftware und ggf. euer CMS abonnieren. Denkt auch darüber nach, Add-ons oder Software, die ihr auf eurer Website nicht braucht, komplett zu entfernen. Diese können nicht nur potenzielle Risiken bergen, sondern auch die Leistung eurer Website beeinträchtigen.

Sicherheitsrichtlinien des Hostanbieters erfragen

Beachtet bei der Auswahl eines Hostanbieters unbedingt, welche Sicherheitsrichtlinien bei dem Hostanbieter gelten und wie er mit der Wiederherstellung gehackter Websites umgeht. Falls ihr einen Hostanbieter nutzt, fragt nach, ob er On-Demand-Support bei websitespezifischen Problemen anbietet. Ihr könnt euch auch online informieren, welche Erfahrungen Nutzer mit dem Anbieter bei der Wiederherstellung manipulierter Websites gemacht haben.

Wenn ihr einen eigenen Server habt oder VPS-Dienste (Virtual Private Server) nutzt, solltet ihr auf den Umgang mit möglichen Sicherheitsproblemen vorbereitet sein. Serveradministration ist eine komplexe Sache und eine der Hauptaufgaben eines Serveradministrators besteht darin, sicherzustellen, dass der Webserver und die Content-Management-Software immer gepatcht und auf dem neuesten Stand sind. Wenn ihr die Serveradministration nicht unbedingt selbst übernehmen wollt, kann es sich lohnen, bei eurem Hostanbieter nachzufragen, ob er solche Administrationsdienste anbietet.

Mit Google-Tools über mögliche gehackte Websiteinhalte auf dem Laufenden bleiben

Es ist wichtig, Tools zu haben, die euch bei der Überwachung eurer Website proaktiv unterstützen können. Je früher ihr über einen Hacking-Angriff Bescheid wisst, desto schneller könnt ihr etwas dagegen unternehmen.

Wir empfehlen allen, die noch nicht angemeldet sind, die Anmeldung bei der Search Console. Über die Search Console weist Google euch auf Probleme bei eurer Website hin. Wir informieren euch dann zum Beispiel auch, wenn gehackte Inhalte auf eurer Website gefunden wurden. Ihr könnt auch Google Alerts auf eurer Website einrichten, um bei verdächtigen Ergebnissen für eure Website benachrichtigt zu werden. Wenn ihr beispielsweise eine Website für Haustierzubehör mit dem Namen www.example.com habt, könnt ihr einen Alert für [site:example.com günstige software] einrichten. Dann werdet ihr benachrichtigt, wenn auf eurer Website plötzlich Hacking-Inhalte zu günstiger Software erscheinen. Ihr könnt mehrere Alerts für unterschiedliche Spambegriffe auf eurer Website einrichten. Wenn ihr nicht sicher seid, welche Spambegriffe ihr verwendet sollt, könnt ihr bei Google nach häufigen Spambegriffen suchen.

Wir hoffen, diese Tipps helfen euch, eure Website online zu schützen. Folgt unseren sozialen Kampagnen und teilt Tipps & Tricks zur Sicherheit im Web unter dem Hashtag #nohacked.

Falls ihr noch Fragen habt, könnt ihr diese auch in unserem Forum für Webmaster posten.

Post von Eric Kuan, Webmaster Relations Specialist und Yuan Niu, Webspam Analyst
(Veröffentlicht von Sven Naumann, Search Quality Team)


Posted:
Die Google-Suche bietet einen Dienst zur automatischen Vervollständigung, mit dem Suchanfragen vorhergesagt werden, bevor ein Nutzer die Eingabe beendet. Seit Jahren integrieren diverse Entwickler die Ergebnisse der automatischen Vervollständigung in ihre eigenen Dienste, wobei sie eine nicht offizielle und nicht veröffentlichte API verwenden, für die auch keine Beschränkungen gelten. Entwickler, die diese API zur automatischen Vervollständigung entdeckt haben, konnten somit die Dienste zur automatischen Vervollständigung unabhängig von der Google-Suche integrieren.

Bei vielen Gelegenheiten hat Reverse Engineering eines Google-Dienstes mit einer unveröffentlichten API durch die Entwicklercommunity hervorragende Ergebnisse hervorgebracht. Beispielsweise wurde die Google Maps API Monate, nachdem sich herausstellte, was kreative Entwickler durch Kombinieren von Kartendaten mit anderen Datenquellen geschaffen hatten, zu einer offiziell unterstützten API. Wir unterstützen derzeit mehr als 80 APIs, die Entwickler verwenden können, um Google-Dienste und -Daten in ihre Anwendungen zu integrieren.

Es treten jedoch manchmal Situationen auf, in denen die Verwendung einer nicht unterstützten und nicht veröffentlichten API das Risiko nach sich zieht, dass diese API irgendwann nicht mehr verfügbar ist. Die jetzige Situation ist eine davon.

Wir haben die automatische Vervollständigung als Zusatzfunktion zur Suche entwickelt. Jedoch war nie beabsichtigt, dass diese Funktion für andere Zwecke als zur Vorhersage von Suchanfragen verwendet wird. Im Laufe der Zeit haben wir festgestellt, dass gewisse Anwendungsmöglichkeiten von Datenfeeds zur automatischen Vervollständigung außerhalb der Suchergebnisse zwar nützlich sein könnten, der Inhalt unserer automatischen Vervollständigung jedoch für Ergebnisse der Websuche optimiert ist und auch nur im Zusammenhang mit diesen verwendet werden soll. Außerhalb des Kontextes einer Websuche bietet diese Funktion Nutzern keine nennenswerten Vorteile.

Da wir die Integrität der automatischen Vervollständigung als Teil der Suche aufrechterhalten möchten, schränken wir unautorisierten Zugriff auf die nicht veröffentlichte API zur automatischen Vervollständigung ab dem 10. August 2015 ein. Wir möchten sichergehen, dass Nutzer die automatische Vervollständigung so verwenden können, wie von uns beabsichtigt – als einen Dienst, der eng mit der Suche verbunden ist. Wir sind der Ansicht, dass dadurch die beste Nutzererfahrung für beide Dienste geboten wird.

Für Publisher und Entwickler, die den Dienst zur automatischen Vervollständigung weiterhin für ihre Website verwenden möchten, bieten wir eine Alternative an. Mit der benutzerdefinierten Suchmaschine von Google (Custom Search Engine – CSE) können Websites die Funktion zur automatischen Vervollständigung in Verbindung mit der Suchfunktion beibehalten. Alle Partner, die bereits CSE von Google verwenden, sind von dieser Änderung nicht betroffen. Andere, die die Funktion zur automatischen Vervollständigung nach dem 10. August 2015 nutzen möchten, können sich über die Anmeldeseite für CSE informieren.

Post von Peter Chiu im Namen des Autovervollständigungs-Teams
(Veröffentlicht von Sven Naumann, Search Quality Team)