Probleme mit Ihrem Computer? Wir helfen!

☎ 08636 / 2398990 (Ortstarif)

WordPress gehackt? So erkennen und beheben Sie eine Spam-Infektion

Von Manuel Zagler, IT-Spezialist · Veröffentlicht am

Kurzfassung: Gehackte WordPress-Seiten fallen oft monatelang nicht auf, weil die Spam-Inhalte nur für Google sichtbar sind. Prüfen Sie regelmäßig Ihre Sitemap und die Google Search Console. Nach einem Hack reicht Löschen der Spam-Seiten nicht – ohne Entfernen der Hintertüren ist der Spam in Tagen wieder da.

Dieser Artikel hat einen sehr konkreten Anlass: unsere eigene Website. Bei der Vorbereitung des Relaunchs fanden wir in der Sitemap unserer alten WordPress-Installation über 8.000 englischsprachige Casino-Spam-Seiten – „free spins no deposit", „best UK casino" und ähnliches, sauber versteckt zwischen zwei echten Blog-Beiträgen. Monatelang unbemerkt. Wenn es uns als IT-Dienstleister treffen kann, kann es jeden treffen. Hier ist, was wir daraus gelernt haben – und was Sie bei Ihrer eigenen Website prüfen sollten.

Warum man den Hack nicht bemerkt

Moderne SEO-Spam-Angriffe sind bewusst unsichtbar gebaut: Die Startseite sieht normal aus, das Backend meldet nichts, Besucher merken nichts. Die Spam-Seiten werden oft per „Cloaking" nur an Suchmaschinen-Crawler ausgeliefert oder tief in der Datenbank als veröffentlichte Beiträge ohne Menüverknüpfung angelegt. Ziel der Angreifer: Ihre Domain-Reputation bei Google für Linkfarmen und Casino-Werbung missbrauchen. Der Schaden für Sie: Google stuft Ihre Domain ab – im schlimmsten Fall fliegen Sie mit einer „Manual Action" komplett aus dem Index.

So prüfen Sie Ihre Website in 10 Minuten

  1. Sitemap ansehen: Rufen Sie ihre-domain.de/sitemap.xml auf. Stehen dort Seiten, die Sie nie angelegt haben – vor allem englische Titel zu Casinos, Pillen oder Krediten? Das ist der rauchende Colt.
  2. Google fragen: Suchen Sie nach site:ihre-domain.de. Sie sehen alles, was Google unter Ihrer Domain kennt. Fremde Inhalte? Gehackt.
  3. Search Console prüfen: In der Google Search Console (kostenlos) sehen Sie Indexierungszahlen und Sicherheitswarnungen. Ein plötzlicher Sprung von 30 auf 8.000 indexierte Seiten ist eindeutig.
  4. Unbekannte Admin-Konten: WordPress → Benutzer: Gibt es Administratoren, die Sie nicht angelegt haben?

Wie kommen die Angreifer rein?

In fast allen Fällen, die wir gesehen haben, war es einer dieser vier Wege: veraltete Plugins oder Themes mit bekannten Sicherheitslücken (der mit Abstand häufigste Weg), ein veralteter WordPress-Core, schwache oder wiederverwendete Admin-Passwörter, oder ein bereits kompromittierter weiterer Auftritt im selben Hosting-Paket, von dem aus sich die Infektion ausbreitet.

Die Bereinigung: Warum Löschen allein nicht reicht

Der Reflex ist verständlich: Spam-Beiträge markieren, löschen, fertig. Das Problem: Die Angreifer haben beim Einbruch Hintertüren hinterlassen – als PHP-Dateien in Upload-Ordnern getarnt, in Theme-Dateien injiziert oder als eigener „Wartungs-Plugin"-Ordner. Löschen Sie nur die Beiträge, ist der Spam nach Tagen wieder da. Eine saubere Bereinigung umfasst:

  1. Komplettes Backup des Ist-Zustands (als Beweismittel und Sicherheitsnetz)
  2. Alle Passwörter ändern: WordPress-Admins, Datenbank, FTP/SSH, Hosting-Panel
  3. WordPress-Core, Themes und Plugins aus Originalquellen neu installieren – nicht bereinigen, sondern ersetzen
  4. Datenbank durchsuchen: Spam-Beiträge, fremde Benutzer, manipulierte Optionen entfernen
  5. Upload-Ordner auf PHP-Dateien prüfen (dort haben sie nichts verloren)
  6. In der Search Console die Spam-URLs entfernen lassen – am wirksamsten antworten die gelöschten Seiten mit HTTP-Status 410 (Gone), das beschleunigt die Entfernung aus dem Index deutlich

Vorbeugen: die Pflichtliste

Was wir für Sie tun können

Wir prüfen Ihre Website auf Kompromittierung, bereinigen befallene Installationen und richten Update- und Backup-Routinen ein, damit es nicht wieder passiert. Oder wir bauen Ihren Auftritt gleich so, dass er wartungsarm und angriffsresistent ist – mehr dazu unter Webdesign.

MZ

Über den Autor

Manuel Zagler ist Inhaber von PiXX Media in Aschau am Inn und seit über zehn Jahren als IT-Spezialist für Privathaushalte und kleine Unternehmen im Raum Mühldorf–Altötting unterwegs. Alle Ratgeber basieren auf echten Fällen aus Werkstatt und Vor-Ort-Einsätzen. Mehr über PiXX Media →

Sie stecken genau bei diesem Problem fest? Wir helfen – per Fernwartung (15 €/20 Min., Geld-zurück-Garantie) oder vor Ort. ☎ 08636 / 2398990 (Ortstarif) oder Serviceanfrage stellen.

Technik-Problem? Wir helfen sofort.

Anruf zum Ortstarif, WhatsApp oder Serviceanfrage – wir melden uns in der Regel noch am selben Tag.