Warum oberflächliches Löschen nicht reicht
Wer eine gehackte WordPress-Seite bereinigt, indem er nur die sichtbaren Spam-Links entfernt oder ein Security-Plugin drüberläuft, löst das Problem nicht — er versteckt es kurz. Hacker hinterlassen in der Regel mehrere Einfallstore gleichzeitig: versteckte Dateien im Upload-Verzeichnis, manipulierte Datenbankeinträge, kompromittierte Plugin-Dateien und oft eine sogenannte Backdoor, die nach der oberflächlichen Bereinigung automatisch wieder Zugang ermöglicht.
Eine vollständige Bereinigung bedeutet, jede dieser Stellen zu finden und zu schließen. Das erfordert Zugriff auf Server-Ebene, einen Vergleich der Kerndateien mit den WordPress-Originaldateien und eine sorgfältige Analyse der Datenbank auf injizierte Inhalte.
Typische Symptome eines Hacks
-
01
Weiterleitungen auf fremde Seiten
Besucher landen nach dem Klick auf Ihre Website auf Spam-Seiten, Glücksspiel-Portalen oder Phishing-Seiten. Das Tückische: Diese Weiterleitung ist oft nur auf Mobilgeräten aktiv, oder nur für Besucher die über Google kommen — für Sie als eingeloggter Admin funktioniert die Seite völlig normal.
-
02
Spam-Links im Quellcode
Im HTML-Quellcode Ihrer Seiten tauchen unsichtbare Links auf — mit CSS auf display:none gesetzt oder in winziger Schriftgröße. Ziel ist es, das Ranking fremder Seiten über Ihre Domain-Autorität zu manipulieren. Für normale Besucher unsichtbar, für Google aber indexierbar und schädlich für Ihr Standing.
-
03
Google-Warnung im Browser
Chrome oder Firefox zeigen eine rote Warnseite: "Diese Website enthält schädliche Programme" oder "Betrügerische Website". Das bedeutet, Google hat Ihre Domain in der Safe Browsing-Datenbank markiert. Jeder Besucher sieht diese Warnung — und die meisten verlassen die Seite sofort. Auch nach der Bereinigung muss die Aufhebung aktiv bei Google beantragt werden.
-
04
Unbekannte Admin-Konten oder Dateien
In Ihrer WordPress-Benutzerverwaltung tauchen Accounts auf, die Sie nicht angelegt haben. Im Dateimanager oder per FTP finden sich PHP-Dateien mit kryptischen Namen wie "wp-config.php.bak" oder zufällige Dateinamen in Ordnern, in denen sie nichts zu suchen haben. Beides sind klare Zeichen für einen aktiven Angreifer der noch Zugriff hat.
Warum Security-Plugins alleine nicht schützen
Wordfence, Sucuri und ähnliche Plugins erkennen bekannte Malware-Muster zuverlässig — aber keine maßgeschneiderten Backdoors oder Zero-Day-Exploits, die noch nicht in ihrer Datenbank sind. Eine saubere Bereinigung setzt voraus, dass alle Dateien auf Server-Ebene mit den Original-WordPress-Dateien verglichen werden, nicht nur die, die das Plugin kennt. Außerdem erkennen Plugins keine manipulierten Datenbankeinträge, die als normaler Inhalt aussehen.
Was professionelle Bereinigung beinhaltet
Vollständiger Vergleich aller WordPress-Kerndateien mit den Originalen, Analyse der Datenbank auf injizierte Inhalte, Entfernung aller Backdoors, Schließung des ursprünglichen Einfallstors, Überprüfung aller Plugin- und Theme-Dateien — und nach der Bereinigung Antrag auf Entfernung aus der Google Safe Browsing-Liste, sofern Ihre Domain markiert wurde.