1. Pharma-Spam in Google-Suchergebnissen
Das klassische Pharma-Hack-Symptom: Du suchst bei Google nach deiner Domain (z.B. `site:deine-domain.de`) und siehst plötzlich Suchergebnisse mit Texten über Viagra, Cialis, Online-Casinos oder anderen Spam-Themen. Diese Inhalte sind nicht auf deiner Site sichtbar — sie werden nur Google-Bots gezeigt (Cloaking). Die Lösung: SSH-Zugang holen, Datei-Scan auf Pharma-Patterns durchführen, infizierte Theme- und Plugin-Files identifizieren.
Suche bei Google nach `site:deine-domain.de viagra` oder `site:deine-domain.de casino`. Wenn Treffer kommen: du bist gehackt.
2. Unbekannte Admin-User in wp-admin
Logge dich in dein WordPress-Backend ein und prüfe unter "Benutzer → Alle Benutzer" alle Admin-Accounts. Findest du dort User, die du nicht angelegt hast — oft mit Namen wie "wpadmin", "support", "admin2" — ist das ein klares Hack-Anzeichen. Die Backdoor ist aktiv, der Angreifer kann jederzeit zurückkommen. Sofortmaßnahme: alle unbekannten User löschen, eigenes Admin-Passwort ändern, alle aktiven Sessions invalidieren.
3. Mobile Weiterleitungen auf zwielichtige Sites
Viele moderne Hacks zeigen ihre Wirkung nur auf bestimmten Devices oder unter bestimmten Bedingungen. Ein häufiges Pattern: Mobile-Besucher (über Smartphone) werden auf Casino-Sites, Pharma-Shops oder andere zwielichtige Domains weitergeleitet — Desktop-User merken nichts. Test: Öffne deine Site auf einem Smartphone (nicht im Inkognito-Modus, sondern frisch). Wirst du weitergeleitet? Hack.
4. Defacement / fremde Inhalte auf der Startseite
Die offensichtlichste Hack-Variante: Du rufst deine Site auf und siehst fremde Texte, Bilder oder politische Botschaften. Klassisch ist das von Hacker-Gruppen, die "ihre" Botschaft hinterlassen wollen. Lösung: per FTP/SSH die `index.php` und Theme-Files mit Original-Versionen vergleichen, Modifikationen rückgängig machen, Eintrittsvektor schließen.
5. Empfänger melden Spam-Mails von deiner Domain
Bekannte oder Kunden schreiben dir: "Du hast mir gerade eine Mail mit Anhang geschickt, da ist was nicht in Ordnung." Du hast natürlich nichts versandt — aber dein kompromittierter Server schickt automatisch Phishing-Mails über deine Domain. Folge: deine Domain landet auf Blacklists, eigene legitime Mails kommen nicht mehr an. Sofort: Mail-Versand auf Server-Ebene prüfen, Spam-Skripte identifizieren und entfernen.
6. Google Safe-Browsing-Warnung
Wenn Chrome, Firefox oder Safari beim Aufruf deiner Site eine "Diese Website kann deinen Computer schädigen"-Warnung zeigen, hat Google die Site als unsicher eingestuft. Das passiert, wenn Google bei einem Scan Malware findet. Die Folge: Traffic bricht über Nacht ein, Mailprogramme blockieren Links zu deiner Domain. Recovery: Hack bereinigen, dann in der Search Console einen Reconsideration-Request einreichen — typischerweise 1-2 Wochen bis Aufhebung.
7. Verdächtige Datei-Modifikationen
Plötzlich geänderte `wp-config.php`, `.htaccess`, `index.php` oder Theme-Dateien sind ein klares Hack-Symptom. Wenn du nichts geändert hast, der Modifikations-Zeitstempel aber neu ist: Hack. Auch versteckte PHP-Files mit verdächtigen Namen (`xx.php`, `wp-feed.php`, `php`) im wp-content-Verzeichnis sind Indikatoren.
8. Site plötzlich deutlich langsamer
Wenn deine Site ohne erkennbaren Grund deutlich langsamer wird, kann das Cryptojacking sein — Malware nutzt deine Server-CPU oder die CPU deiner Besucher zum Mining von Kryptowährungen. Ein anderer Grund: dein Server wird für Spam-Versand oder DDoS-Angriffe missbraucht. Beides: dein Server hat plötzlich viel mehr Last als normal.
9. Unbekannte Plugins in wp-admin
Im WordPress-Backend unter "Plugins → Installierte Plugins" plötzlich Plugins mit komischen Namen, die du nicht installiert hast? Oft als WordPress-Core-Plugin getarnt (z.B. "wp-system-files", "wp-mail-helper"). Diese sind die Backdoor selbst. Sofort deaktivieren und löschen — aber der zugrunde liegende Hack wird damit nicht entfernt.
10. Auffällige Server-Logs
In den Server-Logs siehst du plötzlich viele POST-Requests an wp-admin/admin-ajax.php oder wp-login.php aus verschiedenen IPs. Das ist Brute-Force oder Backdoor-Nutzung. Genauso verdächtig: viele 404-Requests auf bekannte Vulnerability-Pfade (z.B. `/wp-content/plugins/X/exploit.php`).
11. Versteckte iframes im HTML
Wenn du den Quellcode deiner Frontpage anschaust und unten oder oben einen `<iframe>`-Tag mit einer fremden Domain siehst (oft als `style="display:none"` versteckt), ist deine Site Teil einer Malware-Distribution. Solche iframes laden Schadcode auf Besucher-Browser.
12. Plötzlicher Traffic-Anstieg ohne Grund
In Analytics oder Search Console siehst du Traffic-Spikes auf URLs, die du nicht kennst. Oft sind das die Pharma-Pages, die der Hack auf deiner Domain platziert hat. Diese URLs ranken in Google für Spam-Keywords und ziehen unerwünschten Traffic.