Unser täglich Spam

Aus dem Internet frisch auf den Tisch. Köstlich und aromatisch.


Theme-Spam in Webanwendungen

Sonntag, 23. August 2009, 05:08 Uhr

Spam nimmt viele Wege, nicht nur die Mail und den Blogkommentar. Eine wichtige Form von Spam ist es, Links auf fragwürdige Websites zu setzen, um auf diese Weise das Google-Ranking für diese Website zu manipulieren. Natürlich geschieht so etwas meist über Gästebücher, in Foren oder in Blogkommentaren, aber es geht auch anders, subtiler, hinterhältiger.

Ein Anwender der Forumsoftware bbPress hat sich etwa aus einer wohl sehr fragwürdigen Quelle ein Theme heruntergeladen, dessen Dateien mit folgendem Code „angereichert“ wurden:

<script language=“javascript“>
document.write(‘<style> #a1dd122 { margin: -40000px; position: absolute; text-align:right; } </style>‘);
</script>[Link entfernt…]Cialis 20mg

Der im Zitat entfernte, auf den Text „Cialis 20mg“ gelegte Link ging natürlich auf eine (französische) Website, die vorgibt, dass man dort gewisse Medikamente kaufen könnte. Wenn jemand dieses Theme für bbPress heruntergeladen hat und für sein Forum verwendet, denn gibt er den Halunken, die ihm so etwas heimlich unterjubeln, unsichtbare Links auf ihre kriminellen Websites. Diese Links sind aber nur für die meisten menschlichen Leser unsichtbar (wer einen Browser wie Lynx benutzt, sieht sie in jedem Fall), während sie von den Suchmaschinen ausgewertet und bei der Beurteilung der so verlinkten Seite berücksichtigt werden.

Und die gleiche Sauerei geht natürlich auch mit Themes für WordPress, beliebte Forensoftware, Serendipity, CMS wie Joomla und generell für jede themefähige Webanwendung. Und natürlich lassen sich auch Plugins in der gleichen Weise dazu verwenden, irgendwo einen kleinen SEO-Link auf die Website von fragwürdigen Zeitgenossen oder gar richtigen Verbrechern in anderer Leute Websites einzubauen. Da hilft dann auch kein noch so guter Spamfilter mehr, die Spam ist fester Bestandteil der eigenen Website geworden.

Da die wenigsten Menschen ihre Themes oder Plugins völlig selbst schreiben oder auch nur den Code eines Themes verstehen und beurteilen können, ist es gar nicht einmal schwierig, so eine Spam unter die Leute zu bringen. Es reicht aus, wenn entsprechend verseuchte Themes oder Plugins zum freien Download irgendwo angeboten werden, sie werden schon gefunden. Hier macht es nicht unbedingt die Masse, einige hundert Anwender der Spam-Themes reichen völlig aus, um eine auf diese Weise für Google relevant gemachte Website bei entsprechenden Suchbegriffen in der Ergebnisliste nach oben zu bringen, und mehr wollen solche Halunken nicht.

Für einen von derartiger Theme- oder Plugin-SEO-Spam betroffenen Menschen kann ein solcher Link sehr nachteilhaft sein. Zum einen ist jeder Sitebetreiber dafür haftbar, wenn seine Website Links auf kriminelle Websites enthält, zum anderen kann der so untergejubelte Verweis auf eine Schleuder für Schadsoftware auch schnell dazu führen, dass das eigene Projekt von Google abgestraft und als „gefährlich“ gekennzeichnet wird, was einer völligen Unsichtbarkeit des eigenen Forums, Blogs oder der eignen Website gleich kommt.

Wie kann man sich davor schützen?

Der beste Schutz gegen diese Form der Spam ist es, alles Themes und Plugins selbst zu schreiben. Das dürfte allerdings für viele Menschen inakzeptabel sein, da es mit unsinnig hohem Aufwand verbunden ist, da hierfür programmiert werden muss und da es passende und frei verfügbare Themes und Plugins bereits gibt, die auf ihren Einsatz warten. Niemand möchte noch einmal das Rad von Neuem erfinden.

Der zweitbeste Schutz, der für viele Menschen der beste mögliche Schutz sein wird, besteht darin, dass man alle Themes und Plugins ausschließlich über offizielle oder sehr vertrauenswürdige Download-Sites bezieht. Um zu prüfen, ob eine nicht ganz offizielle Download-Site für Themes und Plugins vertrauenswürdig ist, bleibt einem normalen Anwender kein anderes Mittel als die Suche nach Erfahrungen anderer Anwender.

Selbst bei einer zuverlässigen Quelle der Dateien ist noch eine gewisse Skepsis angemessen.

Deshalb ist es empfehlenswert, die eigene Website einmal so zu sehen, wie sie von einer Suchmaschine „gesehen“ wird, also in einer Form, in der keinerlei Inhalte versteckt sind. Die untergeschobenen Spamlinks sind dann sichtbar.

Dies kann man etwa mit einem textbasierten Webbrowser wie Lynx erreichen – dieser Browser erweist sich übrigens auch in anderen Situationen als nützliches Werkzeug, etwa, um damit zu beurteilen, wie ein Blinder oder schwer körperbehinderter Mensch eine Website „sieht“. In vielen Fällen ist die Barrierefreiheit einer Website wünschenswert und wichtig genug, so dass man darauf achten möchte.

Leider ist Lynx für viele Menschen etwas „schwierig“.

Doch es gibt noch eine andere Möglichkeit, eine Website so zu sehen, wie sie eine Suchmaschine sieht. Hierfür bedarf es des Webbrowsers Opera. dessen moderne Benutzerführung einem „normalen“ Anwender mit Konzepten begegnet, die ihm vertraut sind. Zu den wenig genutzten Features dieses Browsers gehört ein so genannter „Benutzermodus“, in welchem Websites ohne ihre vom Designer vorgesehene Gestaltung dargestellt werden.

Um einen Test der eigenen Website mit Opera durchzuführen, sollte zunächst JavaScript abgestellt werden, um das nachträgliche Verstecken eines eingeblendeten Links über JavaScript zu unterdrücken. (Die Suchmaschinen werten keine Skripte aus.) Dann in den Benutzermodus schalten und die eigene Website aufrufen. Das sieht zunächst ungewohnt aus, aber eine Suchmaschine oder ein Blinder „sieht“ die Inhalte genau so, frei von jeder visuellen Gestaltung. Und kunstvoll versteckte Links in Themes oder Plugins werden auch sichtbar.

Ein solcher Test ist sehr einfach, er geht schnell, er erfordert keine speziellen Kenntnisse und er kann viel unnötigen Ärger ersparen.

Außerdem: Wer möchte schon gern mit seinem eigenen Projekt im Internet die Pläne von Spammern, fragwürdigen „Apothekern“, Anbietern betrügerischer Glücksspiele oder Verkäufern nicht lizenzierter Software fördern? Deshalb sollte jeder einmal sein Blog, sein Forum oder seine Website auf diese Weise testen, wenn Code aus fremden Quellen darin verbaut ist. Dies gilt im besonderen Maße, wenn Themes oder Plugins von nicht offiziellen Websites darin verbaut sind.

Ich mag es so sehr, da muss ich gleich mal zum Facebook klicken...

Kommentar hinterlassen

Beachten sie vor dem Schreiben eines Kommentares die Datenschutzerklärung für Unser täglich Spam. Wenn sie Wert auf ihre Privatsphäre legen und aus gutem Grund nicht überall ihren Namen und ihre E-Mail-Adresse angeben wollen, machen sie einfach Phantasieangaben.