Zur Navigation

Auswertung Referer

1 Jan

Hallo Jörg,

der Besucher kommt auf die Seite, dort befindet sich ein Kontaktformular (CF7)

212.113.119.0 - - [14/Mar/2023:03:15:25 +0100] "GET /apartment/ HTTP/1.0" 200 117214 "http://example.com/apartment/" "Mozilla/5.0 (Windows NT 6.1; ) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.72 Safari/537.36"

Und schickt das Formular ab

212.113.119.0 - - [14/Mar/2023:03:15:28 +0100] "POST /apartment-a/ HTTP/1.0" 200 117345 "http://example.com/apartment/" "Mozilla/5.0 (Windows NT 6.1; ) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.72 Safari/537.36"

Referer ist die eigene Domain, aber warum http und nicht https ?

Und hier (WP Cron)...

149.232.252.0 - - [13/Mar/2023:04:52:55 +0100] "POST /wp-cron.php?doing_wp_cron=... HTTP/1.1" 200 - "https://example.com/wp-cron.php?doing_wp_cron=..." "WordPress/6.1.1; https://apartamentos-mallorca.de"

aber dann

149.232.252.0 - - [13/Mar/2023:04:58:41 +0100] "POST /wp-cron.php?doing_wp_cron=... HTTP/1.1" 200 - "http://example.com/wp-cron.php?doing_wp_cron=..." "WordPress/6.1.1; https://apartamentos-mallorca.de"

Wieso kommt der Cronjob 1x mit dem http-Referer und dann wieder mit einem https-Referer?

Ist mir eben nur bei der Durchsicht des Logs aufgefallen und ich verstehe es gerade nicht wirklich :-/

Mit freundlichen Grüßen - Jan

15.03.2023 14:46

2 Jörg Kruse

Ist in den allgemeinen WordPress-Einstellungen unter WordPress-Adresse und unter Website-Adresse in beiden Fällen die https:// URL angegeben?

Und ist eine Standard-Weiterleitung von http:// nach https:// eingerichtet?

15.03.2023 15:55

3 Jan

Hallo Jörg,

WordPress-Adresse und Website-Adresse sind beide auf https:// eingestellt (Einstellungen/Allgemein) und ohne / am Ende. Und auch kein weiterer Eintrag in der wp-config.php

Eine Standard-Weiterleitung in der .htaccess sehe ich nur begrenzt auf einen durch das Plugin (WpFastestCache) verwendeten Anweisungsbereich

...
RewriteCond %{HTTPS} =on
RewriteCond %{HTTP_HOST} ^example.com
...

Anfragen an http:// werden aber auf https:// umgeleitet

69.167.12.0 - - [19/Mar/2023:09:51:50 +0100] "GET / HTTP/1.1" 301 - "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

69.167.12.0 - - [19/Mar/2023:09:51:52 +0100] "GET / HTTP/1.1" 200 160725 "-" "Mozlila/5.0 (Linux; Android 7.0; SM-G892A Bulid/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/60.0.3112.107 Moblie Safari/537.36"

Es wird wohl direkt vom Hosting-Anbieter umgeleitet. Dort wurde ja auch das SSL-Zertifikat eingebunden.

Mit freundlichen Grüßen - Jan

19.03.2023 18:54

4 Jörg Kruse

Bots können die Angabe des Referrers fälschen. Beim Cronjob mag das schon anders sein. Handelt es sich dabei um einen "echten" Cronjob unter Linux / Unix und bei 149.232.252.* um die IP-Adresse des Servers? wenn ja, dann ist das schon merkwürdig, dass der Request auch über http:// erfolgt.

19.03.2023 21:07

5 Jan

Hallo Jörg,

bei dem Cronjob handelt es sich um den internen WP-Cronjob unter der URL 149*

Wahrscheinlich muss ich mir da mal die einzelnen Jobs ansehen die von diesem ausgeführt werden?!

Mit freundlichen Grüßen - Jan

19.03.2023 22:07

6 Jörg Kruse

bei dem Cronjob handelt es sich um den internen WP-Cronjob unter der URL 149*

Heißt das, dass du Einträge in die Crontab Datei auf dem Server vorgenommen hast? wenn ja, sind darin Aufrufe der URL http(s)://example.com/wp-cron.php?doing_wp_cron über curl / wget enthalten oder Commands mit php / wp-cli?

20.03.2023 11:53 | geändert: 20.03.2023 11:55

7 Jan

Hallo Jörg,

da hab ich mich wohl unglücklich ausgedrückt ...

Nein, keine eigenen Einträge auf dem Server via Crontab. Dazu besteht auf diesem Hosting auch nicht die Möglichkeit.

Der Cron wird von WP automatisch durchgeführt, es sei denn dieser wird per wp-config.php abgestellt.

# WP-Conjob gestoppt, wird durch cronjob.de ausgeführt
define('DISABLE_WP_CRON', true);

Das ist bei mir der Fall und ich lasse via https://example.com/wp-cron.php (via cronjob.de) den WP-Cron laufen.

Und jetzt sehe ich im Log das diese Angaben zum eigenen http-Referrer bei der direkten Ausführung des WP-Cron aufgetreten sind (dazu war der Eintrag in der wp-config.php deaktiviert).

Das muss ich mir nochmals ansehen, denn derzeit habe ich keine Probleme da der Cronjob via cronjob.de angeworfen wird. Hm ...

Und nochmal zu deiner Nachfrage

Und ist eine Standard-Weiterleitung von http:// nach https:// eingerichtet?

Rufe ich selber meine URL über http auf

84.175.xxx.0 - - [20/Mar/2023:13:41:30 +0100] "GET / HTTP/1.1" 200 24609

bin ich automatisch auf https ohne Umleitung. Mit dem Aufruf der Subdomain www... (http) kommt es dann zur Umleitung

84.175.xxx.0 - - [20/Mar/2023:13:47:06 +0100] "GET / HTTP/1.1" 301 
84.175.xxx.0 - - [20/Mar/2023:13:47:07 +0100] "GET / HTTP/1.1" 200

Ergo ist die Umleitung wohl auf dem Server eingestellt?!

Und Referrer wie diese, davon hatte ich heute einige,

146.70.55.0 - - [19/Mar/2023:06:20:43 +0100] "GET /apartment-a/ HTTP/1.0" 200 117212 "http://example.com/apartment-a/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.72 Safari/537.36"

146.70.55.0 - - [19/Mar/2023:06:20:45 +0100] "POST /apartment-a/ HTTP/1.0" 200 117341 "http://example.com/apartment-a/" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.72 Safari/537.36"

sind einfach nur falsch.

Alle heute im Log aufgetauchten Referrer mit http und eigener Domain stammen ausschließlich von Kontaktform Spammern!

Mit freundlichen Grüßen - Jan

20.03.2023 14:39

8 Jan

Hallo Jörg,

nochmal zum letzten Referrer 146.70.55.0 ... da gibt es keinen weiteren Zugriff davor und auch keinen danach!

Die IP kommt also direkt mit dem http-Referrer der eigenen Domain.

Und was mir jetzt auffällt, ein neuer Eintrag (enthält keinen Referrer, deshalb abgeschnitten)

95.90.225.0 - - [20/Mar/2023:13:29:04 +0100] "GET /deutsch/ueberwintern/ HTTP/1.1" 301

95.90.225.0 - - [20/Mar/2023:13:29:04 +0100] "GET /ueberwintern/ HTTP/1.1" 301 

95.90.225.0 - - [20/Mar/2023:13:29:05 +0100] "GET /ueberwintern/ HTTP/1.1" 200

95.90.225.0 - - [20/Mar/2023:13:29:06 +0100] "GET /wp-includes/css/dist/block-library/style.min.css?ver=88b57859434efc65f68ce52713d77630 HTTP/1.1" 200 12518 "http://example.com/ueberwintern/"

Die URL /deutsch/ueberwintern/ gab es einmal vor 2 Jahren und war auch nur unter http:// erreichbar.

Dazu gibt es aber vermutlich eine falsche Regel in der .htaccess bei mir?

RewriteRule ^deutsch/ueberwintern/ /ueberwintern/ [R=301,L]

und etwas weiter darunter noch

RewriteRule ^deutsch/$ / [R=301,L

In der weiteren Abarbeitung innerhalb WP kommt es dann z.B bei dem .css wieder zu einem http-Referrer :-/

Da stimmt doch was nicht? Oder?

Mit freundlichen Grüßen - Jan

20.03.2023 19:39

9 Jörg Kruse 

RewriteRule ^deutsch/ueberwintern/ /ueberwintern/ [R=301,L]

Hier (und bei ähnlichen RewriteRules) sollte bereits explizit nach https:// weitergeleitet werden:

RewriteRule ^deutsch/ueberwintern/ https://example.com/ueberwintern/ [R=301,L]

21.03.2023 10:36

1 Forenmitglied fand diesen Beitrag gut

10 Jan

Hallo Jörg,

Regel angepasst und es sieht schon viel besser aus! ;-)

Ich stelle immer mehr falsche Referrer bei mir fest, die mit http:// auf die eigene Domain habe ich sperren lassen. Und schon ist seit Tagen der Kontaktform-Spam fast bei 0 :-)

Wobei ich mich frage wieso jemand mit einem http:// Referrer kommt ... wenn es doch gar keine http:// Seite mehr gibt? Und nur von dort könnte doch ein Referrer kommen ... Richtig?

Hier ist auch noch eine .es-Domain (http) vorhanden, aber nie für die Webseite genutzt. Diese wird aber vom Server (Hoster) auf die .de-Domain (https) umgeleitet. Und auch hier bekomme ich immer wieder Referrer von der http und auch https .es-Domain ... was ja auch nicht stimmen kann. Und so gut wie immer sind Besucher mit diesen falschen Referrer Spammer die auf das Kontaktformular zugreifen, bzw. wollen.

Mit freundlichen Grüßen - Jan

25.03.2023 10:56