URL-Hijacking bezeichnet einen Vorgang, bei dem eine fremde Website aus den Suchergebnissen einer Suchmaschine verdrängt und durch eine andere Seite ersetzt wird — obwohl die fremde Seite eigentlich nur per Weiterleitung auf den Originalinhalt verlinkt. Der Begriff lässt sich wörtlich als „URL-Entführung“ übersetzen: Die eigentlich korrekte Adresse verschwindet aus dem Index, und eine andere URL taucht an ihrer Stelle auf.
Wie funktioniert URL-Hijacking?
Das Herzstück des Problems ist der sogenannte Redirect, also eine serverseitige Weiterleitung. Wenn du eine Seite aufrufst und dein Browser automatisch auf eine andere Adresse weitergeleitet wird, steckt dahinter ein HTTP-Statuscode. Der wichtigste Unterschied für URL-Hijacking liegt zwischen zwei Codes: 301 (Moved Permanently) und 302 (Found).
Ein 301-Redirect signalisiert Suchmaschinen: „Diese Inhalte sind dauerhaft unter der neuen Adresse zu finden.“ Die Suchmaschine überträgt dabei in der Regel den Linkjuice — also die aufgebaute Autorität — auf die neue URL und indexiert sie als Originalseite.
Ein 302-Redirect bedeutet dagegen: „Diese Weiterleitung ist nur vorübergehend.“ Genau hier liegt das Problem. Wenn Seite A per 302 auf Seite B weiterleitet, interpretiert der Suchmaschinen-Crawler Seite A als die eigentliche Originalseite — weil er davon ausgeht, dass die Inhalte bald wieder unter Seite A zu finden sind. Die Folge: Der Crawler kann Seite A in den Index aufnehmen und Seite B verdrängen, obwohl Seite B den echten Inhalt hostet.
Drei Wege, wie es dazu kommt
URL-Hijacking entsteht auf drei verschiedenen Wegen, die sich grundlegend in ihrer Absicht unterscheiden.
Der erste und häufigste Weg ist der unbeabsichtigte Fehler. Viele Entwickler setzen versehentlich einen 302-Redirect, wo eigentlich ein 301 benötigt würde. Das passiert besonders leicht, weil der Apache-Webserver mit seinem URL-Rewrite-Modul mod_rewrite standardmäßig 302 als Redirect-Code verwendet — außer du gibst explizit etwas anderes an. Auch in PHP ist die Standardweiterleitung über header("Location: ...") zunächst ein 302, wenn kein anderer Statuscode mitgegeben wird.
Der zweite Weg sind dynamisch generierte URLs. Viele Verzeichnisse und Content-Management-Systeme erzeugen automatisch Weiterleitungen mit 302-Codes. Eine URL wie beispiel-seite.at/redirect.php?target=zielseite.at leitet auf die Zielseite weiter — aber der Crawler sieht die Redirect-URL als die vermeintlich originale Seite.
Der dritte Weg ist absichtliches URL-Hijacking als Black-Hat-SEO-Methode. Dabei setzt ein Angreifer bewusst 302-Weiterleitungen von einer eigenen (oft minderwertigen) Domain auf gut rankende Seiten anderer. Die Suchmaschine indexiert dann die Angreifer-URL anstatt der Originalseite, die aus den Suchergebnissen verschwindet. Dieses Vorgehen gilt als illegal und verstößt gegen die Webmaster-Richtlinien aller großen Suchmaschinen.
Geschichte und Bedeutung
URL-Hijacking war in den frühen 2000er-Jahren ein ernsthaftes Problem für Websitebetreiber. In Webmaster-Foren wie WebmasterWorld gab es um 2005 ausgedehnte Diskussionen über Massenangriffe durch 302-Weiterleitungen, bei denen ganze Websites aus dem Google-Index verdrängt wurden. Matt Cutts, damals Googles führender Ansprechpartner für Webmaster, schrieb 2006 explizit darüber, wie Google Off-Domain-302-Redirects behandeln wollte — und warum es sinnvoller sei, die Zieldomain statt der weiterleitenden Seite zu ranken.
Dass das Thema bis heute relevant bleibt, zeigte 2017 ein Experiment des SEO-Crawling-Tools Screaming Frog: Das Unternehmen lud Googles eigene SEO-Starter-Anleitung auf die eigene Domain hoch und nutzte dabei denselben Mechanismus, der zur Hijacking-Anfälligkeit geführt hatte. Eine Woche später rankte die Screaming-Frog-Version für viele Keywords des Google-Dokuments an erster Stelle — bevor Google das Duplikat kurz darauf wieder aus dem Index entfernte.
Auswirkungen auf SEO
Die Konsequenzen von URL-Hijacking können gravierend sein. Wenn deine Seite aus dem Index verdrängt wird, verschwindest du aus den Suchergebnissen — ohne dass du einen Fehler gemacht hast. Sämtlicher organischer Traffic bricht weg, und die Seitenautorität, die du dir über Monate oder Jahre aufgebaut hast, geht verloren oder wandert zur falschen URL.
Das Tückische: Du bemerkst das Problem oft erst, wenn du einen plötzlichen Einbruch deiner Rankings und Besucherzahlen feststellst. Bis dahin hat der Hijacker bereits von deiner Arbeit profitiert.
URL-Hijacking verhindern
Der wichtigste Schutzmechanismus ist korrekte Redirect-Hygiene. Setze immer 301-Redirects, wenn Inhalte dauerhaft verschoben werden. Verwende 302 nur dann, wenn eine Weiterleitung wirklich temporär ist — etwa während einer Wartung. Überprüfe außerdem regelmäßig dein Backlink-Profil, weil du über eingehende Links mit 302-Weiterleitungen auch unbeabsichtigt zur Zielseite eines Hijackings werden kannst.
Der canonical-Tag ist ein weiteres wichtiges Werkzeug. Er teilt Suchmaschinen mit, welche URL als die originale zu betrachten ist — selbst wenn derselbe Inhalt unter mehreren Adressen erreichbar ist. Setzt du ihn korrekt ein, wird es für Suchmaschinen schwieriger, eine fremde URL als Original zu akzeptieren.
Über die Google Search Console kannst du außerdem unerwünschte URLs aus dem Index entfernen lassen. Wenn du feststellst, dass eine fremde Redirect-URL in den Suchergebnissen für deine Inhalte auftaucht, solltest du zuerst den Webmaster der betroffenen Seite kontaktieren und um Entfernung bitten. Oft handelt es sich nicht um böswilligen Angriff, sondern schlicht um technische Unwissenheit.
Regelmäßiges Monitoring deiner Rankings und deines Backlink-Profils — etwa über Tools wie die Google Search Console, Ahrefs oder SISTRIX — hilft dir, verdächtige Weiterleitungen frühzeitig zu erkennen, bevor sie sich auf deine Sichtbarkeit auswirken.
Häufige Fragen
Was ist der Unterschied zwischen URL-Hijacking und Domain-Hijacking?
URL-Hijacking bezeichnet das Verdrängen einer URL aus den Suchergebnissen durch fehlerhafte oder missbräuchliche Weiterleitungen. Domain-Hijacking meint dagegen den unbefugten Zugriff auf und die Übernahme einer Domain selbst — also einen Angriff auf Registrar-Ebene, nicht auf Suchmaschinen-Ebene.
Kann mir URL-Hijacking passieren, ohne dass jemand meine Website gehackt hat?
Ja. URL-Hijacking erfordert keinen Zugriff auf deine Website. Es reicht, wenn jemand anderes auf seiner eigenen Seite einen 302-Redirect auf deine URL setzt. Die Suchmaschine kann dann fälschlicherweise die fremde URL als Original behandeln und deine aus dem Index verdrängen — ohne dass du davon vorab etwas weißt.
Wie erkenne ich, ob meine URL gehijackt wurde?
Ein typisches Warnsignal ist ein plötzlicher, unerklärlicher Einbruch deines organischen Traffics. Du kannst in der Google Search Console prüfen, welche URLs für deine Seite indexiert sind, und in der Google-Suche mit dem Operator site:beispiel-seite.at nachsehen, welche deiner Seiten noch im Index erscheinen. Tauchen dort fremde Domains auf oder fehlen wichtige Seiten, solltest du dein Backlink-Profil auf verdächtige 302-Weiterleitungen hin prüfen.
