WordPress Update 4.7.4 bedroht Affiliate-Seiten: Provisionen gefährdet

Wordpress Update 4.7.4 bedroht Affiliate Seiten

Das neue WordPress Update 4.7.4 hat es in sich: Es schließt eine potentielle Sicherheitslücke, bereitet damit aber vielen Affiliate-Seiten große Probleme. Jeder der auf seiner Seite mit dem Amazon Partnerprogramm oder einem anderem Affiliate Programm arbeitet, wird durch das neue Update beeinträchtigt.

Wenn du also Affiliate-Marketing auf deiner WordPress-Seite betreibst, solltest du diesen Artikel unbedingt lesen und anschließend entsprechend handeln. Zunächst möchte ich mich aber bei Christopher Fischbach bedanken, der in einigen Facebookgruppen auf das Problem aufmerksam gemacht hat. Mein Artikel basiert auf seinen Hinweisen.

Was genau ist passiert?

In der WordPress Version 4.7.4 hat ein Sicherheitsfeature Einzug gehalten, dass Links beeinflusst, die in einem neuen Tab geöffnet werden. Wenn du also Links einsetzt, die mit target=“_blank“ versehen sind, betrifft dich dieses neue Feature.

WordPress fügt diesen Links in der neuesten Version nun nicht nur das Attribut target=“_blank“ zu, sondern auch die Attribute rel=“noopener“ und  rel=“noreferrer“. Das wird dann als rel=“noopener noreferrer“ bzw. zusammen mit dem nofollow-Attribut als rel=“nofollow noopener noreferrer“ dargestellt.

Neue "rel=noopener noreferer" Attribute in WordPress

Aber warum das Ganze? Der Grund dafür ist nachvollziehbar: Das target=“_blank“ Attribut hat einige Sicherheitslücken, die dafür sorgen, dass eine damit geöffnete Seite die Ursprungsseite, von der aus der Link geöffnet wird, manipulieren kann. Mehr dazu kannst du auf jitbit.com über targe=“_blank“ oder bei Mathias Bynens mit der Demonstration einer ungefährlichen Manipulation erfahren.

Die neu gesetzten Attribute verhindern genau dieses sogenannte „reverse tabnapping“. Sie stopfen also eine wichtige Sicherheitslücke und hindern Seiten, auf die du verlinkst, daran, deine Seite zu manipulieren.

Hinweis: Eigentlich würde für das Problem des „reverse tabnapping“ auch das rel=“noopener“ Attribut ausreichen. Da dies allerdings von einigen Browsern nicht unterstützt wird, wurde das rel=“noreferrer“ergänzt.

Und wo liegt das Problem?

Das Problem ist nun, dass das neue Attribut rel=“noreferrer“ verhindert, dass der Referrer beim Klick des Links mitgesendet werden kann.

Viele Partnerprogramme (unter anderem z.B. auch Affilinet) nutzen diese Referrer, um zu prüfen, von welcher Seite aus der jeweilige Klick kam. Stimmt die Seite nicht mit der im System eingetragenen Seite überein, wird der Klick (und anschließende Kauf) einfach nicht vergütet.

Auch andere Partnerprogramme (glücklicherweise nicht Amazon) sind auf diese Referrer angewiesen, um euch als „Quellseite“ für einen Klick zu identifizieren. Wird der Referrer nicht mehr mitgesendet, wird auch nichts vergütet.

Doch auch wenn Amazon den Referrer nicht benötigt, um eure Links zu tracken (das funktioniert ja über den tag=xxxxxxx-21 Teil in eurem Link), möchte Amazon immer wissen, woher der Traffic stammt, den ihr zu ihnen sendet. Das ist zum Beispiel auch der Grund, warum Amazon das Cloaking von Links verbietet. Ihr verstoßt mit dem gelöschten Referrer also genau genommen gegen die Bedingungen des Amazon Partnerprogramms. Hier bleibt zu hoffen, dass Amazon sich der Problematik bewusst ist und nicht plötzlich beginnt, Affiliates rauszuwerfen.

Wann genau tritt das Problem auf?

Es gibt aber auch gute Nachrichten, denn die neuen Attribute werden nicht automatisch zu jedem Link hinzugefügt.

Zum einen betrifft es meines Wissens nach nur Links, die ihr aus dem WordPress Editor heraus setzt. Links, die von Amazon WordPress Plugins wie Amazon Simple Affiliate, Affiliate Toolkit* Affilipus*, AAWP*, Amazilon* oder einem Affiliatetheme* erzeugt werden, sind NICHT betroffen.

Außerdem scheint WordPress meinen Beobachtungen nach eure Links nicht rückwirkend anzupassen. Die neuen Attribute werden bei mir nur dann hinzugefügt, wenn ich einen Artikel oder eine Seite bearbeite und die Änderungen abspeichere. Dann werden automatisch alle im jeweiligen Beitrag verwendeten Links, die auf target=“_blank“ eingestellt waren, auch mit rel=“noopener noreferrer“ versehen.

Was kann man nun tun?

Es gibt schon einige Ansätze, die sich der Problematik widmen. Auf einige möchte ich hier eingehen.

Denk aber bitte daran, dass du mit diesen „Fixes“ ein Sicherheitsfeature aushebelst. Das ist zwar kein großes Problem, wenn du auf Amazon oder andere vertrauenswürdige Seiten verlinkst, aber falls eine Domain auf die du verlinkst irgendwann gedroppt wird und vom neuen Besitzer missbräuchlich verwendet wird, kann es zum Problem werden.

Der einfachst Ansatz (den ich aber NICHT empfehlen würde): Nutze einfach kein target=_blank mehr. Dann werden natürlich alle Links im selben Tab geöffnet und die User verlassen deine Seite dauerhaft. Das ist nicht wirklich zu empfehlen, auch wenn viele User mitterlweile Links aus Gewohnheit schon von sich aus in neuen Tabs öffnen.

Eine weitere Möglichkeit ist die einfache Installation eines Plugins. Dieses liegt jedoch noch nicht offiziell bei WordPress bereit und ist sehr frisch. Ob das Plugin Schadcode enthält oder sonstige Probleme verursacht, kann ich nicht sagen, da ich es nicht getestet habe. Bisher habe ich aber nichts Negatives gelesen. Du kannst dieses Plugin auf eigene Gefahr hier herunterladen.

Die dritte Möglichkeit ist die, die auch ich nutzen werde. Dafür fügst du deiner functions.php Datei (im Theme- bzw- Childtheme-Ordner) den folgenden Code hinzu:

Dies verhindert bei neu gesetzten Links, dass die beiden neuen Attribute gesetzt werden.

Um eventuell schon gesetzte Attribute aus all deinen Beiträgen und Seiten zu entfernen, kannst du das Plugin Better Search Replace verwenden. Damit durchsuchst du anschließend deine wp_posts Datenbank nach „noopener noreferrer“ und ersetzt es durch „“ (also einfach nichts):

Better Search Replace nutzen, um "noopoener" und "noreferrer" zu entfernen

Update 1: Herausfinden, ob deine Links auch betroffen sind

Da gerade einige Fragen reinkamen, ob Amazon-Plugin XYZ auch davon betroffen ist, will ich kurz zeigen, wie du das feststellen kannst.

Wenn du nur einen bestimmten Link untersuchen willst, mach einfach einen Rechtsklick darauf und klicke dann auf „Element untersuchen“ (Firefox) bzw. „Untersuchen“ (Chrome). Dann sollte dir der HTML-Code des Links angezeigt werden. Schaue einfach nach, ob dort etwas von rel=“noopener noreferrer“ steht.

Alterantiv kannst du mit einem Rechtsklick auch direkt den ganzen Quelltext der Seite anzeigen lassen und diesen mit STRG+F nach „noopener noreferrer“ untersuchen.

Fazit

Wenn du eine der hier gezeigten Maßnahmen ergreifst, sollte das Problem behoben sein und deine Affiliate-Links werden richtig getrackt. Es werden sicherlich in den nächsten Tagen noch einige weitere Maßnahmen auftauchen, die das ganze per Plugin lösen. Ich werde diese hier entsprechend ergänzen.

Es bleibt abzuwarten, ob (und wie) WordPress reagieren wird. Wir werden sehen…

Weiterlesen

Hier noch einige Quellen für alle, die mehr wissen wollen:

Über Lukas Kurth 55 Artikel
Ich bin Lukas, bin Student und berichte hier mehr oder weniger regelmäßig darüber, wie ich den einen oder anderen Euro im Internet verdiene. Ich bin übrigens kein Guru und kein Experte. Sollte sich das ändern, sage ich natürlich sofort Bescheid.
Kontakt: Webseite

54 Kommentare zu WordPress Update 4.7.4 bedroht Affiliate-Seiten: Provisionen gefährdet

  1. Danke für die wichtige Info (Y)

    Bin froh, dass ich bis zum Ende gelesen habe. Wollten zwischendurch schon damit anfangen, an einer entsprechenden Funktion für die functions.php zu basteln. Aber du hast ja bereits an alles in deinem Post gedacht 🙂

    Über die Target-Blank-Sicherheitslücke hatte ich vor längerer Zeit auch mal was gelesen. Schon verrückt, was es alles gib.

  2. Danke Lukas, guter Artikel…gesehen hatte ich es im backend auch und in Handarbeit den Code geändert, aber Ursache und Behebung hatte ich noch nicht auf dem Schirm. Danke dafür!

  3. Noch ein Nachtrag,

    ich verwende das Theme von affiliatetheme.io und habe da gestern ein neues Produkt eingefügt. Der Link scheint auch in der Version 4.7.4–de_DE in Ordnung zu sein.

  4. Irgendwie glaube ich, dass das alles halb so wild ist und keine Auswirkungen hat. Wie schon geschrieben, arbeiten die meisten Affiliates ja schließlich mit Parametern in die URL. Jetzt kann Amazon aber wirklich nicht alle Kunden, die keinen Referrer senden von gültigen Sales ausschließen, oder?

    Ich für meinen Teil habe seit Jahren das senden der Referrer im Browser deaktiviert – das heißt, dass ich noch nie für jemanden Umsatz gemacht habe, als ich auf seine Amazon-Links geklickt habe? Eher unwahrscheinlich.

    Zudem ist target=“_blank“ generell umstritten, da man dem Benutzer eigentlich selbst überlassen sollte, ob er seine Links in einem neuen Tab öffnen möchte oder nicht (ich mache das aber auch noch so).

    Macht Euch nicht verrückt.

      • Wenn das wirklich so ist, wie möchte man als Betreiber denn dann die Teilnahmebedingungen erfüllen? Ob ein Referrer mitgesendet wird, entscheidet immerhin der Client des Besuchers.

    • „Zudem ist target=“_blank“ generell umstritten, da man dem Benutzer eigentlich selbst überlassen sollte, ob er seine Links in einem neuen Tab öffnen möchte oder nicht“

      Ich würde nicht sagen, dass es generell umstritten ist. target=“_blank“ ist zum Beispiel bei Downloads sinnvoll. Hier eine Auflistung von schlechten und guten Gründen für target=“_blank“:

      When to use target=”_blank”
      https://css-tricks.com/use-target_blank/

  5. Hey Lukas!

    Ich danke dir sehr für deine sehr hilfreichen Artikel!
    Ich hab mittlerweile fast jeden Tag Artikel auf deinem Blog gelesen und habe dadurch sehr viele extrem hilfreiche Infos bekommen. Dafür wollte ich nur mal Danke sagen!

    Zudem freue ich mich extrem über deinen neuen Podcast: Nischenseite.de ! Ich verfolge diesen gespannt und freue mich auf weitere Artikel von Dir!
    Ich hoffe es ist okay hier meine Webseite reinzusetzen!
    Mit besten und dankbaren Grüßen
    Tim

  6. Diese Attribute rel=“noopener“ und rel=“noreferrer“ hab ich zuletzt auch schon öfter bei meinen joomla Seiten gesehen aber mir nichts bei gedacht. Muss ich mal nachschauen wo genau die genau stecken und her kommen

  7. Danke Lukas für deinen sehr hilfreichen und zusammenfassenden Artikel! Ich werde ihn in meiner FB Gruppe und meinen Kursteilnehmer zur Verfügung stellen.

  8. Uah, was für ein Schock am sonnigen Sonntag :-(. Ich bin bei Affili.net und Superclix, da ist das definitiv ein richtiges Problem! Jetzt hoffe ich nur, dass ich den Inhalt deines Artikel richtig ausdeutschen kann, und mach mich an die Arbeit…
    Nur zum Verständnis für mich Dummie…wenn ich das mit dem php dingens hinbekommen sollte, kann ich dann weiterhin meine Produktlinks wie gehabt über die Textansicht einfügen? Und passiert dann trotzdem nicht dieses andere Problem abseits der Nichterfassung meiner Sales? Sorry, ich musd erstmal googeln bis ich alles kapiert habe, und mich anständig ausdrücken kann…

  9. Erst einmal vielen Dank für den Artikel und die Aufklärung. Zum Verständnis hätte ich noch eine Frage. Beim Klick auf die Links wird doch ein Cookie von affili.net gesetzt, welches für das Tracking relevant ist. Warum sind dann die Referrer für das Tracking so wichtig?

    • Affilinet akzeptiert nur die Klicks von Seiten, die eingetragen sind. Wenn du mal bei Affilinet deine Klickstatistiken anschaust, dann gibt es dort eventuell Klicks mit ungültigem Referrer. Die werden dann nicht gewertet.

  10. Oh mann. Ich bin wirklich noch absoluter Anfänger was diese Geschichten angeht. Wenn ich mir nun überlege wie seit 10 Tagen unwissend gewesen zu sein, wird mir ganz anders.

    Ich habe nun nach diesem Guide gehandelt und alles so weit es mir möglich war (war ja auch gut erklärt) umgesetzt. Meine Links tauchen jetzt überall nur noch mit target=“_blank“ rel=“nofollow “ auf…ich hoffe das ist okay so.

    Wäre dankbar wenn mir jemand das noch bestätigen würde. Ansonsten natürlich vielen vielen Dank für diese Info.
    Gruß
    Daniel

    • Sollte so stimmen. Du kannst das Leerzeichen nahc dme nofollow noch entfernen indem du überall „nofollow “ durch „nofollow“ ersetzt, aber eigentlich sollte es auch so passen.

  11. Erst einmal vielen Dank für diese wichtige Warnung. Ich bin nun nach deinem dritten Lösungsvorschlag auf sechs Seiten mit dem Sahifa-Theme vorgegangen. Neue Links werden nun nicht mehr mit diesen zwei Zusätzen ausgestattet.

    Danach habe ich das Better Search Replace Plugin genutzt. Interessanter Weise fand er auf einer aktuellen Nischenseite nur „1 Tabellen mit insgesamt 1 Zellen durchsucht. 1 Aktualisierungen“. Allerding existieren dort schon 10 Artikel, in denen das theoretisch der Fall sein sollte. Wird das alles in einer Aktualisierung zusammengefasst?

    Vielen vielen Dank für deine wertvollen Tipps. Ich werde es im Auge behalten und hoffe, dass nichts davon wiederkommt. 😉

  12. Mich betrifft es zwar nicht wegen Affilate, aber eine Frage habe ich dennoch: bedeutet diese Neuerung auch, das Pingbacks nicht mehr gehen? Sprich das ich nichts mehr an die entsprechende Seite sende?
    Liebe Grüße, Nicole.

    • Ehrlich gesagt weiß ich nicht, wie die Referrer bei WP funktionieren. Wäre aber ja blöd von WordPress ein Feature einzubauen, dass ein anderes Feature „kaputt macht“. Musst du wohl einfach mal testen.

  13. Lieber Lukas, besten Dank für diesen hilfreichen Artikel!
    Ich habe nach deiner Anleitung die functions.php angepasst, jetzt ist der Link-Code wieder sauber! Zum Verständnis für alle anderen. Nach der Anpassung:
    Man muss alle Links von Unterseiten/Beiträgen, die seit dem WordPress-Update aktualisiert wurden, manuell neu setzen. Alle unangetasteten Seiten sind/waren davon definitiv (ich habe viele Stichproben gemacht) nicht betroffen!

  14. Vielen Dank für die Infos.
    Habe das Problem schon vor 1 Woche entdeckt, hatte ein riesigen Schreck bekommen und auch gleich ins WP-Forum geschaut, wo das schon mehrere geschrieben hatten.

    Leider herrscht überall, wo ich nachlese, große Unsicherheit dazu, wie sich das auf Referrer-Links bei verschiedenen Affilite-Programmen auswirken wird. Und natürlich das Problem mit möglichen Verstößen gegen Programmbedingungen.

    Ich werde jetzt erst mal den Code einbauen …

  15. Danke für den Artikel. Wenn ich das richtig sehe, hat man also derzeit die Wahl zwischen offener Sicherheitslücke und Einnahmenverlust (bei manchen Partnernetzwerken zumindest). Oder ist eine elegantere Lösung in Sicht?

    • Mal abwarten, was da so kommt… Ich denke, dass darauf reagiert wird. Und Einnahmenverlust ja auch nur bei bestimmten Partnerprogrammen, wenn Links als Textlinks gesetzt sind.

  16. Hallo Lukas,

    klasse Artikel und somit hervorragende Hilfestellung. Habe gestern bei einem Up-date meiner Seite im Nachgang diese Mist-Attribute festgestellt. Nach entsprechender Such erst das PlugIn gefunden und angewendet, hat aber bei mir Fehler verursacht. Scheint also noch nicht ausgereift zu sein. Stattdessen dann den Code in die functions.php eingebaut und siehe da beim überarbeiten und neuerlichen Abspeichern von Posts und Seiten keine Attribute mehr bei den Affili-Links. Dann noch das PlugIn Better Search geladen, benutzt und alles ist wieder perfekt. Somit: Klasse das es Seiten wie deine hier gibt 🙂 Gruss Markus

  17. Mal eine naive Frage. Ist ein Vergütungsprogramm, dass nur nach dem Referral vergütet nicht sowieso unglaublich schlecht? Das ist doch manipulierbar^10?

  18. Hallo Lukas,

    vielen, vielen Dank für diesen wirklich guten Beitrag und die Hilfestellung. Mit dem vorgestellten Plugin bin ich selbst wie Markus auch gescheitert…bekommen entsprechende Fehlermeldungen.
    Ich kann bestätigen, dass alle Links von Beiträgen, die seit dem WordPress-Update aktualisiert wurden, manuell neu gesetzt werden müssen.
    Im Ergebnis finde ich jetzt glücklicherweise wieder weiterhin „target=“_blank“ rel=“nofollow“.

  19. Hallo Lukas,
    danke für diesen ausführlichen Bericht. Er sagt eigentlich schon alles wichtige zu diesem Thema. Ich habe mir dennoch erlaubt, ihn zusammenzufassen und zu ergänzen. Mit den bereits vorgestellten Lösungen bin ich sehr unzufrieden, da sie das Sicherheitsfeature wieder aushebeln.
    Ich habe deshalb auch ein PlugIn geschrieben, welches einen Kompromiss zulässt.
    Es können dort Domains freigegeben werden. Für diese werden die Attribute „noreferrer“ und „noopener“ durch „nofollow“ ersetzt, was ja für Affiliate-Links standard sein sollte. Alle anderen Links, die mit target=“_blank“ versehen sind, behalten die von WordPress gesetzten Attribute. Da es schade wäre, diese Lösung nur allein zu nutzen, biete ich diese kostenlos zum Download an. Auf meinem neuen Blog unter „https://schmidandreas.net/noreferrer-entfernen-mit-nono/“ gibt es den Link dazu und einige Screenshots. Es würde mich sehr freuen, wenn du den Link dazu hier veröffentlichst.
    Schönen Gruß,
    Schmitt

  20. Ja Hallo Lukas und Danke für deinen Bericht, Ich bin noch am Anfang und habe noch gar nichts eingerichtet, dank Dir kann ich das von anfang an berücksichtigen.

    Aber ich glaube das kommt gut wenn wir uns gegenseitig Informieren und helfen und das ist ja der fall hier.

    Also Danke an alle!

  21. Du prüfst ja die oben im Beispiel nur die wp_posts Datenbank.

    Wenn ich aber auch in Kategorie Texten Links eingebaut habe. Dann stehen diese ja im wp_term_taxonomy. Hier müsste ich diese ja auch aktualisieren. Richtig?

    Und reicht es in diesem Fall dann die Functions.php im Theme zu erweitern mit dem Code?

    Und danke für deinen Artikel. Der ist ja bares Geld wert für alle Affiliates.

  22. Hallo Lukas,

    danke du hast mir mit deinen Hinweisen sehr geholfen! Schade, dass das von WordPress nicht öffentlichwirksamer kommuniziert wurde.

    Ich würde mich sehr über weitere Updates zu der Entwicklung freuen.

    Vielen Dank!

  23. Hallo Lukas,

    danke für den super Beitrag! Ich habe den Code am Ende der functions.php im Childtheme am Schluss eingefügt, aber es fügt weiterhin „no referrer“ hinzu…. habe einen ganz neuen Beitrag mit neuem Link gepostet und wie du geschrieben hast, das Element untersucht. Es zeigt tatsächlich weiterhin „no referrer“ an. Bin noch nicht so der Checker in Sachen WP…habe ich etwas falsch gemacht?

    Vielen Dank!
    Grüße Betty

4 Trackbacks & Pingbacks

  1. Sicherheit im Internet - damit nichts passiert, wenn was passiert
  2. Wie du rel=“noreferrer“ aus WP 4.7.4 entfernst Damit dir keine Provision flöten geht! | Schmitt
  3. Problem WordPress 4.7.4 nach Update lösen | Digitale Werbekonzepte
  4. Affiliate Auslese Mai 2017 - Projecter GmbH

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*