Was genau ist URL-Hijacking?

Durch URL-Hijacking (dt. „URL-Ent­füh­rung“) kann deine Website aus dem Index der Such­ma­schi­ne fliegen und so für po­ten­zi­el­le Besucher:innen un­sicht­bar werden. Dieses Phänomen tritt vor allem dann auf, wenn statt sauberer Ver­lin­kun­gen un­pas­sen­de Wei­ter­lei­tun­gen genutzt werden.

Was ist URL-Hijacking?

Der Begriff URL-Hijacking be­schreibt eine Situation, in der eine In­ter­net­sei­te fälsch­li­cher­wei­se aus den Such­ergeb­nis­sen ver­schwin­det und durch eine andere ersetzt wird. Die fremde Seite verlinkt zwar auf deine ei­gent­li­che Ziel-URL – al­ler­dings nicht direkt, sondern mittels einer Wei­ter­lei­tung (Redirect). So wird z. B. von ver­lin­ken­de-seite.at auf deine-seite.at verwiesen, wobei statt des üblichen HTML-Tags <a> eine Wei­ter­lei­tung zum Einsatz kommt. Die wei­ter­lei­ten­de URL sieht etwa so aus:

www.verlinkende-seite.de/redirect .php?target=www.ihre-seite.de

Entdeckt eine Such­ma­schi­ne diesen Link, stuft sie beide Seiten als identisch ein. Die Folge: Eine der beiden wird aus dem Index gelöscht. Die Ent­schei­dung basiert auf den HTTP-Status-Codes, die bei Domain-Wei­ter­lei­tun­gen mit­ge­schickt werden.

Während der Code 301 (Moved Per­ma­nent­ly) eine dau­er­haf­te Umleitung markiert, steht der Code 302 (Found) für eine nur temporäre Ver­schie­bung. Genau dieser 302-Redirect ist der Haupt­grund für URL-Hijacking. Solche Wei­ter­lei­tun­gen si­gna­li­sie­ren den Search-Crawlern, dass die Zielseite nur kurz­fris­tig existiert und die ver­lin­ken­de Seite das ei­gent­li­che Original ist. Dabei wird oft nicht geprüft, ob beide Seiten überhaupt zu­sam­men­ge­hö­ren. Das Resultat: Die falsche Seite wird indexiert und übernimmt das Ranking deiner URL.

Wo kommen 301- und 302-Redirects überhaupt zum Einsatz?

Es gibt ver­schie­de­ne Gründe für URL-Wei­ter­lei­tun­gen. Sehr ver­brei­tet sind per­ma­nen­te Um­lei­tun­gen von Tipp­feh­ler-Domains auf die richtige Adresse. Wer im Browser etwa aus Versehen googel.at statt google.at eingibt, landet trotzdem am Ziel. Auch die dau­er­haf­te Wei­ter­lei­tung auf die korrekte Haupt­adres­se einer Seite ist gängige Praxis.

Besuchst du bei­spiels­wei­se die deutsch­spra­chi­ge Wikipedia unter de.wikipedia.org, leitet dich ein 301-Redirect direkt zur URL de.wikipedia.org/wiki/Wikipedia:Haupt­sei­te weiter. Zudem nutzen Webmaster solche Um­lei­tun­gen nach einem Domain-Wechsel oder wenn Inhalte eine neue URL bekommen haben, damit alles glatt läuft.

Temporäre 302-Wei­ter­lei­tun­gen dienen hingegen dazu, Inhalte kurz­fris­tig unter einer anderen URL zu zeigen – etwa bei War­tungs­ar­bei­ten. Werden diese manuell erstellt, geschieht dies meist in der Absicht, den Content später wieder unter der Original-URL er­reich­bar zu machen. Es gibt jedoch drei Szenarien, in denen temporäre Redirects zu URL-Hijacking führen:

Un­be­ab­sich­tig­te Nutzung der 302-Umleitung

Es kann passieren, dass Webmaster ohne böse Absicht per tem­po­rä­rer Wei­ter­lei­tung auf ein fremdes Projekt verlinken. Oft ist es ein Versehen, weil ei­gent­lich ein dau­er­haf­ter Redirect geplant war. Auch das Modul mod_rewrite (Rewrite-Engine) des Apache-Web­ser­vers nutzt stan­dard­mä­ßig den Sta­tus­code 302.

Dynamisch ge­ne­rier­te URLs

PHP ist der Standard in der Web­ent­wick­lung und ideal, um dy­na­mi­sche Inhalte zu erstellen. Al­ler­dings binden PHP-Skripte oft Ziel­adres­sen dynamisch ein und nutzen dabei den Sta­tus­code 302 für die Umleitung. Das passiert häufig in Web­ver­zeich­nis­sen oder bei be­stimm­ten Content-Ma­nage­ment-Systemen.

Bewusst her­bei­ge­führ­tes URL-Hijacking

Auch Kri­mi­nel­le kennen diesen Trick. Sie setzen 302-Redirects gezielt ein, um die In­de­xie­rung eigener Inhalte zu pushen, indem sie versuchen, Top-Rankings fremder Seiten zu „kapern“. Diese Methode ist weder nach­hal­tig noch legal und zählt zum Black-Hat-SEO.

URL-Hijacking im Vergleich zu anderen Angriffen

Oft wird URL-Hijacking mit Domain-Hijacking oder Ty­po­s­quat­ting ver­wech­selt. Es handelt sich jedoch um un­ter­schied­li­che Methoden, die deinem Ranking schaden können.

URL-Hijacking vs. Domain-Hijacking

Beide zielen darauf ab, Kontrolle über eine Website zu erlangen, un­ter­schei­den sich aber im Vorgehen: Beim Domain-Hijacking ver­schaf­fen sich An­grei­fen­de Zugriff auf die Domain-Ver­wal­tung (z. B. durch geänderte DNS-Ein­stel­lun­gen). Im schlimms­ten Fall wird so die komplette Web­prä­senz über­nom­men.

URL-Hijacking vs. Ty­po­s­quat­ting

Beim Ty­po­s­quat­ting werden gezielt Tipp­feh­ler aus­ge­nutzt. Während seriöse Anbieter Redirects nutzen, um Kund:innen trotz Ver­tip­pern ans Ziel zu bringen, re­gis­trie­ren An­grei­fen­de Domains mit typischen Fehlern, um User auf schäd­li­che Seiten zu locken.

So schützt du dein Web­pro­jekt vor URL-Hijacking

Ein gutes Ranking auf­zu­bau­en, erfordert viel Zeit und Arbeit. Je er­folg­rei­cher deine Seite ist, desto schmerz­haf­ter ist eine Index-Ent­füh­rung. Da URL-Hijacking eng mit dem Link­buil­ding verknüpft ist, lässt es sich nicht einfach durch eine Firewall ver­hin­dern.

Es ist daher wichtig, neue und be­stehen­de Backlinks re­gel­mä­ßig zu prüfen. Dabei un­ter­stüt­zen dich Tools wie:

• SEMrush
• Link­Re­se­arch­Tools
• SISTRIX
• Google Search Console

Die Google Search Console bietet zudem ein Tool zum Entfernen von URLs, um un­er­wünsch­te Wei­ter­lei­tun­gen aus dem Suchindex zu werfen. Kon­tak­tie­re jedoch zuerst die ver­ant­wort­li­chen Webmaster und bitte um eine Anpassung – so bleiben wertvolle Backlinks eventuell erhalten. Seit HTTP 1.1 gibt es mit dem Sta­tus­code 307 (Temporary Redirect) übrigens eine sicherere Al­ter­na­ti­ve für vor­über­ge­hen­de Um­lei­tun­gen.

Sollte deine Seite bereits aus dem Index ver­schwun­den sein, nimm nach der Be­rei­ni­gung der Links Kontakt mit der Such­ma­schi­ne auf, um die Wie­der­her­stel­lung deines Rankings zu be­an­tra­gen.