Google schaltet ab Juni 2026 Back-Button-Hijacking ein
Ab dem 15. Juni 2026 beginnt Google, Websites zu sanktionieren, die das Back-Button-Hijacking nutzen – also die Browser-Geschichte manipulieren, um das Standardverhalten der "Zurück"-Taste zu stören. Dies verstößt direkt gegen Googles Richtlinien für betrügerische Praktiken. Webseitenbetreiber haben zwei Monate Zeit, ihren Code zu überprüfen und zu bereinigen, einschließlich Drittanbieter-Skripte von Werbenetzwerken.
Techniken des Back-Button-Hijackings und wie sie funktionieren
Das Umleiten der Zurück-Taste enttäuscht Nutzererwartungen: Anstatt zur vorherigen Seite zurückzukehren, werden Nutzer mit Werbung, Empfehlungen oder derselben Seite konfrontiert. Häufige Methoden sind:
- Umleitungsketten: Die Landingpage leitet sofort über Meta-Refresh oder JavaScript auf einen Zwischenpunkt um. Beide Seiten werden in der Historie gespeichert. Klicken auf "Zurück" führt zurück zum Umleiter, der den Nutzer erneut weiterleitet.
history.pushState(): Fiktive Einträge in der Browser-Historie werden hinzugefügt, was das Verlassen der Seite per einziger Klick erschwert.popstate-Interception: Derpopstate-Ereignishandler wird überschrieben, um Navigation zu unterbrechen – beispielsweise durch Werbeanzeigen oder Fragen wie "Sind Sie sicher?"- SPA-Router: Automatische Hinzufügung von Historie-Einträgen ohne Benutzerinteraktion, falls die Zurück-Taste unerwartete Ergebnisse liefert.
Diese Strategien erzeugen einen Widerspruch zwischen Website-Verhalten und Browser-Standards, was Besucher frustriert und das Vertrauen beeinträchtigt.
Google’s Policy Update und Konsequenzen
Bisher hatte das Back-Button-Hijacking keine direkte Auswirkung auf die Rankings. Doch ab der Ankündigung am 13. April 2026 gilt es nun explizit als betrügerisch. Die Strafen umfassen:
- Manuelle Maßnahme: Eine manuelle Sanktion im Search Console – Seiten oder ganze Sites können abgestuft oder entfernt werden, bis die Korrekturen vorgenommen und eine Überprüfung beantragt wurden.
- Automatisierte Abwertung: Algorithmenbasierte Traffic-Reduktion ohne vorherige Warnung.
Die Rückkehr zur Normalität erfordert die vollständige Entfernung aller problematischen Codes. Auch für Drittanbieter-SDKs, AdSense-Wrappers oder Push-Benachrichtigungs-Widgets bleibt die Verantwortung beim Betreiber.
Website-Audit: Schritte und Tools
Überprüfen Sie mit DevTools, ob Hijacking vorliegt:
- Führen Sie eine Leistungs-Aufzeichnung durch, navigieren Sie von einer Suchergebnisseite zu einer Seite und klicken dann auf "Zurück". Zusätzliche Netzwerk-Anfragen oder unerwartete URL-Wechsel deuten auf Probleme hin.
- Suchen Sie nach
history.pushState()undhistory.replaceState()– diese sind nur akzeptabel, wenn sie für echte SPA-Navigation genutzt werden. - Untersuchen Sie
popstate- undbeforeunload-Handler: Verdächtig ist, wenn siehistory.go(1)oder Manipulationen vonlocation.hrefenthalten.
Console-Code zum Debugging:
console.log("history length:", history.length); // Sollte 1–2 betragen; sonst ist die Historie verunreinigt
getEventListeners(window).popstate?.forEach(l => console.log(l.listener.toString())); // Auf verdächtige Listener prüfen
Testen Sie mit echten Werbe-Creatives – Hijacking verbirgt sich oft in Werbeskripten.
Wer ist gefährdet und welche Kompromisse bei der Lösung bestehen?
Hochriskante Bereiche sind:
- Aggressive Monetarisierung: Content-Aggregator, Deal-Seiten, Vergleichsportale.
- SaaS-Landingpages mit Onboarding-Routern.
- Push-Benachrichtigungs- und Popunder-Netzwerke.
- SPAs mit React Router, die
{ replace: true }für Umleitungen fehlen.
Lösungen erfordern Kompromisse: Das Weglassen bestimmter Bibliotheken für saubere Navigation kann die Engagement-Rate senken – bringt aber bessere SEO und UX. Schnelle Audits dauern Minuten, eine vollständige Bereinigung kann jedoch Wochen in Anspruch nehmen, besonders bei Lieferanten.
Wichtige Erkenntnisse
- Frist: 15. Juni 2026 – Danach gelten manuelle Sanktionen und Abwertungen ohne Gnade.
- Drittanbieter-Code: Sie tragen die Verantwortung für alle Skripte. Wechseln Sie den Anbieter, wenn nötig.
- SPAs ohne Verstöße: Historie-Einträge sollten nur echte Benutzeraktionen widerspiegeln. Verwenden Sie
replace, stattpush. - DevTools-Tests: Die Prüfung von
history.lengthundpopstate-Listenern erfasst 80 % der Probleme. - Überprüfung beantragen: Nach der Bereinigung stellen Sie im Search Console eine Überprüfung an, um manuelle Sanktionen aufzuheben.
Eine umfassende Auditierung jetzt minimiert das Risiko. Eine saubere Browser-Historie ist nicht nur eine UX-Bestpractice – sie ist mittlerweile auch ein Ranking-Faktor.
— Editorial Team
Noch keine Kommentare.