Die Sicherheit ihrer Website – oder deren Fehlen – kann sich direkt auf ihre SEO-Leistung auswirken.

Suchspezialisten können selbstgefällig werden. Marketingspezialisten werden oft in eine Wahrnehmung dessen verstrickt, was SEO ist, und beginnen zu übersehen, was SEO sein sollte.

Die Branche stellt seit langem in Frage, in welche permanenten Auwirkungen ein Website-Hack auf die organische Leistung haben kann.

Und viele beginnen, die Rolle präventiver Sicherheitsmaßnahmen bei der Bewertung einer bestimmten Domain durch Google in Frage zu stellen.

Mit der Einführung der GDPR und ihrer Begleitverordnungen sind die Fragen der Cybersicherheit und des Datenschutzes wieder auf dem Vormarsch.

Die Debatte geht weiter. Was sind die wahren Kosten eines Angriffs? Inwieweit beeinflusst die Sicherheit der Website mein Ranking?

Die Wahrheit ist, dass viele Unternehmen die Bedeutung der Sicherung ihrer digitalen Assets noch nicht erkannt haben. Bislang wurde die Einrichtung von Schwachstellen vor Ort als ein anderer Kompetenzbereich angesehen als SEO. Aber das ist nicht (mehr) der Fall.

Ein Marktführer zu sein – sowohl im Denken als auch in der Suchleistung – bedeutet, proaktiv zu sein und die Grundlagen abzudecken, die ihre Konkurrenz nicht hat.

Die Sicherheit der Website wird oft vernachlässigt, wenn es um langfristige digitale Marketingpläne geht. Aber in Wirklichkeit könnte es das Signal sein, das dich von anderen nterscheidet.

Wann wurde Cybersicherheit das letzte Mal während ihres SEO-Site-Audits oder Strategie-Meetings diskutiert?

Wie wirkt sich die Webseitensicherheit auf SEO aus?

HTTPS wurde als Ranking-Faktor genannt und nach außen hin in Updates für den Chrome-Browser verschoben. Seitdem ist HTTPS zum größten Teil zum „Vorzeigekind“ der Cybersicherheit in der Suchmaschinenoptimierung geworden.

Aber die meisten von uns wissen, hört die Sicherheit nicht bei HTTPS auf. Und HTTPS bedeutet keineswegs, dass Sie eine sichere Website haben.

Unabhängig von der HTTPS-Zertifizierung zeigen Untersuchungen, dass die meisten Websites durchschnittlich 58 Angriffe pro Tag erleben werden. Darüber hinaus werden bis zu 61 Prozent des gesamten Internetverkehrs automatisiert – das bedeutet, dass diese Angriffe nicht aufgrund der Größe oder Popularität der betreffenden Website diskriminieren.

Keine Sache ist zu klein oder zu unbedeutend für einen Angriff. Leider steigen diese Zahlen nur noch an. Und Angriffe werden immer schwieriger zu erkennen.

Blacklisting.

Wenn – oder wann – Sie für einen Angriff ins Visier genommen werden, ist der direkte finanzielle Verlust nicht der einzige Grund zur Sorge. Eine kompromittierte Website kann SERPs verfälschen und von Google mit einer Reihe von manuellen Strafen belegt werden.

Allerdings führen Suchmaschinen nur einen Bruchteil der Gesamtzahl der mit Malware infizierten Websites auf die Blacklist.

GoDaddy`s aktueller Bericht ergab, dass in 90 Prozent der Fälle infizierte Webseiten überhaupt nicht markiert wurden.

Dies bedeutet, dass der Betreiber ohne sein Wissen kontinuierlich gezielt angesprochen werden kann – was die Schwere der verhängten Sanktionen erhöht.

Auch ohne auf die schwarze Liste gesetzt zu werden, können die Rankings einer Website immer noch unter einem Angriff leiden. Das Hinzufügen von Malware oder Spam zu einer Website kann nur zu einem negativen Ergebnis führen.

Es ist klar, dass diejenigen, die sich weiterhin auf nach außen gerichtete Symptome oder Warnungen von Google verlassen, Malware übersehen könnten, die ihre Besucher beeinträchtigt.

Das schafft ein Paradoxon. Die Markierung oder Sperrliste für Malware beendet im Wesentlichen ihre Website und löscht ihre Rankings, zumindest bis die Website gereinigt ist und die Strafen aufgehoben werden.

Wenn Sie nicht markiert werden, wenn ihre Website Malware enthält, führt dies zu einer höheren Anfälligkeit für Hacker und strengeren Strafen.

Prävention ist die einzige Lösung.

Dies ist besonders alarmierend, wenn man bedenkt, dass 9 Prozent oder bis zu 1,7 Millionen Websites eine große Schwachstelle aufweisen, die den Einsatz von Malware ermöglichen könnte.

Wenn Sie in eine langfristige Suchtransparenz investieren, in einem hart umkämpften Markt tätig sind oder ihr Geschäftserfolg stark vom organischen Traffic beeinflusst wird, dann ist erhöhte Wachsamkeit geboten.

Crawling-Fehler.

Bots werden unweigerlich einen erheblichen Teil des Website- und Anwendungstraffics ausmachen.

Aber nicht alle Bots sind gutartig. Mindestens 19% der Bots durchsuchen Webseiten für schändlichere Zwecke wie Content Scraping, Schwachstellenerkennung oder Datendiebstahl.

Selbst wenn ihre Versuche erfolglos sind, können ständige Angriffe durch automatisierte Software verhindern, dass Googlebot ihre Website angemessen durchsucht.

Bösartige Bots nutzen die gleiche Bandbreite und die gleichen Serverressourcen wie ein legitimer Bot oder ein normaler Besucher.

Wenn ihr Server jedoch wiederholten, automatisierten Aufgaben von mehreren Bots über einen langen Zeitraum ausgesetzt ist, kann er beginnen, ihren Webtraffic zu drosseln. Als Reaktion darauf könnte ihr Server möglicherweise die Bereitstellung von Seiten ganz einstellen.

Wenn Sie seltsame 404– oder 503-Fehler in der Search Console bemerken, die überhaupt nicht fehlen, ist es möglich, dass Google versucht hat, sie zu crawlen, aber ihr Server hat sie als fehlend gemeldet.

Diese Art von Fehler kann auftreten, wenn ihr Server überlastet ist.

Obwohl ihre Aktivität in der Regel überschaubar ist, können manchmal sogar legitime Bots Ressourcen in einem unhaltbaren Maße verbrauchen. Wenn Sie viele neue Inhalte hinzufügen, kann aggressives Crawlen, um zu versuchen, diese zu indizieren, Ihren Server belasten.

Ebenso ist es möglich, dass legitime Bots auf einen Fehler in ihrer Website stoßen, der einen ressourcenintensiven Vorgang oder eine Endlosschleife auslöst.

Um dies zu bekämpfen, verwenden die meisten Webseiten serverseitiges Caching, um vorgefertigte Versionen ihrer Website bereitzustellen, anstatt bei jeder Anfrage immer wieder dieselbe Seite zu generieren, was viel ressourcenintensiver ist. Dies hat den zusätzlichen Vorteil, dass die Ladezeiten für ihre tatsächlichen Besucher verkürzt werden, was Google bestätigen wird.

Die meisten großen Suchmaschinen bieten auch eine Möglichkeit, die Geschwindigkeit zu kontrollieren, mit der ihre Bots ihre Website durchsuchen, um die Fähigkeiten ihrer Server nicht zu überfordern.

Dies hat keinen Einfluss darauf, wie oft ein Bot ihre Website durchsucht, sondern auf die Höhe der verbrauchten Ressourcen.

Um effektiv zu optimieren, müssen Sie die Bedrohung für sich selbst oder das spezifische Geschäftsmodell ihres Kunden erkennen.

Schätzen Sie die Notwendigkeit, Systeme zu entwickeln, die zwischen schlechtem Bot-Traffic, gutem Bot-Traffic und menschlichen Aktivitäten unterscheiden können. Schlecht gemacht, können Sie die Effektivität ihrer Suchmaschinenoptimierung reduzieren oder sogar wertvolle Besucher vollständig von ihren Diensten ausschließen.

Im zweiten Abschnitt werden wir mehr darüber erfahren, wie man bösartigen Bot-Traffic identifiziert und wie man das Problem am besten entschärft.

SEO Spam.

Über 73% der gehackten Webseiten in GoDaddy`s Studie wurden ausschließlich zu SEO-Spamzwecken angegriffen.

Dies könnte ein Akt der absichtlichen Sabotage oder ein wahlloser Versuch sein, eine autoritäre Website zu scrapen, zu verunstalten oder zu nutzen.

Im Allgemeinen laden böswillige Akteure Websites mit Spam, um legitime Besuche zu verhindern, sie in Link-Farmen zu konvertieren und ahnungslose Besucher mit Malware- oder Phishing-Links zu ködern.

In vielen Fällen nutzen Hacker bestehende Schwachstellen aus und erhalten über eine SQL-Injektion administrativen Zugriff.

Diese Art von zielgerichtetem Angriff kann verheerend sein. Ihre Website wird von Spam überrannt und möglicherweise auf die Blacklist gesetzt. Ihre Kunden werden manipuliert. Der Reputationsschaden kann irreparabel sein.

Abgesehen von Blacklisting gibt es keine direkte SEO-Strafe für Verunstaltungen der Website. Allerdings ändert sich die Darstellung ihrer Website in den SERPs. Der endgültige Schaden hängt von den vorgenommenen Änderungen ab.

Aber es ist wahrscheinlich, dass ihre Website für die Anfragen, für die Sie früher relevant war, nicht mehr relevant sein wird, zumindestens für eine Weile.

Angenommen, ein Angreifer erhält Zugriff und implantiert einen Rogue-Prozess auf ihrem Server, der außerhalb des Hosting-Verzeichnisses arbeitet.

Sie könnten möglicherweise ungehinderten Backdoor-Zugriff auf den Server und alle darin gehosteten Inhalte haben, auch nach einer Bereinigung der Dateien.

Auf diese Weise können sie Tausende von Dateien – einschließlich raubkopierter Inhalte – auf ihrem Server ausführen und speichern.

Wenn dies populär wird, werden Ihre Serverressourcen hauptsächlich für die Bereitstellung dieser Inhalte verwendet. Dies wird Ihre Website-Geschwindigkeit massiv reduzieren, nicht nur die Aufmerksamkeit ihrer Besucher verlieren, sondern auch ihre Platzierungen möglicherweise herabsetzen.

Andere SEO-Spam-Techniken beinhalten den Einsatz von Scraper-Bots, um Inhalte, E-Mail-Adressen und persönliche Daten zu stehlen und zu duplizieren. Unabhängig davon, ob Sie sich dieser Aktivität bewusst sind oder nicht, kann Ihre Website möglicherweise von Penalties für Duplicate Content betroffen sein.

Wie man SEO-Risiken minimiert, indem man die Sicherheit der Website verbessert.

Obwohl diese Aussicht auf diese Angriffe alarmierend sein kann, gibt es Schritte, die Website-Besitzer und Agenturen unternehmen können, um sich und ihre Kunden zu schützen. Hier sind Proaktivität und Training entscheidend, um Webseiten vor erfolgreichen Angriffen zu schützen und die organische Leistung langfristig zu sichern.

Bösartige Bots.

Leider folgen die meisten bösartigen Bots nicht den Standardprotokollen, wenn es um Web-Crawler geht. Das macht es offensichtlich schwieriger, sie abzuschrecken. Letztendlich ist die Lösung abhängig von der Art des Bot, mit dem Sie es zu tun haben.

Wenn Sie sich Sorgen um Content Scrapers machen, können Sie sich Ihre Backlinks oder Trackbacks manuell ansehen, um zu sehen, welche Websites Ihre Links verwenden. Wenn Sie feststellen, dass Ihre Inhalte ohne Ihre Zustimmung auf einer Spam-Seite veröffentlicht wurden, melden Sie eine DMCA-Beschwerde bei Google.

Im Allgemeinen besteht die beste Verteidigung darin, die Quelle Ihres bösartigen Datentraffics zu identifizieren und den Zugriff aus diesen Quellen zu blockieren.

Die traditionelle Art, dies zu tun, ist die routinemäßige Analyse Ihrer Protokolldateien mit einem Tool wie AWStats. Dies erzeugt einen Bericht, der jeden Bot auflistet, der Ihre Website durchsucht hat, die verbrauchte Bandbreite, die Gesamtzahl der Zugriffe und vieles mehr.

Die normale Nutzung der Bot-Bandbreite sollte einige wenige Megabyte pro Monat nicht überschreiten.

Wemm Ihnen dies nicht die Daten liefert, die Sie benötigen, können Sie jederzeit die Logdateien Ihrer Website oder Ihres Servers durchgehen. Anhand dieser Daten, insbesondere der Daten „Quell-IP-Adresse“ und „User-Agent“, können Sie Bots leicht von normalen Benutzern unterscheiden.

Bösartige Bots können schwieriger zu identifizieren sein, da sie oft legitime Crawler nachahmen, indem sie den gleichen oder einen ähnlichen User Agent verwenden.

Wenn Sie misstrauisch sind, können Sie eine Reverse-DNS-Suche auf der Quell-IP-Adresse durchführen, um den Hostnamen des betreffenden Bot zu erhalten.

Die IP-Adressen der großen Suchmaschinen-Bots sollten sich in erkennbare Hostnamen wie „googlebot.com“ oder „search.msn.com“ für Bing auflösen.

Darüber hinaus neigen bösartige Bots dazu, den Ausschlussstandard für Roboter zu ignorieren- Wenn Sie Bots haben, die Seiten besuchen, die ausgeschlossen werden sollen, deutet dies darauf hin, dass der Bot bösartig sein könnte.

WordPress Plugins & Extensions.

Eine große Anzahl von kompromittierten Websites beinhaltet veraltete Software auf der am häufigsten verwendeten Plattform und Tools – WordPress und sein CMS.

WordPress Security ist sehr gemischt. Die schlechte Nachricht ist, dass Hacker speziell nach Webseiten suchen, die veraltete Plugins verwenden, um bekannte Schwachstellen auszunutzen. Darüber hinaus sind sie ständig auf der Suche nach neuen Schwachstellen, die sie ausnutzen können.

Dies kann zu einer Vielzahl von Problemen führen. Wenn Sie gehackt werden und Ihre Website-Verzeichnisse nicht geschlossen wurden, um Ihren Inhalt aufzulisten, können die Indexseiten der theme- und pluginbezogenen Verzeichnisse in den Index von Google gelangen. Selbst wenn diese Seiten auf 404 eingestellt sind und die verbleibende Website bereinigt wird, können sie Ihre Website zu einem einfachen Ziel für weitere Massenplattformen oder Plugin-basiertes Hacking machen.

Es ist bekannt, dass Hacker diese Methode nutzen, um die Kontrolle über die SMTP-Dienste einer Website zu übernehmen und Spam-E-Mails ui versenden. Dies kann dazu führen, dass Ihre Domain mit E-Mail-Spam-Datenbanken auf die Blacklist gesetzt wird.

Wenn die Kernfunktion Ihrer Website einen legitimen Bedarf an Massen-E-Mails hat – seien es Newsletter, Outreach oder Eventteilnehmer – kann dies verheerend sein.

Wie Sie dies verhindern können.

Das Schließen dieser Seiten von der Indizierung über robots.txt würde immer noch einen deutlichen Fußabdruck hinterlassen. Viele Webseiten müssen Sie manuell über das URL-Entfernungsformular aus dem Google-Index entfernen. Zusammen mit der Entfernung aus E-Mail-Spam-Datenbanken kann dies mehrere Versuche und lange Korrespondenzen erfordern, die dauerhafte Schäden verursachen.

Auf der anderen Seite gibt es viele Sicherheits-Plugins, die, wenn sie aktualisiert werden, Ihnen bei der Überwachung und dem Schutz Ihrer Website helfen können.

Beliebte Beispiele sind All in One und Sucuri Security. Diese können potenzielle Hacking-Ereignisse überwachen und nach ihnen suchen und verfügen über Firewall-Funktionen, die verdächtige Besucher dauerhaft blockieren.

Überprüfen, recherchieren und aktualisieren Sie jedes Plugin und Skript, das Sie verwenden. Es ist besser, die Zeit in die Aktualisierung Ihrer Plugins zu investieren, als sich selbst zu einem einfachen Ziel zu machen.

Systemüberwachung und Identifizierung von Hacks.

Viele Parktizierende versuchen nicht, aktiv festzustellen, ob eine Webseite bei der Aufnahme von potenziellen Kunden gehackt wurde. Abgesehen von den Benachrichtigungen von Google und der Transparenz des Kunden über seine Historie kann es schwierig sein, diese festzustellen.

Dieser Prozess sollte eine Schlüsselrolle bei der Beurteilung bestehender und zukünftiger Geschäfts spielen. Ihre Erkenntnisse – sowohl in Bezug auf die historische als auch auf die aktuelle Sicherheit – sollten in die von Ihnen gewählte Strategie einfließen.

Mit längerfristigen Daten der Google Search Console ist es möglich, vergangene Angriffe wie z.B. Spam-Injektion durch das Tracking historischer Impressionsdaten zu identifizieren.

Allerdings sind nicht alle Angriffe in dieser Form. Und bestimmte Vertikale weisen aufgrund der Saisonalität naturgemäß extreme Trafficschwankungen auf. Fragen Sie Ihren Kunden direkt und seien Sie gründlich bei Ihrer Recherche.

Wie Sie dies verhindern können.

Um beste Chancen zu haben, aktuelle Hacks frühzeitig zu erkennen, benötigen Sie spezielle Tools, die Ihnen bei der Diagnose von Krypto-Mining-Software, Phishing und Malware helfen.

Es gibt kostenpflichtige Dienste wie WebsitePulse oder SiteLock, die eine einzige Plattform-Lösung für die Überwachung Ihrer Website, Server und Anwendungen bieten. Wenn also ein Plugin abstürzt, Links zu bestehenden Seiten hinzufügt oder neue Seiten erstellt, warnt Sie die Überwachungssoftware innerhalb weniger Minuten.

Sie können auch ein Quellcode-Analysetool verwenden, um festzustellen, ob eine Website gefährdet ist.

Diese überprüfen Ihr PHP und anderen Quellcode auf Signaturen und Muster, die mit dem bekannten Malware-Code übereinstimmen. Erweiterte Versionen dieser Software vergleichen Ihren Code mit „richtigen“ Versionen derselben Dateien, anstatt nach externen Signaturen zu suchen. Dies hilft, neue Malware zu erkennen, für die möglicherweise keine Erkennungssignatur vorhanden ist.

Die meisten guten Überwachungsdienste beinhalten die Möglichkeit, dies von mehreren Standorten aus zu tun. Hacker-Websites stellen oft nicht jedem Benutzer Malware zur Verfügung.

Stattdessen enthalten sie Code, der ihn nur bestimmten Benutzern anzeigt, basierend auf Standort, Tageszeit, Traffic-Quelle und anderen Kriterien. Durch die Verwendung eines entfernten Scanners, der mehrere Standorte überwacht, vermeiden Sie das Risiko, eine Infektion zu verpassen.

Sicherheit im lokalen Netzwerk.

Es ist ebenso wichtig, Ihre lokale Sicherheit zu verwalten wie die der Website, an der Sie arbeiten. Die Integration einer Reihe von mehrschichtiger Sicherheitssoftware ist nicht sinnvoll, wenn die Zugriffskontrolle an anderer Stelle verwundbar ist.

Die Verschärfung der Netzwerksicherheit ist von entscheidender Bedeutung, unabhängig davon, ob Sie unabhängig, entfernt oder in einem großen Büro arbeiten. Je größer Ihr Netzwerk, desto höher ist das Risiko von menschlichem Versagen, während die Risiken öffentlicher Netzwerke nicht zu unterschätzen sind.

Stellen Sie sicher, dass Sie sich an die Standardsicherheitsverfahren halten, wie z.B. die Begrenzung der Anzahl der in einem bestimmten Zeitraum möglichen Anmeldeversuche, das automatische Beenden abgelaufener Sitzungen und das Eliminieren von automatischen Formularausfüllungen.

Egal, wo Sie arbeiten, verschlüsseln Sie Ihre Verbindung mit einem zuverlässigen VPN.

Es ist auch ratsam, Ihren Traffic mit einer Web Application Firewall (WAF) zu filtern. Dadurch wird der Datenverkehr zu und von einer Anwendung gefiltert, überwacht und blockiert, um vor Kompromissversuchen oder Datenexfiltration zu schützen.

Ähnlich wie bei VPN-Software kann dies in Form einer Appliance, Software oder als As-As-as-Service erfolgen und enthält auf bestimmte Anwendungen zugeschnittene Richtlinien. Diese benutzerdefinierten Richtlinien müssen gepflegt und aktualisiert werden, wenn Sie Ihre Anwendungen ändern.

Schlußfolgerungen.

Web-Sicherheit betrifft jeden. Wenn nicht die richtigen Präventivmaßnahmen ergriffen werden und das Schlimmste eintritt, hat das klare und dauerhafte Folgen für die Website aus Suchmaschinensicht und darüber hinaus.

Wenn Sie eng mit einer Website, einem Kunden oder einer Strategie zusammenarbeiten, müssen Sie in der Lage sein, zur Sicherheitsdiskussion beizutragen oder sie einzuleiten, wenn sie noch nicht begonnen hat.

Wenn Sie in den SEO-Erfolg einer Website investiert sind, liegt es in Ihrer Verantwortung, sicherzustellen, dass eine proaktive und präventive Strategie vorhanden ist und dass diese Strategie auf dem neuesten Stand gehalten wird.

Das Problem ist, dass es nicht so schnell verschwindet. In Zukunft werden die besten SEO-Talente – Agentur, unabhängig oder intern – ein funktionierendes Verständnis von Cybersicherheit haben.

Als Branche ist es wichtig, dass wir unseren Kunden helfen, über die potenziellen Risiken aufzuklären – nicht nur für iihr SEO, sondern für ihr Unternehmen insgesamt.

Vielen Dank für ihren Besuch.