Teile eurer Website vor dem Missbrauch mit Spam schützen

Mittwoch, 26. Mai 2021

Als Websiteinhaber bietet ihr möglicherweise einige Kanäle an, über die eure Nutzer mit euch und anderen interagieren können, z. B. Foren, Gästebücher, Plattformen in den sozialen Medien, Datei-Uploader, Hosting-Dienste oder interne Suchdienste. Bei diesen Diensten können Nutzer ein Konto erstellen, um Inhalte zu posten, eine Datei hochzuladen oder auf eurer Website zu suchen. Leider werden diese Art Dienste von Spammern oft missbraucht, um Hunderte von Spamseiten zu generieren, die nur wenig oder gar keinen Mehrwert schaffen. Gemäß den Prinzipien, die in den Google-Richtlinien für Webmaster beschrieben werden, kann Google manuelle Maßnahmen gegen die betroffenen Seiten ergreifen. Beispiele:

Bild: Missbrauchtes Forum oder Gästebuch Bild: Missbrauchter Datei-Uploader mit PDF-Spamdatei Bild: Missbrauchte Hosting-Dienste Bild: Missbrauchte interne Suchergebnisse

Durch Spaminhalte dieser Art können eurer Website und euren Nutzern auf verschiedene Arten Nachteile entstehen:

  • Minderwertige Inhalte in einigen Bereichen wirken sich auf das Ranking der gesamten Website aus.
  • Spaminhalte können Nutzer zu unerwünschten oder sogar schädlichen Inhalten wie Websites mit Malware oder Phishing weiterleiten, die möglicherweise den Ruf eurer Website schädigen.
  • Unbeabsichtigter Traffic, der von nicht relevanten Inhalten ausgeht, kann eure Website verlangsamen und die Hosting-Kosten in die Höhe treiben.
  • Eventuell entfernt Google Seiten mit Spam von Dritten oder wertet sie ab, um die Qualität der Suchergebnisse zu bewahren.

In diesem Blogpost findet ihr einige Tipps dazu, wie ihr verhindert, dass Spammer eure Website missbrauchen.

Automatische Erstellung von Konten blockieren

Wenn Nutzer ein Konto auf eurer Website erstellen können, könnt ihr zur Sicherheit den Google-Dienst reCAPTCHA oder ein vergleichbares Verifizierungstool zwischenschalten (z. B.Securimage oder JCaptcha). Dieser sorgt dann dafür, dass sich nur echte Nutzer anmelden und automatische Skripts keine Chance haben, euren Webhosting-Dienst zu missbrauchen, um massenhaft Spam-Websites zu generieren.

Wenn ihr von neuen Nutzern verlangt, dass sie ihre E-Mail-Adresse bei der Anmeldung für ein neues Konto bestätigen, könnt ihr auch Spambots daran hindern, automatisch Konten zu erstellen. Außerdem könnt ihr Filter zum Blockieren von E-Mail-Adressen einrichten, die verdächtig sind oder von nicht vertrauenswürdigen E-Mail-Diensten stammen.

Moderationsfunktionen aktivieren

Es hat sich vielfach bewährt, Moderationsfunktionen für die Kommentar- und Profilerstellung zu aktivieren, damit Nutzer erst dann Links posten dürfen, wenn sie sich als vertrauenswürdig erwiesen haben. Wenn es geht, solltet ihr die Einstellungen so ändern, dass anonyme Posts nicht möglich sind und Posts von neuen Nutzern zuerst bestätigt werden müssen, bevor sie öffentlich sichtbar sind.

Website auf Spaminhalte prüfen und Probleme beheben

Registriert eure Website bei der Search Console und bestätigt eure Website-Inhaberschaft. Im Bericht „Sicherheitsprobleme“ und im Bericht „Manuelle Maßnahmen“ seht ihr, ob Probleme von Google erkannt wurden. Im Steuerfeld „Nachrichten“ findet ihr ebenfalls weitere Informationen.

Bild: Eine Nachricht in der Search Console zu einer Website, die für Spam von Dritten missbraucht wird

Darüber hinaus ist es empfehlenswert, eure Website gelegentlich auf unerwartete Inhalte oder Spaminhalte zu prüfen. Dazu könnt ihr in der Google Suche den Operator site: zusammen mit kommerziellen oder nicht jugendfreien Suchbegriffen verwenden, die nichts mit dem Inhalt eurer Website zu tun haben. Sucht z. B. nach [site:your-domain-name viagra] oder [site:your-domain-name watch online], um nicht relevante Inhalte auf eurer Website zu finden, und insbesondere nach Folgendem:

  • Kontext- oder themenfremden Inhalten, die den alleinigen Zweck verfolgen, für Websites oder Dienste von Dritten zu werben, z. B. „kostenloser Filmdownload“ oder „Film online ansehen“.
  • Unsinnigen Inhalten oder Texten, die automatisch, also nicht von echten Nutzern, generiert wurden.
  • Internen Suchergebnissen, bei denen die Suchanfrage des Nutzers nicht relevant erscheint und dem Zweck dient, für Websites oder Dienste von Dritten zu werben.

Achtet in den Protokolldateien des Webservers auf plötzlich auftretende Zugriffsspitzen, insbesondere bei neu erstellten Seiten. Sucht z. B. nach möglichen URLs mit Suchbegriffen in URL-Mustern, die für eure Website komplett irrelevant sind. Mit dem Bericht „Landingpages“ in Google Analytics könnt ihr potenziell problematische URLs mit vielen Zugriffen erkennen.

Verhindert die Veröffentlichung eindeutig unangemessener Inhalte auf eurer Plattform mit einer Liste von Spambegriffen (wie z. B. „Streaming“ oder „Download“, „nicht jugendfrei“, „Glücksspiel“ oder Begriffen aus der Pharmabranche). Mit integrierten Funktionen und Plug-ins können solche Inhalte als Spam markiert oder gelöscht werden.

Ein weiteres hilfreiches Tool hierfür ist Google Alerts. Richtet einen [site:your-domain-name spammy-keywords]-Alert mit Begriffen zu kommerziellen oder nicht jugendfreien Themen ein, die man normalerweise nicht auf eurer Website finden würde. Google Alerts ist außerdem sehr gut dafür geeignet, gehackte Seiten zu finden.

Spamkonten erkennen und entfernen

Prüft das Webserverprotokoll auf Registrierungen von Nutzern und sucht nach typischen Spammustern wie den Folgenden:

  • Große Anzahl an ausgefüllten Registrierungsformularen innerhalb kurzer Zeit.
  • Anfragen aus demselben IP-Adressbereich.
  • Verwendung unerwarteter User-Agents bei der Registrierung.
  • Angabe unsinniger Nutzernamen oder anderer unsinniger Werte bei der Registrierung. Z. B. kommerzielle Nutzernamen wie „Kostenloser Filmdownload“, die nicht wie Namen von echten Personen klingen und Links zu nicht relevanten Websites enthalten.

Der Google Suche nicht erlauben, vertrauenswürdige Inhalte anzuzeigen oder ihnen zu folgen

Wenn Nutzer auf eurer Website Inhalte wie Profilseiten, Forenbeiträge und Websites erstellen können, verhindert ihr Spam, indem ihr dafür sorgt, dass die Google Suche neue oder nicht vertrauenswürdige Inhalte nicht anzeigt oder diesen folgt.

Ihr könnt z. B. mit dem Meta-Standard noindex den Zugriff auf nicht vertrauenswürdige Seiten blockieren. Ein Beispiel: 

<html>
  <head>
    <meta name="googlebot" content="noindex">
  </head>
</html>

Ihr könnt auch die robots.txt-Datei verwenden, um die Seiten vorübergehend zu blockieren. Beispiel: 

Disallow: /guestbook/

Von Nutzern erstellte Links (z. B. Kommentare und Forenbeiträge) lassen sich auch mit rel="ugc" oder rel="nofollow" als von Nutzern erstellte Inhalte markieren. Damit kann Google eure Beziehung zu der verlinkten Seite besser nachvollziehen und ihr könnt der Google Suche einfacher mitteilen, dass sie diesem Link nicht folgen soll.

Den Inhalt eurer offenen Plattform in einem Dateipfad oder -verzeichnis zusammenfassen

Mit automatisierten Skripts oder automatisierter Software können Spammer innerhalb kurzer Zeit eine große Anzahl an Spamseiten auf eurer Website generieren. Einige dieser Inhalte werden möglicherweise in fragmentierten Dateipfaden oder -verzeichnissen gehostet, was es Websiteinhabern erschwert, Spam effektiv zu erkennen und zu bereinigen. Hier ein paar Beispiele: 

example.com/best-online-pharma-buy-red-viagra-online
example.com/free-watch-online-2021-full-movie

Es ist außerdem empfehlenswert, eure von Nutzern erstellten Inhalte für eine einfachere Wartung und Spamerkennung in einem Dateipfad oder -verzeichnis zusammenzufassen. Hier wäre z. B. der folgende Dateipfad zu empfehlen: 

example.com/user-generated-content-dir-name/example01.html
example.com/user-generated-content-dir-name/example02.html

Website-Software aktuell halten und automatisierte Systeme zum Schutz eurer Website verwenden

Nehmt euch die Zeit, eure Software regelmäßig zu aktualisieren, und achtet dabei besonders auf wichtige Sicherheitsupdates. Spammer können Sicherheitslücken in Blogs, auf Pinnwänden und in anderen Content-Management-Systemen ausnutzen.

Darüber hinaus haben einige umfassende Anti-Spam-Systeme wie Akismet auch Plug-ins für viele Blogs und Forensysteme, die einfach zu installieren sind und den Großteil der Spam-Bekämpfung für euch übernehmen. Außerdem gibt es für einige Plattformen vertrauenswürdige und bekannte Sicherheits-Plug-ins, die dabei helfen, die Website zu schützen und Missbrauch frühzeitig zu erkennen.

Je nachdem, was auf eure Website zutrifft, könnt ihr euch in unserer Dokumentation noch ausführlicher informieren:

Falls ihr Hilfe benötigt, könnt ihr auch unser Search Central-Hilfeforum besuchen.

Beitrag vom Search Quality Team