Wie du rel=“noreferrer“ aus WP 4.7.4 entfernst Damit dir keine Provision flöten geht!

Sind noopener & noreferrer in deinen Links?

Mit dem  Update auf die Version 4.7.4 hat WordPress eine potentielle Sicherheitslücke geschlossen, kann dich aber auch um deine Affiliate-Provision bringen! Beides hängt mit einem Angriff Namens reverse tabnapping zusammen.

In diesem Beitrag zeige ich dir, wie WordPress dieses Sicherheitsprobem löst und warum es deinen Verdienst schmälern kann. Dazu präsentiere ich dir zwei – eigentlich drei – Wege wie du dieses Problem beheben kannst.

An dieser Stelle möchte ich mich zuerst bei Dominik Oberriesser und Lukas von dreimarkfuffzig.de bedanken. Dominik hat mich auf das Problem aufmerksam gemacht und Lukas beschreibt das Problem im verlinkten Beitrag sehr ausführlich.

Mit der dort vorgestellten Lösung bin ich aber noch sehr unzufrieden, deshalb möchte ich seinen Beitrag hier zusammenfassen und ergänzen.

Too long; Didn't read:

  • WordPress ändert die ausgehenden Links ab. Die Attribute rel=“noopener“ und rel=“noreferrer“ werden gesetzt.
  • Damit haben die Anbieter der Partnerprogramme Probleme – sie können die Herkunft der Besucher nicht mehr schlechter nachvollziehen.
  • Mit einem kleinen Codeschnipsel in der functions.php deines WordPress-Themes oder als PlugIn kannst du das Sicherheitsfeature wieder deaktivieren. Das ist nicht empfehlenswert!
  • Meine Lösung: Das PlugIn nono.
  • Wie du nono bekommst und wie es verwendet wird.

Das Problem mit der Sicherheit:

Sicherheit ist kein Problem. Fehlende Sicherheit schon eher. Mit dem neuen Update auf die Version 4.7.4 hat WordPress eine offene Sicherheitslücke geschlossen. Durch dieses Update passt der WordPress-Editor alle Links, die in einem neuen Tab geöffnet werden sollen, etwas an.

Ein “normaler” Link sieht wie folgt aus:

Ein Link, welcher in einem neuen Tab geöffnet werden soll, bekommt noch das Attribut target=”_blank”:

Das kannst du aber auch im Editor durch einen einfachen Klick einstellen:

Einen Link in einem neuen Tab öffnen
Einen Link in einem neuen Tab öffnen

Genau hier greift das Update: WordPress fügt für dich in diese Links noch die Attribute rel=”noopener” und rel=”noreferrer” ein:

Was ändert das?

Durch “noopener” wird das “reverse tabnapping“ verhindert.

Da nicht alle Browser dieses Attribut unterstützen, wird auch noch “noreferrer” angehängt. Lukas hat das hier sehr gut beschrieben, deshalb spare ich mir die genaue Beschreibung dieser Attribute hier.

Wichtig ist: Viele Partnerprogramme können durch das “noreferrer” nicht mehr richtig auslesen, woher ein Besucher kommt. So kann deine Vergütung nicht zugeordnet werden. Am Ende gehst du leer aus.

Durch das Attribut “noreferrer” kann deine Provision schrumpfen!

Bin ich betroffen?

Ja! Wenn du das Update auf die Version 4.7.4 durchgeführt hast und Links manuell im WordPress-Editor einfügst.

Links, die ein Affiliate-PlugIn oder ein Affiliate-Theme setzt, scheinen davon nicht betroffen zu sein.

Ob deine Links betroffen sind, kannst du direkt im WordPress-Editor herausfinden:

Amazon-Links ohne das PlugIn nono
Amazon-Links ohne das PlugIn nono

Wechsle auf den “Text-Edior” und suche dort den Link. Wenn du dort das rel-Attribut mit “norefferer” findest, solltest du handeln.

Alternativ kannst du dir auch den Quellcode deiner Website ansehen. Klicke im Firefox oder Chrome-Browser einmal rechts auf den Link und öffne den Punkt “Element untersuchen“. Anschließend kannst du den HTML-Code des Links einsehen:

Amazon Link mit noreferrer
Amazon Link mit noreferrer

Wenn du betroffen bist, kannst du auch hier den Wert im “noreferrer” im Link finden. Aber keine Sorge, es gibt bereits Abhilfe!

Das Problem Beheben:

Im Support-Forum von WordPress hat Steve Stern bereits eine Lösung präsentiert, welche dieses Sicherheitsfeature zurücksetzt. Dieses kannst du entweder in die Datei “functions.php” deines Themes – oder besser: Childthemes – einfügen. Alternativ kannst du damit auch ein kleines PlugIn bauen.

Von dieser Lösung möchte ich abraten! Damit öffnest du die Sicherheitslücke wieder.

Ich biete dir stattdessen ein eigenes PlugIn zum Download an – du musst mir dafür nur eine Frage beantworten. Gleich mehr dazu.

In der functions.php deines Themes

Du kannst den folgenden PHP-Code in die functions.php deines Themes oder Child-Themes einfügen:

Wenn du direkt die Theme-Datei editierst, ist deine Änderung mit dem nächsten Update wieder weg. Diese Lösung ist deshalb nicht beständig. Entweder, du legst ein Child-Theme an oder bindest diesen Code als PlugIn ein:

Als eigenes PlugIn:

Um diesen Code als PlugIn verwenden zu können, muss ein PHP-Kommentar mit dem Namen des PlugIns eingefügt werden. Siehe dazu die Zeile 3 im folgenden Code:

Speichere diesen Code als noreferrer.php Datei ab und lade diesen via FTP in den Ordner wp-content/plugins deiner WordPress Installation. Anschließend kannst du das PlugIn im Backend aktivieren. Du findest es unter dem in Zeile 3 angegebenen Namen:

Das PlugIn um das "noreferrer"-Attribut aus dem Link zu löschen
Das PlugIn “noreferrer remover” aktivieren

Dieses PlugIn übersteht auch ein Update deines Themes. Genauso bleibt es von einem Themewechsel unberührt. Trotzdem ist diese Lösung nicht ideal.

Bitte nicht so!

Das Update zur Version 4.7.4 hat die Sicherheitslücke des reverse tabnapping geschlossen. Mit dem hier vorgestellten Code – egal als PlugIn oder in der functions.php – machst du dieses Update rückgänig!

Damit besteht das Risiko weiterhin für deine Seite und deine Besucher!

Over the past few months, we have received a significant number of reports about a “reverse tabnabbing” attack [..]

Das willst du doch nicht?!

Meine Lösung: Das PlugIn nono

Mit der bereits vorgestellten Lösung wird das Attribut “noreferrer” erst gar nicht gesetzt. Für keine Links. Wie schon beschrieben wird, kann das ein Sicherheitsrisiko sein. Nichts zu unternehemen verstößt aber gegen die Amazon-Richtlinien.

Doch auch wenn Amazon den Referrer nicht benötigt, um eure Links zu tracken (das funktioniert ja über den tag=xxxxxxx-21 Teil in eurem Link), möchte Amazon immer wissen, woher der Traffic stammt, den ihr zu ihnen sendet. Das ist zum Beispiel auch der Grund, warum Amazon das Cloaking von Links verbietet. Ihr verstoßt mit dem gelöschten Referrer also genau genommen gegen die Bedingungen des Amazon Partnerprogramms. Hier bleibt zu hoffen, dass Amazon sich der Problematik bewusst ist und nicht plötzlich beginnt, Affiliates rauszuwerfen.

Quelle: WordPress Update 4.7.4 bedroht Affiliate-Seiten: Provisionen gefährdet

Da ich mit der bestehenden “Lösung” nicht zufrieden bin, habe ich eine eigene entwickelt:

nono ersetzt die Attribute rel=“noopener undrel=“noreferrer“  mit rel=“nofollowfür freigegebene Domains.

Dieses PlugIn teile ich hier mit dir. Ich möchte lediglich eine Frage beantwortet haben.

nono installieren:

Beantworte mir bitte folgende Frage um den Download-Link zu erhalten:

Was ist dein bester Tipp für den Backlinkaufbau?

Unter “Plugins installieren” und “Plugin hochladen” kannst du die ZIP-Datei hochladen und “nono” installieren.

nono einrichten:

Wenn du das PlugIn aktiviert hast, erscheint im Menü unter “Einstellungen” mein PlugIn. In den Einstellungen kannst du einzellne Websites freigeben. Dort erkennst du auch, wie der Name “nono” entstanden ist:

Die Einstellungen von nono
Die Einstellungen von nono

Die Einstellungen sollten soweit selbsterklärend sein. Standardmäßig sind “www.amazon.de” und “amzn.to” bereits freigegeben. Diese kannst du selbstverständlich aus der Liste entfernen oder weitere Domains freigeben.

Achtung:

  1. nono unterscheidet zwischen “www.amazon.de“ und “amazon.de“. Sollen beide Versionen freigeschaltet werden, musst du beide Varianten angegeben. Du kannst entweder den Domainnamen (z.B. “www.amazon.de“) oder eine ganze URL (z.B. “http://amzn.to/2pATunm“) eintragen. Das PlugIn sucht sich den Host (hier “amzn.to“) dann selbst heraus.
  2. Deine Beiträge werden nur beim speichern überarbeitet. Deshalb werden ältere Beiträge nicht im Nachhinein angepasst! Diese musst du ggf. “updaten”.
  3. Der WordPress Editor fügt beim Editieren sofort die Attribute rel=“noopener“ und rel=“noreferrer“ sofort wieder ein. Deshalb werden diese auch in der Text-Ansicht angezeigt. Beim Abspeichern werden diese wieder für die freigegebenen Hosts entfernt.
  4. Sollen im nachhinein andere/zusätzliche Hosts freigegeben werden, müssen die Beiträge mit entsprechenden Links erneut gespeichert werden. (Siehe Punkt 2.)
  5. In Verbindung mit einem PageBuilder kann nono zu Problemen führen. Bitte verwende nono nur, wenn du keinen PageBuilder im Einsatz hast.

Mit nono ist es möglich, den Referrer nur für einzellne Domains bzw. Hosts freigeben. So erkennt dein (hoffentlich vertrauenswürdiges) Affiliate-Programm, woher die Besucher kommen. Gleichzeitig wird das Problem mit dem reverse tabnapping eingedämmt.

Mit Feedback und Kritik ab in die Kommentare:

2 thoughts on “Wie du rel=“noreferrer“ aus WP 4.7.4 entfernst Damit dir keine Provision flöten geht!

  1. Anke says:

    Nichts zu unternehmen verstößt gegen die AZ Richtlinien ? Kannst Du das nochmal erklären – also muss ich eigentlich die Sicherheitslücke zu machen ( ist ja mit update WP passiert) und mit deinem Plugin gefahrlos umändern? Habe das bisher händisch gemacht…ist im Ergebnis das gleiche oder? Mit Deinem Plugin (Danke für Deine Mühe) natürlich schöner gelöst….

    1. Schmitt says:

      Das hat Lukas bereits treffend erklärt:

      [..] möchte Amazon immer wissen, woher der Traffic stammt, den ihr zu ihnen sendet. Das ist zum Beispiel auch der Grund, warum Amazon das Cloaking von Links verbietet. Ihr verstoßt mit dem gelöschten Referrer also genau genommen gegen die Bedingungen des Amazon Partnerprogramms.

      In voller Länge findest du es im Abschnitt “Und wo liegt das Problem” seines Beitrags.

Leave a Reply