Der sogenannte "Japanese SEO Hack" oder "Japanese Keyword Hack" ist eine besonders heimtückische Form des Black-Hat-SEO-Spam, die in den letzten Jahren vermehrt auftrat und Website-Betreiber weltweit betraf. Was auf den ersten Blick wie ein harmloser Fehler in der Suchmaschinenanzeige wirkt, entpuppt sich schnell als eine tiefgreifende Kompromittierung der Website, die sowohl den Ruf als auch das Ranking nachhaltig schädigen kann.
Was ist der Japanese SEO Hack?
Der Japanese SEO Hack ist eine Cyberattacke, bei der Hacker die Kontrolle über eine Website übernehmen, um automatisch generierte Seiten mit japanischen Keywords und Inhalten zu erstellen. Diese Seiten werden in den Suchergebnissen (SERPs) von Google, Bing und anderen Suchmaschinen indexiert und erscheinen oft als Produktseiten oder E-Commerce-Angebote.
Die Motivation der Angreifer
Die primäre Motivation hinter diesem Hack ist finanzieller Natur. Die automatisch generierten Seiten sind in der Regel mit Affiliate-Links versehen, die zu gefälschten Online-Shops oder Plattformen für Graumarkt- und illegale Produkte führen. Die Hacker nutzen die Autorität der kompromittierten Website, um schnell ein hohes Ranking für ihre Spam-Keywords zu erzielen und gezielten Traffic auf ihre betrügerischen Seiten umzuleiten.
Erkennungsmerkmale in den SERPs
Das auffälligste Anzeichen für eine Infektion ist das plötzliche Auftauchen von Seiten in den Suchergebnissen, deren Titel und Beschreibungen in japanischer Sprache verfasst sind, obwohl die Website selbst keinen japanischen Inhalt bietet.
So identifizierst du den Hack:
- Google-Suche mit dem site:-Operator: Gib in der Google-Suche den Befehl
site:deine-domain.de japanein. Wenn die Ergebnisseite eine Vielzahl von japanischen Einträgen anzeigt, ist die Wahrscheinlichkeit einer Infektion sehr hoch 1 . - Überprüfung der Search Console: Ein weiteres kritisches Indiz ist, wenn du in deiner Google Search Console (GSC) unbekannte, neue Eigentümer oder Sitemaps feststellst. Hacker fügen sich oft als verifizierte Eigentümer hinzu, um die Kontrolle über die Indexierung zu erlangen und ihre Spam-Sitemaps einzureichen.
- Unbekannte URLs: Die Spam-Seiten werden oft in zufällig generierten Verzeichnissen erstellt, z. B.
deine-domain.de/1tjjmnjp/341.html.
Technische Funktionsweise und Malware-Analyse
Der Hack nutzt in der Regel Schwachstellen in der Website-Infrastruktur aus, um eine Malware zu injizieren, die als Doorway-Generator fungiert.
Die Angriffsvektoren
Die Einstiegspunkte für die Hacker sind vielfältig, aber meist auf mangelnde Wartung zurückzuführen:
- Veraltetes CMS oder Plugins: Sicherheitslücken in älteren Versionen von Content-Management-Systemen (wie WordPress, Joomla, Drupal) oder deren Erweiterungen sind die häufigste Ursache.
- Schwache Zugangsdaten: Leicht zu erratende Passwörter für Administratoren, Datenbanken oder FTP-Zugänge.
- Falsche Dateiberechtigungen: Zu offene Berechtigungen (z. B. 777) für wichtige Verzeichnisse ermöglichen das einfache Schreiben von Dateien.
Cloaking: Die Tarnung der Malware
Die Malware ist darauf ausgelegt, ihre Existenz vor normalen Besuchern und Website-Administratoren zu verbergen. Dieses als Cloaking bekannte Verfahren stellt sicher, dass nur Suchmaschinen-Bots (User Agents von Google, Bing, Yahoo) die japanischen Spam-Inhalte sehen. Normale Besucher, die auf einen der japanischen Links in den SERPs klicken, werden entweder auf eine andere Spam-Seite weitergeleitet oder sehen eine harmlose 404-Fehlerseite, was den Eindruck erweckt, der Hack sei bereits behoben.
Die Malware selbst wird oft in kritischen Verzeichnissen versteckt, beispielsweise in der wp-content/mu-plugins oder in der wp-includes bei WordPress-Installationen. Sie nutzt häufig obfuskierte (verschleierte) PHP-Funktionen wie base64_decode, eval oder gzinflate, um den bösartigen Code auszuführen und die Spam-Seiten dynamisch zu generieren.
Schritt-für-Schritt-Anleitung zur Bereinigung
Die Bereinigung eines Japanese SEO Hacks erfordert ein systematisches Vorgehen. Es ist entscheidend, nicht nur die Symptome, sondern auch die Ursache (die Malware und die Sicherheitslücke) zu beseitigen.
Vorbereitung und Isolierung
Bevor du mit der Bereinigung der Website beginnst, solltest du zunächst ein vollständiges Offline-Backup aller Dateien und der Datenbank erstellen. Dieses Backup dient als Notfallplan, falls bei der Bereinigung etwas schiefläuft. Anschließend ist es sinnvoll, die Website vorübergehend zu sperren, beispielsweise indem du sie in den Wartungsmodus versetzt oder den Zugriff über die .htaccess bzw. die Hosting-Einstellungen nur für dich selbst erlaubst.
So verhinderst du, dass Suchmaschinen weitere Spam-Seiten indexieren und Besucher versehentlich auf kompromittierte Inhalte stoßen. Parallel dazu sollten alle Zugangsdaten aktualisiert werden: Ändere die Passwörter für FTP, Datenbank, CMS-Administratoren und Hosting-Konten und stelle sicher, dass die neuen Datenbank-Zugangsdaten korrekt in der Konfigurationsdatei deines CMS, etwa der wp-config.php, hinterlegt sind.
Bereinigung der Search Console
Im nächsten Schritt solltest du die Google Search Console überprüfen und dort unbekannte oder verdächtige Eigentümer entfernen. Hacker fügen sich oft als verifizierte Eigentümer hinzu, um die Kontrolle über die Indexierung zu erlangen, wobei sie häufig dynamisch generierte HTML-Verifizierungsdateien verwenden, die über eine .htaccess-Regel eingebunden sind. Es kann daher notwendig sein, zunächst diese .htaccess-Regeln zu entfernen, bevor die Eigentümer gelöscht werden können. Anschließend solltest du alle Sitemaps, die du nicht selbst eingereicht hast, löschen und sicherstellen, dass nur deine saubere, korrekte Sitemap erneut eingereicht wird, um die Indexierung wieder unter Kontrolle zu bringen.
Entfernen der Malware und Wiederherstellung der Core-Dateien
Um die Malware von deiner Website zu entfernen, solltest du zunächst einen gründlichen Scan mit einem vertrauenswürdigen Sicherheits-Plugin oder einem externen Scanner durchführen. Dabei werden bösartige Dateien und verdächtige Veränderungen im System identifiziert. Anschließend ist es ratsam, alle Core-Dateien deines CMS, einschließlich Themes und Plugins, durch frische, saubere Versionen von der offiziellen Quelle zu ersetzen. Achte dabei darauf, keine hochgeladenen Inhalte oder wichtige Konfigurationsdateien wie die wp-config.php zu überschreiben.
Abschluss und Re-Indexierung
Nach der Bereinigung ist es entscheidend, die ursprüngliche Sicherheitslücke zu schließen, indem du sicherstellst, dass dein CMS sowie alle Themes und Plugins auf dem neuesten Stand sind. Dies verhindert, dass Hacker erneut dieselbe Schwachstelle ausnutzen. Sobald die Website wieder sauber ist, solltest du Google über das URL-Prüftool in der Search Console informieren. Markiere alle zuvor betroffenen Spam-URLs als „Nicht gefunden“ (404), um ihre Entfernung aus dem Index zu beschleunigen, und fordere gegebenenfalls eine erneute Überprüfung deiner sauberen Hauptseiten an. Abschließend ist es wichtig, die Website in den folgenden Wochen genau zu überwachen, um frühzeitig Anzeichen einer erneuten Infektion zu erkennen und schnell reagieren zu können.
Schutz vor zukünftigen Angriffen
Der beste Schutz ist Prävention. Um zu verhindern, dass deine Website erneut Opfer eines solchen Hacks wird, solltest du folgende Maßnahmen ergreifen:
| Maßnahme | Beschreibung |
|---|---|
| Regelmäßige Updates | Halte dein CMS, alle Themes und Plugins stets auf dem neuesten Stand, um bekannte Sicherheitslücken zu schließen. |
| Starke Passwörter | Verwende komplexe, einzigartige Passwörter für alle Konten (Admin, FTP, Datenbank) und nutze einen Passwort-Manager. |
| Zwei-Faktor-Authentifizierung (2FA) | Aktiviere 2FA für alle kritischen Zugänge, insbesondere für den CMS-Admin-Bereich. |
| Sicherheits-Plugins | Installiere und konfiguriere ein zuverlässiges Sicherheits-Plugin, das Malware-Scans und Firewall-Funktionen bietet. |
| Regelmäßige Backups | Implementiere eine automatisierte Backup-Strategie, die Backups an einem externen, sicheren Ort speichert. |
| Dateiberechtigungen | Setze die Dateiberechtigungen korrekt (z. B. 644 für Dateien und 755 für Verzeichnisse). |
| Unnötige Komponenten entfernen | Deinstalliere alle Themes und Plugins, die du nicht aktiv nutzt, um die Angriffsfläche zu minimieren. |
Der Japanese SEO Hack ist ein ernstes Problem, das jedoch mit Sorgfalt und den richtigen Schritten behoben werden kann. Die Wiederherstellung des Rankings kann einige Zeit in Anspruch nehmen, aber eine gründliche Bereinigung und verbesserte Sicherheitsmaßnahmen sind der Schlüssel zum langfristigen Erfolg.