SEOFX – SEO Agentur Nürnberg
Kostenlos anfragen
WordPress SEO

WordPress nach Hackerangriff: SEO wiederherstellen

5 Min. Lesezeit

Ein gehacktes WordPress ist für SEO ein Notfall. Google erkennt Malware, Spam-Einschleusungen und Phishing-Seiten und reagiert mit Abstrafungen – bis hin zur vollständigen Deindexierung. Gleichzeitig können Besucher Warnseiten sehen, was Vertrauen und Conversion vernichtet. Dieser Artikel zeigt, wie Sie nach einem Hackerangriff systematisch vorgehen, Rankings wiederherstellen und künftig besser schützen.

Anzeichen eines gehackten WordPress

Nicht jeder Hack ist sofort offensichtlich. Typische Warnsignale:

Sichtbar für Nutzer:

  • Google zeigt Warnmeldung „Diese Website könnte schädlich sein”
  • Unbekannte Weiterleitungen auf Spam-Seiten (besonders auf Mobilgeräten)
  • Unbekannte Seiten oder Inhalte in Chinesisch, Russisch oder anderem Spam-Content
  • Unbekannte Werbe-Popups oder Bannereinblendungen

Nur im Backend sichtbar:

  • Unbekannte Admin-Nutzer
  • Unbekannte Dateien im wp-content/uploads/-Ordner
  • Unbekannte Plugins aktiviert
  • Geänderte Kerndateien (index.php, functions.php)

Nur in Google Search Console:

  • Sicherheitsprobleme-Warnungen in der Search Console
  • Neue unbekannte URLs werden gecrawlt
  • Plötzlicher Traffic-Einbruch ohne erkennbaren Grund

Websites, die nach einem Hack innerhalb von 24 Stunden bereinigt werden und die Google Search Console Überprüfung beantragen, erholen ihre Rankings im Schnitt innerhalb von 2–4 Wochen vollständig.

Sofortmaßnahmen: Die erste Stunde nach Entdeckung

1. Website in Wartungsmodus versetzen: Verhindern Sie, dass weitere Besucher Malware ausgesetzt werden. Nutzen Sie einen einfachen Coming-Soon-Plugin oder sperren Sie den öffentlichen Zugang über .htaccess.

2. Zugangsdaten sofort ändern:

  • WordPress Admin-Passwort aller Nutzer
  • FTP/SFTP-Passwort
  • Hosting-Panel-Passwort
  • Datenbank-Passwort (wp-config.php)
  • E-Mail-Passwort des Admin-Accounts

3. Backup erstellen (auch vom gehackten Zustand): Klingt seltsam, aber: Backups des kompromittierten Zustands können bei der forensischen Analyse helfen, den Angriffsvektor zu verstehen.

4. Hosting-Provider informieren: Viele Hoster (Raidboxes, WP Engine, SiteGround) haben Sicherheitsteams, die bei Bereinigungen helfen können.

Malware finden und entfernen

Schritt 1: Sicherheits-Scan

Wordfence Security (Plugin): Kostenlose Version scannt alle WordPress-Dateien auf Malware, geänderte Kerndateien und bekannte Malware-Signaturen. Installieren und vollständigen Scan durchführen.

Sucuri SiteCheck: Kostenloser Online-Scanner unter sitecheck.sucuri.net. Prüft Blacklists und sucht nach serverseitiger Malware.

MalCare: Scan-Tool speziell für WordPress, erkennt auch verschleierte (obfuscated) Malware.

Schritt 2: Infizierte Dateien bereinigen

Nach dem Scan kennen Sie die betroffenen Dateien. Vorgehen:

WordPress-Kerndateien: Ersetzen Sie infizierte Kerndateien durch saubere Versionen. Download unter wordpress.org/download/. Behalten Sie wp-config.php und wp-content/.

wp-content/uploads/: Durchsuchen Sie diesen Ordner nach .php-Dateien. Dort sollten keine PHP-Dateien sein – alle gefundenen sind verdächtig und müssen gelöscht werden.

Theme-Dateien: Laden Sie das Theme neu aus der Original-Quelle herunter und ersetzen Sie alle Dateien. Eigene Anpassungen vorher sichern.

Datenbank bereinigen: Einige Malware-Typen schreiben Schadcode in die WordPress-Datenbank (oft in wp_options oder Post-Inhalte). Mit WP-CLI oder PhpMyAdmin nach bekannten Malware-Strings suchen:

SELECT * FROM wp_options WHERE option_value LIKE '%eval(%';
SELECT * FROM wp_posts WHERE post_content LIKE '%<script%' AND post_status = 'publish';

Praxistipp: Wenn Sie nicht sicher sind, ob eine Datei legitim ist, vergleichen Sie sie mit einem frischen WordPress-Download. WP-CLI macht das einfach: wp core verify-checksums prüft alle Kerndateien und meldet Abweichungen.

Schritt 3: Hintertüren (Backdoors) finden

Angreifer hinterlassen oft Backdoors, um nach der Bereinigung wieder Zugang zu bekommen. Typische Backdoor-Muster:

// Häufige Backdoor-Funktionen
eval(base64_decode(...))
system($_GET['cmd'])
passthru($_POST['exec'])

Diese Muster mit grep auf dem Server suchen:

grep -r "eval(base64_decode" /pfad/zu/wordpress/
grep -r "system(\$_GET" /pfad/zu/wordpress/

Google Search Console: Sicherheitsproblem melden und beheben

Wenn Google einen Sicherheitsproblem-Eintrag in der Search Console gemeldet hat:

  1. Search Console → Sicherheit und manuelle Maßnahmen → Sicherheitsprobleme
  2. Problem ansehen und verstehen (Art der Malware, betroffene URLs)
  3. Bereinigung durchführen (wie oben beschrieben)
  4. „Überprüfung anfordern” klicken
  5. Google prüft innerhalb von 24–72 Stunden

Wichtig: Fordern Sie die Überprüfung erst an, wenn Sie sicher sind, dass alle Malware entfernt wurde. Eine abgelehnte Überprüfung verzögert die Wiederherstellung.

Blacklist-Einträge entfernen

Gehackte Websites landen oft auf Blacklists. Die wichtigsten prüfen und entfernen:

Google Safe Browsing: Wird automatisch durch die Search Console-Überprüfung bereinigt.

McAfee SiteAdvisor: Unter siteadvisor.mcafee.com melden und Überprüfung anfordern.

Spamhaus: Für E-Mail-Probleme nach Hack (falls Ihre Domain für Spam missbraucht wurde).

Sucuri Blacklist Monitor: Prüft Ihre Domain gegen 10+ Blacklists und zeigt an, wo Sie gelistet sind.

Vollständige Entfernung von allen relevanten Blacklists dauert typischerweise 3–7 Tage nach beantragter Überprüfung – sofern die Website sauber ist.

SEO-Schäden durch den Hack quantifizieren

Analysieren Sie in der Google Search Console, welche URLs während des Hacks betroffen waren:

  • Wurden neue Spam-URLs indexiert? Diese müssen mit der URL Inspect Tool deindexiert werden
  • Welche Rankings sind eingebrochen? (Vergleich über Zeit in Search Analytics)
  • Gibt es noch ausgehende Links zu Spam-Seiten im Inhalt?

Präventive Maßnahmen nach der Bereinigung

Ein Hack ist ein Warnsignal, das Sie ernst nehmen müssen:

Sofort umsetzen:

  • WordPress, alle Plugins und Themes aktuell halten (automatische Updates aktivieren)
  • Starke, einzigartige Passwörter für alle Konten
  • Zwei-Faktor-Authentifizierung für Admin-Accounts
  • Anzahl der Admin-Nutzer minimieren (nur wer wirklich Admin-Rechte braucht)
  • Sicherheits-Plugin installieren (Wordfence, iThemes Security oder Sucuri)

Mittelfristig:

  • Regelmäßige automatische Backups (täglich für aktive Websites)
  • Backup-Kopien außerhalb des Webservers speichern
  • Datei-Integrität monitoring (Wordfence erkennt geänderte Dateien)
  • PHP-Datei-Ausführung in /uploads/ blockieren via .htaccess:
<Files "*.php">
    Deny from all
</Files>

Angriffsvektor verstehen: Nach der Bereinigung lohnt es sich herauszufinden, wie Angreifer eingedrungen sind. Die häufigsten Ursachen: veraltete Plugins (60 %), schwache Passwörter (20 %), unsichere Themes (15 %), Webserver-Sicherheitslücken (5 %). Logdateien des Webservers und der WordPress-Datenbank können den Angriffsweg zeigen.

WordPress-Hack bereinigen und Rankings retten?

Wir bereinigen gehackte WordPress-Installationen, entfernen Blacklist-Einträge und stellen Rankings wieder her – schnell und zuverlässig.

WordPress-Notfall anfragen

Weitere Artikel zu WordPress SEO