Google ist bemüht, in den Suchergebnissen die besten Ergebnisse auszugeben. Das heißt, es versucht, die genaue Suchintention des Users zu befriedigen. Dazu möchte es die passendsten und ausführlichsten Inhalte ganz oben listen. Das Stichwort „Mehrwert“ wird hierbei immer wieder gerne verwendet. Mehrwert finden User vor allem in hochwertigem Content, der nirgends abgekupfert wurde. Das kann ein Erfahrungsbericht sein, Umfragen, Statistiken oder Fachtexte, aber auch multimediale Inhalte deuten auf eine hochwertige Seite hin. Auch Websites, welche Downloads von nützlichen Tools oder Programmen anbieten, werden gerne von Usern geklickt. Aber was hat die Sicherheit einer Webseite mit dem Ranking bei Google zu tun?

Warum bewertet Google die Sicherheit von Websites?

Die Antwort liegt beinahe auf der Hand: Google möchte dem User ein gutes Ergebnis präsentieren. Im Internet gibt es jedoch Seiten, die dem User nicht nur ein unpassendes, sondern auch ein schädliches Ergebnis bereitstellen. Dazu gehören unter anderem Seiten, die

  • sensible Daten der User gefährden (beispielsweise durch unsichere Verbindungen oder betrügerische Aktivitäten wie Phishing),
  • gehackt worden sind,
  • Malware auf den Rechner des Users einschleusen oder
  • unerwünschte Software zum Download anbieten.

Google möchte die User vor schlechten Suchtreffern schützen, weshalb bereits seit mehreren Jahren an der Sicherheitsüberprüfung von Websites gefeilt wird.

Wahrer Edelmut des strahlenden Ritters?

Weit gefehlt! Google selbst hat natürlicherweise ein Interesse daran, seinen Usern idealerweise keine faulen Eier zu servieren. Möglichst viele User sollen sich schließlich mit den Diensten des Internetriesen wohlfühlen und diese weiter in Anspruch nehmen. Nur so kann schließlich der Rubel rollen. Wobei der Rubel wohl eher Yandex zurollt…

google-schuetzt-user-vor-schaedlichen-webseiten

TSL/SSL-Verschlüsselung als Rankingfaktor (2014)

Sichereitszertifikate garantieren eine sichere Datenübertragung zwischen der Website und dem Browser des Users. Daten werden so bei der Übertragung vor dem Abhören und Manipulieren durch Dritte geschützt. Eine sichere Website können Sie leicht durch das Protokollkürzel HTTPS am Anfang einer URL erkennen. Ihr Browser zeigt Ihnen zusätzlich an, ob alle Inhalte auf der Website auch wirklich sicher sind.

Sichere Website in Firefox

Bereits 2011 führte Google für seine eingeloggten User eine sichere Verbindung über SSL-Verschlüsselung ein, im Jahr darauf folgte eine Umstellung der Google-Suche für alle Nutzer, auch unangemeldete. Im August 2014 erklärte Google dann offiziell: Sicherheit ist ein Ranking-Faktor. Das Internet soll sicherer gemacht werden. Und so erscheint es logisch, verschlüsselte Websites besser ranken zu lassen. Einen Anstieg der Sichtbarkeit verschlüsselter Websites konnten seitdem verschiedene SEOs statistisch belegen.

Doch keine Panik für Webseitenbetreiber, die bisher noch nicht umgestiegen sind! Die Verschlüsselung ist bis Dato nur einer von vielen Rankingfaktoren, und technisch sehr aufwendig. Ein überstürzter und nicht korrekt durchgeführter Wechsel kann dazu führen, dass eine Website deutliche Ranking- und Traffic-Einbußen erfährt.

Nach eigener Aussage von Google ist die Verschlüsselung aktuell nur als leichtes Ranking-Signal implementiert, damit genügend Zeit für die anspruchsvolle Umstellung vorhanden ist.

Google meldet Sicherheitsprobleme an Webmaster und User

[blockquote align=“center“ cite=“Google“]Wenn wir unsichere Websites finden, zeigen wir Warnhinweise in der Google-Suche und in Webbrowsern an.[/blockquote]

Neben einer sicheren Datenübertragung zwischen Webserver und User-PC gibt es weitere sicherheitsrelevante Faktoren, die Google sowohl in Rankings als auch in Hinweise für User einfließen lässt. Typische Symptome für die Entdeckung von Sicherheitslücken seitens Google sind deutliche Warnungen in den SERPs, sehr abschreckende Warnungen vor Betreten einer Seite und schlimmstenfalls sogar Sichtbarkeitsverluste durch Verbannung aus den SERPs. So sehen die Warnungen beispielsweise im Firefox aus (harmlose Testseiten): Malware, Phishing, unerwünschte Software.

Google Safe Browsing?

Google selbst überprüft laut eigener Aussage anhand eigener Kriterien regelmäßig alle Seiten in seinem Index. Dabei werden folgende Punkte als sicherheitsrelevant eingestuft:

  • Hacking oder gehackte Inhalte
  • Phishing und betrügerische Websites
  • Malware oder unerwünschte Software

Google Safe Browsing ist ein Blacklist-Service von Google, der Listen von Websites mit unerwünschten oder gefährlichen Inhalten zur Verfügung stellt. Diese Listen werden von den Browsern Chrome, Firefox und Safari genutzt, um User zu warnen. Auch in der Google-Suche direkt (unabhängig vom Browser) liefert der Dienst Warnungen aus. Google Safe Browsing gibt es als Extension für weitere Browser (z.B. Opera) und als öffentliche API. Die erste Darstellung von Warnungen in den SERPs erfolgte bereits im Jahre 2006.

Google Safe Browsing

Warnung vor Hacking und gehackten Websites

Gehackte Websites beinhalten möglicherweise Sicherheitslücken, die für User relevant sind. Sie können sensible Daten ausspähen oder zur Installation von Schadsoftware führen. Hacking muss auf der betroffenen Seite direkt nicht unbedingt sichtbar sein: Auf bestehenden Seiten kann über unterschiedliche Wege Inhalt hinzugefügt werden, beispielsweise über JavaScript, CSS, HTML oder User-Agent- bzw. Gerätabhängige Weiterleitungen.

Warnung vor Phishing/Social Engenieering/betrügerischen Websites

Eine Social-Engenieering bzw. Phishing-Website möchte den User dazu verleiten, eine gefährliche Handlung auszuüben. Dabei ist diese Handlung in den seltensten Fällen gefährlich für andere – vielmehr sind es Handlungen die dem User selbst schaden. Die Eingabe und damit Preisgabe von persönlichen Daten (bspw. Passwörter, Kontodaten, Kreditkartendaten) auf vertrauenswürdig wirkenden Websites führt dann relativ bald zu einem bösen Ergebnis. Ebenso kann betrügerischer Inhalt auf ein Sicherheitsproblem oder veraltete Software auf dem Computer des Users hinweisen – und zur Installation von Schadsoftware verleiten.

Warnung vor Malware und unerwünschter Software

Können ausführbare Dateien heruntergeladen werden, wird untersucht, ob diese sich negativ auf die Nutzererfahrung auswirken. Dazu zählen neben wirklich fieser Schadsoftware auch Programme, die ein unerwartetes Verhalten zeigen und beispielsweise “nur” Browsereinstellungen des Users ändern – ohne, dass der User im vornherein deutlich darüber informiert wurde.

Schädlicher Content kommt auf die Blacklist

Steht Ihre Website auf der Google-Blacklist?

Ob Ihre Website auf Googles schwarzer Liste steht, können Sie relativ schnell überprüfen.

  • Rufen Sie Ihre Seite in der Google-Suche mit voranstehendem “site:”-Befehl auf, bpsw. “site:www.google.de”. Sehen Sie eine Warnung in der Ergebnisliste?
  • Überprüfen Sie die Nachrichten in Googles Search Console.
  • Rufen Sie Ihre Seite in Googles Safe Browsing-Websitestatus auf.

Wenn Sie jeden Test ohne Auffälligkeiten abschließen können, so sieht Ihre Seite zumindest für Google sicher aus. Da der Suchgigant wenigstens schon seit über zehn Jahren auf die Sicherheit von Websites spezialisiert ist, haben Sie jetzt eine gute Einschätzung erhalten! Am besten arbeiten Sie proaktiv daran, dass Ihre Seite weiterhin sicher bleibt (anstatt nur das Beste zu hoffen).

So sichern Sie Ihre Website

Google rät Webseitenbetreibern in den offiziellen Richtlinien für Webmaster:

  • Kontrollieren Ihrer Website auf Hacking und entfernen Sie gehackte Inhalte direkt nach ihrem Auftauchen.
  • Vermeiden und entfernen Sie nutzergenerierten Spam auf Ihrer Website.

Darüber hinaus können Sie weitere Vorkehrungen zur Sicherung Ihrer Website treffen.

Technische Aspekte

  • Regelmäßige Backups anlegen – Ein sauberes Backup ist der einfachste Weg, Ihre Website wiederherzustellen, wenn einmal etwas schief geht.
  • Sämtliche Software auf dem neuesten Stand halten – sowohl Website-Software wie WordPress, Joomla, Drupal, Typo3…, als auch Plugins, Erweiterungen, Themes, Scripts und vieles weitere. Viele Content Management Systeme (CMS) weisen unübersehbar darauf hin, sobald Updates verfügbar sind. Bringen Sie Ihr System immer sofort auf den neuesten Stand. Auf diese Weise haben Sie beste Voraussetzungen, um Ihre Seite aktiv vor Angriffen zu schützen.
  • Ungenutzte Software entfernen – Haben Sie Scripts, Plugins, Themes und andere Software, die Sie nicht mehr benutzen möchten, entfernen Sie sie. Auch wenn Sie eine Software nicht aktiv nutzen, können darin vorhandene Sicherheitslücken ausgenutzt werden.
  • Programme von Drittanbietern mit Bedacht installieren – Viele CMS erlauben es den Webseitenbetreibern, Software wie Plugins, Themes oder Scripts von nicht verifizierten Drittanbietern zu installieren. Bedenken Sie, dass die meisten dieser Softwarepakete nicht von den Entwicklern Ihres CMS bereitgestellt oder überprüft werden. Diese Programme werden von außenstehenden Entwicklern und Programmierern zur Verfügung gestellt. Es können sowohl absichtliche als auch unabsichtliche Sicherheitslücken vorhanden sein. Überprüfen Sie die Bewertungen eines Programms und des Programmierers vor der Installation!
  • SSH/SFTP anstatt FTP in Erwägung ziehen – Sensible Daten, beispielsweise Ihre Zugangsdaten werden über FTP typischerweise unverschlüsselt übertragen. Bei der Übertragung können diese Informationen gestohlen werden.
  • Bei Googles Search Console anmelden – Googles Tool hilft Ihnen, einen Überblick über die Gesundheit Ihrer Website zu behalten. Sollten die Systeme von Google verdächtige Inhalte aus Ihrer Website feststellen, können Sie sich schnell informieren lassen – sogar via Email.
  • Die Website von Experten warten lassen – Überlegen Sie, ob Sie einen Hausmeister/Wachschutz für Ihre Website engagieren möchten. Es gibt eine große Zahl von seriösen und erfahrenen Unternehmen, die sich auf die Sicherung und Wartung von Websites und Content Management Systemen spezialisiert haben. Das kostet zwar etwas, sorgt aber dafür, dass etwaige Sicherheitslöcher vorab entdeckt und beseitigt werden können, das System stets aktuell ist und Ihnen das Theater erspart, eine gehackte Seite im Nachhinein aufzuräumen, Schadensbegrenzung zu betreiben und ein angeschlagenes Image wiederherzustellen.
  • Server-Konfiguration prüfen – Sowohl Apache als auch Microsoft geben Tipps zur sicheren Konfiguration von Webservern, u.a. zu Server Side Includes, Authentifizierung und Verschlüsselung.
  • Korrekte Rechtevergabe auf dem Webserver – Dateien und Ordnern auf einem Webserver werden bestimmte Rechte zugewiesen. Hat sich ein Hacker Zugriff auf Ihre Seite verschafft, kann er die Rechte von Dateien und Verzeichnissen so manipulieren, dass er immer noch Zugriff auf Ihr System behält, selbst wenn Sie die Passwörter ändern. Es gibt unterschiedliche Betrachtungsweisen, welche Zugriffsrechte korrekt sind, ein wenig hängt das auch vom verwendeten System ab. Empfohlen werden häufig Dateirechte mit dem Wert ‘644’ und Verzeichnisrechte mit dem Wert ‘755’. Anm.: Ändern Sie niemals Rechte, wenn Sie nicht genau wissen, welche Auswirkungen das haben wird.

Passwörter und Zugänge

  • Starke Passwörter nutzen – Ändern Sie alle Standard-Passwörter sofort und speichern Sie keine Passwörter auf dem Computer ab. Löschen Sie auch den Standard-Nutzernamen. Ändern Sie in regelmäßigen Abständen Ihre Passwörter, auch wenn Verdacht einer Sicherheitslücke besteht. Es gibt zahlreiche Tipps und Tools zum generieren sicherer Passwörter.
  • Kein Passwort mehrfach nutzen – Pro Account vergeben Sie immer ein individuelles Passwort. Es gibt günstige Tools, die Ihnen dabei helfen, Ihre Passwörter und Zugangsdaten sicher zu verwalten.
  • Eine doppelte Zugangsbeschränkung in Betracht ziehen – Viele Webseitensysteme lassen sich so einrichten, dass erst nach einer zweistufigen Authentifikation Zugriff auf den Admin-Bereich einer Website gewährt wird. So sichern Sie den Admin-Bereich zusätzlich und nur legitimierten Benutzern den Login.

Computer und Netzwerkverbindungen

  • Updates der Website mit sicheren, “sauberen” Computern ausführen – Eine häufige Ursache für die Infizierung einer Website mit Schadsoftware. Besorgen Sie sich also einen guten Virenscanner und lassen Sie Ihr System regelmäßig durchsuchen, Updaten Sie Ihr Betriebssystem und meiden Sie verdächtige Programme sowie Websites.
  • Sichere Netzwerkverbindungen nutzen – Über unverschlüsselte WLAN-Verbindungen können Ihre sensiblen Daten wie etwa Zugangsdaten ganz einfach von Hackern ausgespäht werden. Durch den Anstieg von immer leistungsfähigeren Mobilgeräten wird es zunehmend einfacher, eine Website auch von unterwegs aus zu pflegen. Stellen Sie sicher, dass jeder, der auf Ihr System zugreift, das über eine sichere Netzwerkverbindung erledigt.

Sichere Website - gut für SEO

Sicher ganz einfach, nech?

Mit wenigen Handgriffen können Sie die Sicherheit Ihrer Website deutlich erhöhen. Der erste Ansatz ist ganz klar: pflegen und hegen Sie Ihre Website mit gesundem Menschenverstand. Regelmäßige Softwareupdates, vertrauenswürdige Softwarequellen und diverse Sicherheitseinstellungen gehören einfach dazu. Schließlich sichern Sie Ihr Zuhause auch nicht mit einem Haustürschloss aus dem letzten Jahrhundert und lassen die Hintertür gleich gänzlich unverschlossen?

Im zweiten Schritt können Sie sich Experten-Wissen verschaffen, entweder durch eigenes Engagement oder durch Beauftragen eines Profis, und damit die Sicherheit Ihrer Website noch weiter ausbauen.

Ich freue mich wie immer über Anregungen, Wünsche und Fragen über die Kommentar-Funktion!