WordPress gehackt? So erkennen und beheben Sie eine Spam-Infektion
Kurzfassung: Gehackte WordPress-Seiten fallen oft monatelang nicht auf, weil die Spam-Inhalte nur für Google sichtbar sind. Prüfen Sie regelmäßig Ihre Sitemap und die Google Search Console. Nach einem Hack reicht Löschen der Spam-Seiten nicht – ohne Entfernen der Hintertüren ist der Spam in Tagen wieder da.
Dieser Artikel hat einen sehr konkreten Anlass: unsere eigene Website. Bei der Vorbereitung des Relaunchs fanden wir in der Sitemap unserer alten WordPress-Installation über 8.000 englischsprachige Casino-Spam-Seiten – „free spins no deposit", „best UK casino" und ähnliches, sauber versteckt zwischen zwei echten Blog-Beiträgen. Monatelang unbemerkt. Wenn es uns als IT-Dienstleister treffen kann, kann es jeden treffen. Hier ist, was wir daraus gelernt haben – und was Sie bei Ihrer eigenen Website prüfen sollten.
Warum man den Hack nicht bemerkt
Moderne SEO-Spam-Angriffe sind bewusst unsichtbar gebaut: Die Startseite sieht normal aus, das Backend meldet nichts, Besucher merken nichts. Die Spam-Seiten werden oft per „Cloaking" nur an Suchmaschinen-Crawler ausgeliefert oder tief in der Datenbank als veröffentlichte Beiträge ohne Menüverknüpfung angelegt. Ziel der Angreifer: Ihre Domain-Reputation bei Google für Linkfarmen und Casino-Werbung missbrauchen. Der Schaden für Sie: Google stuft Ihre Domain ab – im schlimmsten Fall fliegen Sie mit einer „Manual Action" komplett aus dem Index.
So prüfen Sie Ihre Website in 10 Minuten
- Sitemap ansehen: Rufen Sie
ihre-domain.de/sitemap.xmlauf. Stehen dort Seiten, die Sie nie angelegt haben – vor allem englische Titel zu Casinos, Pillen oder Krediten? Das ist der rauchende Colt. - Google fragen: Suchen Sie nach
site:ihre-domain.de. Sie sehen alles, was Google unter Ihrer Domain kennt. Fremde Inhalte? Gehackt. - Search Console prüfen: In der Google Search Console (kostenlos) sehen Sie Indexierungszahlen und Sicherheitswarnungen. Ein plötzlicher Sprung von 30 auf 8.000 indexierte Seiten ist eindeutig.
- Unbekannte Admin-Konten: WordPress → Benutzer: Gibt es Administratoren, die Sie nicht angelegt haben?
Wie kommen die Angreifer rein?
In fast allen Fällen, die wir gesehen haben, war es einer dieser vier Wege: veraltete Plugins oder Themes mit bekannten Sicherheitslücken (der mit Abstand häufigste Weg), ein veralteter WordPress-Core, schwache oder wiederverwendete Admin-Passwörter, oder ein bereits kompromittierter weiterer Auftritt im selben Hosting-Paket, von dem aus sich die Infektion ausbreitet.
Die Bereinigung: Warum Löschen allein nicht reicht
Der Reflex ist verständlich: Spam-Beiträge markieren, löschen, fertig. Das Problem: Die Angreifer haben beim Einbruch Hintertüren hinterlassen – als PHP-Dateien in Upload-Ordnern getarnt, in Theme-Dateien injiziert oder als eigener „Wartungs-Plugin"-Ordner. Löschen Sie nur die Beiträge, ist der Spam nach Tagen wieder da. Eine saubere Bereinigung umfasst:
- Komplettes Backup des Ist-Zustands (als Beweismittel und Sicherheitsnetz)
- Alle Passwörter ändern: WordPress-Admins, Datenbank, FTP/SSH, Hosting-Panel
- WordPress-Core, Themes und Plugins aus Originalquellen neu installieren – nicht bereinigen, sondern ersetzen
- Datenbank durchsuchen: Spam-Beiträge, fremde Benutzer, manipulierte Optionen entfernen
- Upload-Ordner auf PHP-Dateien prüfen (dort haben sie nichts verloren)
- In der Search Console die Spam-URLs entfernen lassen – am wirksamsten antworten die gelöschten Seiten mit HTTP-Status 410 (Gone), das beschleunigt die Entfernung aus dem Index deutlich
Vorbeugen: die Pflichtliste
- Updates für Core, Themes und Plugins zeitnah einspielen – automatische Updates aktivieren, wo möglich
- Nur Plugins installieren, die Sie wirklich brauchen; verwaiste Plugins löschen (deaktiviert reicht nicht)
- Starke, einmalige Passwörter plus Zwei-Faktor-Anmeldung fürs Backend
- Regelmäßige Backups, die nicht auf demselben Server liegen
- Search Console einrichten – sie warnt kostenlos bei Sicherheitsproblemen
- Grundsätzlicher: je weniger bewegliche Teile, desto weniger Angriffsfläche. Unsere neue Website läuft bewusst ohne CMS und ohne Plugins – was nicht existiert, kann nicht gehackt werden.
Was wir für Sie tun können
Wir prüfen Ihre Website auf Kompromittierung, bereinigen befallene Installationen und richten Update- und Backup-Routinen ein, damit es nicht wieder passiert. Oder wir bauen Ihren Auftritt gleich so, dass er wartungsarm und angriffsresistent ist – mehr dazu unter Webdesign.