Wie zwielichtige Marketer mittels WordPress-Plugins Sexlinks auf die Websites ahnungsloser Seitenbetreiber schmuggeln

(Foto: Simon Lesley / Flickr / CC BY-ND 2.0

Offenbar Tausende von Seiten von aktueller SEO-Spam-Attacke betroffen

(Foto: Simon Lesley / Flickr / CC BY-ND 2.0

(Foto: Simon Lesley / Flickr / CC BY-ND 2.0)

Ein Link zu einer Sex-Webcam-Seite, unsichtbar für die Seitenbesucher platziert? – Über diesen Fund wunderte sich der Wiener Webdesigner Mario Röder beim Blick in den Programmiercode der Website eines seiner Kunden. Röder fand heraus: Der Kunde hatte den Link dort nicht selbst platziert, sondern ein bösartiges WordPress-Plugin war dafür verantwortlich. Kein Einzelfall: Wie Recherchen von Online Marketing Rockstars gezeigt haben, sind offenbar auch Tausende anderer Seiten von der Attacke betroffen. Eigentlich hatte Röders Kunde nur Facebooks „Gefällt mir“-Button auf seiner Website einbinden wollen. WordPress, die mittlerweile meist genutzte Website-Software, ermöglicht auch technisch wenig erfahrenen Seitenbetreibern ihre Seite mittels von externen Entwicklern angebotenen Plugins anzupassen. Programmierer mit wenig ehrbaren Motiven versuchen jedoch, die Unbedarftheit von wenig beschlagenen Nutzern auszunutzen, um diesen schädliche Plugins unterzujubeln.

Vermeintliches „Gefällt mir“-Button-Plugin platziert Sexseiten-Link

Im Fall von Röders Kunden installierte dieser offenbar eine entsprechende Erweiterung, die vordergründig die Einbindung eines Facebook-Buttons ermöglichen sollte – nicht ahnend, dass diese im Hintergrund einer Sexcam-Seite einen wertvollen Backlink beschert. Ein Blick in den Quellcode der Seite offenbart den Vorgang:

(Screenshot: Mario Röder / Digital-Workshop.at)

Das von dem Seitenbetreiber genutzte bösartige Plugin ist mittlerweile auf der offiziellen Seite von WordPress nicht mehr verfügbar. Es war offenbar jedoch nicht das einzige, das von den Hintermännern eingesetzt wurde, um ihre Domain zu promoten. Der US-Sicherheitsdienstleister Sucuri berichtet in seinem Firmenblog vom vergleichbaren Vorgehen eines WordPress-Plugins namens „BWP Google XML Sitemaps“. Wie die Untersuchung von Sucuri ergeben hat, lädt dieses Plugin von einer in der Ukraine registrierten Domain eine PHP-Datei herunter, die dann den entsprechenden Code-Schnipsel im Programmiercode der Seite injiziert.

Mehr als 16.000 Seiten betroffen?

Wer bei Google nach „sexcams4free.com wordpress“ sucht, stößt auf diverse Seiten, auf denen die Pornoseite für die Besucher unsichtbar verlinkt ist – darunter beispielsweise die Website einer Augsburger Webdesign- und Suchmaschinenagentur. Der Blick in den Quellcode von einigen der Seiten lässt den Schluss zu, dass noch mehr als die beiden bisher genannten Plugins für solch halbseidenen Methoden genutzt werden. So finden sich in den Programmiercodes der betroffenen Seiten Hinweise auf ein Plugin namens „WP Better Categories“ und auf eine Erweiterung, die die Einbindung eines Kontaktformulars ermöglicht.

Darüber, wie stark sich die Links für Sexcams4free.com auf diese Weise verbreitet haben, bietet das Tool ahrefs Rückschlüsse. Innerhalb der vergangenen 30 Tage ist laut dem Dienst die Zahl der Links auf die Domain rasant angestiegen; mehr als 430.000 Mal sei sie bisher verlinkt worden.

(Screenshot: ahrefs.com)

(Screenshot: ahrefs.com)

„Im gesamten PPP-Segment – Porn, Poker, Pharmacy – ist solch ein Vorgehen nicht selten“, sagt Andre Alpar von der Berliner Suchmaschinenmarketing-Agentur AKM3. Für Seitenbetreiber sind Backlinks wichtig, um in Googles Suchergebnissen weit vorner platziert zu werden. „Bei PPP ist ein normaler Link-Aufbau aber nicht möglich. Üblicherweise wird also eine Affiliate-Domain eingerichtet, auf die mit wenig seriösen Methoden der Traffic geschaufelt wird, und die dann weiter verlinkt auf die Seiten, auf denen Geld verdient wird.“

Plugins tauschen Adsense-ID aus

Die Sicherheitsfirma Sucuri hatte bereits mehrfach über bösartige WordPress-Plugins gewarnt. Im Jahr 2013 hatte ein „Social Media Widget“ Spam-Links zu einer Kreditseite im Programmiercode der Nutzer versteckt. In diesem Frühjahr berichtete Sucuri über Seiten wie WPList.org und WPLocker.com, über die eigentlich kostenpflichtige WordPress-Plugins gratis zum Download angeboten werden. Doch die kostenlosen Software-Erweiterungen waren mit bösartigem Code verseucht, der es den Anbietern ermöglichte, die Seiten der Nutzer zu übernehmen.

Ebenfalls bekannt sind Berichte über Plugins, die die Adsense-ID der Seitenbetreiber gegen jene des Plugin-Entwicklers austauschen. Werden also auf der Seite desjenigen, der das Plugin einbindet, Anzeigen von Googles Werbeprogramm Adsense ausgespielt, gehen die Einnahmen daraus nicht an den Seitenbetreiber, sondern an den Entwickler des Plugins. Der Entwickler des Plugins „Easy Adsense“ versuchte auf diese Weise offenbar, „seine Entwicklungskosten auszugleichen“. Mittlerweile hat der Programmierer diese Praxis angeblich eingestellt.

GreyhatLinkbuildingWordPressWordpress Plugins
Roland Eisenbrand
Autor*In
Roland Eisenbrand

Roland ist seit mehr als zehn Jahren als Journalist in der Digitalbranche aktiv. Seit 2014 verantwortet er als Head of Content (und zweiter Mitarbeiter) alle inhaltlichen Komponenten von OMR, darunter vor allem den OMR Blog und redaktionelle Arbeit rund um das OMR Festival.

Alle Artikel von Roland Eisenbrand

Ähnliche Artikel

Aktuelle Stories und die wichtigsten News für Marketeers direkt in dein Postfach!
Zeig mir ein Beispiel