Vor Kurzem erreichte uns ein dringender Hilferuf: Die Betreiberin eines Onlineshops meldete sich, weil ihre Website in den Google Suchergebnissen mit ungewöhnlichen und unseriösen Sitelinks (das sind die zusätzlichen Links, die unterhalb eines Suchergebnisses angezeigt werden) ausgespielt wurde.
Die Links führten zu Angeboten für Potenzmittel, die absolut nichts mit dem eigentlichen Sortiment zu tun hatten. Ein WordPress Redirect Hack? In diesem Ratgeber zeigen wir Dir, wie Du eine gehackte WordPress Seite retten kannst und was Du beachten solltest, um nicht gehackt zu werden.
Aber schauen wir es uns einmal genauer an! Das Ganze sah in der Google Suche so aus:
So erschien die Website nach dem WordPress Hack in den Suchergebnissen (SERPs) bei Google.
Besucher:innen wurden direkt auf einen dubiosen Pharmashop weitergeleitet, wenn sie auf diese Sitelinks klickten. Unsere erste Vermutung: ein gezielter WordPress Website Hack.
Offenbar hatte sich jemand Zugriff auf die Seite verschafft, versteckte Unterseiten erstellt und diese auf externe Seiten umgeleitet. Das Problem: Die neuen Seiten wurden bereits von Google indexiert, der Webshop rankte zu diesem Zeitpunkt zudem bereits für einige dubiose Keywords.
Der Onlineshop rankte nach dem WordPress Redirect Hack für einige dubiose Keywords. Screenshot: Sistrix
Hinweise auf den Hackerangriff im WordPress Backend
Ein Blick ins WordPress-Backend bestätigte unseren Verdacht. Zahlreiche Plugins waren installiert. Aber sie wurden seit Monaten nicht aktualisiert. Das ist ein Sicherheitsrisiko. Besonders, wenn es sich um weitverbreitete Plugins handelt. Diese stehen häufiger im Visier von Hacker:innen.
Noch gravierender: Es gab keine regelmäßigen Backups der Seite. Ein Komplettausfall hätte also schwerwiegende Folgen gehabt. Auch der Hosting-Anbieter hatte inzwischen eine Sicherheitswarnung ausgegeben, die auf einen Angriff auf das Netzwerk hindeutete.
Was sagt Google dazu? Blick in die GSC
In der Google Search Console (GSC) verschafften wir uns einen Überblick. Wir wollten wissen, welche URLs im Index der Suchmaschine gelandet waren und ob diese mit Weiterleitungen versehen wurden.
In der GSC ist ersichtlich, dass beim WordPress Redirect Hack neue Seiten angelegt und weitergeleitet wurden.
Tatsächlich ließ sich hier außerdem nachvollziehen, dass der Angriff vermutlich bereits Mitte März stattgefunden hatte. Die Google-Suche verzeichnete ab diesem Zeitpunkt erste Impressionen und sogar Klicks auf die betroffenen Seiten.
Die Website bekam Impressionen und Klicks durch dubiose Suchbegriffe.
Spannend: Weder Sicherheitsprobleme noch manuelle Maßnahmen wurden in der Search Console angezeigt. Das zeigt einmal mehr, dass Google nicht immer sofort erkennt, wenn eine Website kompromittiert wurde.
So sind wir nach dem WordPress Redirect Hack vorgegangen
Nach der Analyse folgte die Sofortmaßnahme: ein vollständiges Backup der gehackten Website - für den Fall, dass beim Aufräumen etwas schiefläuft. Im Anschluss daran haben wir alle Plugins entfernt, die zwar installiert waren, aber nicht aktiv. Danach führten wir die längst überfälligen Updates der verbleibenden Plugins durch.
Im nächsten Schritt prüften wir die .htaccess-Datei - hier hätten die Weiterleitungen theoretisch eingerichtet sein können. Doch die Datei war unauffällig. Also starteten wir einen Scan der Website mit dem Sicherheits-Plugin Wordfence. Und tatsächlich: Mehrere zentrale Core-Dateien wie wp-load.php und functions.php waren manipuliert worden. Zusätzlich hatten die Angreifer eigene Dateien im WordPress-Verzeichnis abgelegt. Bingo - hier lag der Ursprung des Hacks.
Auszug des Scans der gehackten Website mit Wordfence.
Mithilfe von Wordfence konnten die verdächtigen Dateien schnell aufgespürt und gelöscht werden.
Anschließend erstellten wir ein Backup der nun bereinigten Seite. Zur Sicherheit baten wir die Kundin, alle Zugangsdaten zu ändern, und zwar sowohl für WordPress als auch für den Hosting-Account und verbundene Dienste.
Und was ist mit den manipulierten Seiten?
Die von den Hacker:innen angelegten Seiten waren zwar weiterhin im Suchmaschinenindex, führten jetzt jedoch entweder zu internen Shopseiten oder zeigten einen 404-Fehler. Das bedeutet, dass die Verlinkung auf den fremden Shop entfernt wurde und der direkte Schaden zunächst behoben ist.
Solange diese Seiten jedoch noch in den Suchergebnissen auftauchen, bleiben sie potenziell problematisch. Insbesondere kleinere Websites werden nicht sehr häufig (vollständig) neu gecrawlt. Es kann daher Tage oder sogar Wochen dauern, bis Google die manipulierten Einträge entfernt. Man kann allerdings etwas nachhelfen (ohne Garantie, dass es schneller geht).
Über die Google Search Console kann gezielt beantragt werden, bestimmte URLs aus dem Index zu löschen. Das sollte in solchen Fällen unbedingt gemacht werden, um weitere Reputationsschäden möglichst zu vermeiden. Schließlich wirken Suchergebnisse mit „schmutzigen“ Metadaten oder irreführenden Titeln extrem unprofessionell und können das Vertrauen potenzieller Kund:innen nachhaltig beschädigen.
Was kannst Du aus diesem WordPress Redirect Hack lernen?
Halte Dein WordPress-System aktuell
Regelmäßige Updates sind extrem wichtig. Das gilt nicht nur für WordPress selbst, sondern auch für Plugins und Themes. Bekannte Sicherheitslücken werden oft schnell geschlossen, vor allem bei beliebten Erweiterungen. Doch die Updates müssen auch aktiv eingespielt werden.
Reduziere die Anzahl Deiner Plugins
Jedes zusätzliche Plugin erhöht die Angriffsfläche Deiner Website. Wenn Du ein Plugin nicht mehr nutzt, deaktiviere es nicht nur, sondern lösche es vollständig. So minimierst Du potenzielle Schwachstellen.
Kein Backup, kein Mitleid
Ohne aktuelle Sicherungen kann ein Angriff existenzbedrohend sein. Erstelle regelmäßige Backups - idealerweise automatisiert - und speichere sie an einem sicheren Ort. Im Ernstfall kannst Du so schnell eine saubere Version Deiner Website wiederherstellen.
Verwende sichere Passwörter
Ein schwaches Passwort ist eine Einladung für Hacker:innen. Verwende lange, komplexe Kennwörter und verzichte auf Wiederholungen. Tools wie 1Password helfen Dir, Passwörter sicher zu speichern und zu verwalten.
Wurde Deine Website gehackt oder möchtest Du vorbeugen, bevor es zu spät ist? Dann sprich uns an - wir helfen Dir bei der Absicherung, Wartung und Wiederherstellung deiner WordPress-Seite.