Gehackte Websites merken es oft jahrelang nicht.
Die meisten gehackten Websites sehen völlig normal aus. Die Angreifer wollen nicht auffallen – sie verdienen im Hintergrund an Ihren Besuchern: leiten sie auf Werbe- und Phishing-Seiten um, verstecken Spam für Google oder greifen Daten ab. Ein realer Fall aus meiner Arbeit: ein Betrieb aus Oberösterreich, dessen Website über sieben Jahre unbemerkt kompromittiert war. Der kostenlose Website-Check prüft Ihre Seite jetzt auch auf typische Hack-Symptome – und wenn es ernst ist, übernehme ich Analyse, Bereinigung und Absicherung.
7 Jahre unbemerkt gehackt
Einfallstor: ein veraltetes Formular-Plugin mit einer Sicherheitslücke aus 2015. Darüber wurden vier getarnte Backdoors eingerichtet – als Cache-Plugin und „Sicherheits-Scanner" verkleidet – und über 4.000 Konfigurationsdateien manipuliert. Besucherdaten flossen bei jedem Seitenaufruf an einen Server in den USA.
Backups retten nicht
Die Schadsoftware überlebte drei Backup-Zyklen unbemerkt – jedes „rettende" Backup enthielt die Backdoors bereits. Wer nur zurückspielt, statt den Infektionszeitpunkt zu finden, installiert den Angreifern ihren Zugang gleich wieder mit.
Google, Kunden, DSGVO
Gehackte Websites verlieren Rankings (Cloaking, Spam), landen auf Warnlisten und verspielen Kundenvertrauen. Fließen Besucherdaten ab, ist das in der Regel ein meldepflichtiger Datenschutzvorfall (Art. 33 DSGVO, 72-Stunden-Frist). Je länger es unentdeckt bleibt, desto teurer wird es.
Was der Malware-Check von außen sieht.
Der Website-Check untersucht Ihre Seite in Sekunden auf typische Hack-Symptome – ehrlich gesagt mit einer klaren Grenze: Backdoor-Dateien am Server sind von außen prinzipiell unsichtbar. Ein unauffälliges Ergebnis heißt „keine äußeren Anzeichen", nicht „garantiert sauber". Bei konkretem Verdacht gehört die Analyse direkt auf den Server.
Schadcode-Muster
Verschleiertes JavaScript (eval/atob-Ketten, Packer, Hex-Blöcke), unsichtbare Frames und Skripte, die von Wegwerf-Domains oder Marken-Fälschungen laden – die Handschrift automatisierter Infektionen.
Spam & versteckte Links
Eingeschleuste Pharma-, Casino- und Kredit-Begriffe sowie unsichtbare Linkblöcke – klassischer „SEO-Spam", mit dem Angreifer fremde Seiten über Ihre Domain pushen.
Cloaking-Test
Die Seite wird zweimal abgerufen – einmal als Besucher, einmal als Googlebot. Zeigt Ihre Website Google anderen Inhalt, ist das ein starkes Hack-Indiz und ein Abstrafungsgrund.
CMS-Angriffsfläche
Veraltete, öffentlich sichtbare WordPress-Versionen sind das häufigste Einfallstor für automatisierte Angriffe – der Check erkennt sie und ordnet das Risiko ein.
Analysieren. Bereinigen. Absichern.
Wenn der Verdacht sich bestätigt, zählt Tempo – aber Gründlichkeit entscheidet, ob der Angreifer wirklich draußen ist. So gehe ich vor:
Analyse & Sofortmaßnahmen
Infektionszeitpunkt und Einfallstor finden, Backdoors und manipulierte Dateien identifizieren. Sofort: kompromittierte Zugänge sperren, Passwörter und Sicherheitsschlüssel erneuern, bei akuter Gefahr die Website kontrolliert offline nehmen.
Bereinigung
Backdoors und Schadcode entfernen, manipulierte Konfigurationsdateien bereinigen, CMS-Kerndateien frisch aufspielen, Plugins und Themes auf saubere aktuelle Versionen bringen, Datenbank auf versteckten Schadcode prüfen.
Absicherung
Damit es nicht wieder passiert: Updates-Routine, Zwei-Faktor-Authentifizierung für alle Admin-Zugänge, Web Application Firewall, PHP-Sperre in Upload-Verzeichnissen – und auf Wunsch laufende Überwachung. Dazu Hinweise zur DSGVO-Meldepflicht, falls Daten betroffen sind.
Häufige Fragen zu gehackten Websites.
Woran merke ich, dass meine Website gehackt wurde?
Warnzeichen: Google warnt vor der Seite oder listet fremde Inhalte (Pharma, Casino), Besucher werden umgeleitet, die Seite wird plötzlich langsam, der Hoster meldet Auffälligkeiten. Aber: Viele Hacks bleiben jahrelang unsichtbar – die Angreifer wollen gerade nicht auffallen. Deshalb lohnt der Check auch ohne akuten Verdacht.
Reicht es, ein Backup einzuspielen?
Nur wenn das Backup nachweislich älter ist als die Infektion – und genau das weiß man ohne Analyse nicht. Im realen Fall oben steckte die Schadsoftware bereits in allen drei vorhandenen Backup-Generationen. Erst Infektionszeitpunkt bestimmen, dann entscheiden.
Was kann der Online-Check – und was nicht?
Er erkennt äußere Symptome: Schadcode-Muster, Spam-Injektionen, Cloaking, veraltete CMS-Versionen. Backdoors am Server selbst sieht kein externer Scanner der Welt – dafür braucht es Zugriff auf die Dateien. Ein grünes Ergebnis ist also eine gute Nachricht, aber kein Persilschein.
Bin ich zu klein, um angegriffen zu werden?
Nein – das ist das häufigste Missverständnis. Diese Angriffe sind automatisiert: Bots durchsuchen das Netz nach bekannten Sicherheitslücken und infizieren, was verwundbar ist. Ob dahinter ein Konzern oder ein Ein-Personen-Betrieb steht, ist den Angreifern egal; verdient wird an Ihren Besuchern.
Muss ich einen Hack melden?
Wenn personenbezogene Daten betroffen sind (z. B. abgeflossene Besucherdaten), besteht in der Regel eine Meldepflicht an die Datenschutzbehörde binnen 72 Stunden (Art. 33 DSGVO). Ich weise Sie bei der Analyse auf entsprechende Anhaltspunkte hin – die rechtliche Bewertung im Einzelfall gehört zu einem Anwalt oder Ihrer Interessenvertretung. Das ist keine Rechtsberatung.