What is a 'pharma hack'?

A pharma hack is an SEO-spam injection that uses your compromised WordPress site to rank pharmacy-related keywords — Viagra, Cialis, Levitra, Oxycodone, generic erectile-dysfunction drugs. The attacker exploits your domain's existing authority to push their drugstore pages in Google. The site owner usually finds out when search results for their domain start returning pharmacy listings.

Warum erscheint der Spam nur bei Google und nicht auf meiner Seite?

The injection cloaks. A loader on the server checks the User-Agent and HTTP referrer. Googlebot sees the spam pages. Regular visitors see your normal site. That's why pharma hacks often go unnoticed for weeks — you only see them once Google emails a security warning or rankings collapse.

Vergibt Google meiner Seite, nachdem der Pharma-Hack entfernt ist?

Ja, sobald der Spam weg ist. Wir reichen bei jeder Bereinigung einen Reconsideration-Antrag bei Google Safe Browsing ein und beantragen die Indexierung über die Search Console. Die schlechten URLs liefern 404 und fallen über die nächsten Crawl-Zyklen aus dem Index. Die meisten Seiten erholen sich innerhalb weniger Wochen.

Wie kommt ein Pharma-Hack rein?

Fast immer ein verwundbares Plugin oder geleakte Admin-Zugangsdaten. Der WordPress-Core selbst ist selten der Eintrittspunkt. Jede Bereinigung identifiziert, was es war, und schließt das Loch — ohne diesen Schritt wird dieselbe Seite innerhalb von Wochen durch dieselbe Tür neu infiziert.

// PHARMA-HACK · WORDPRESS · BEREINIGT

Pharma hack removal.

Manuelle Entfernung der Pharma-Hack-Injektion. Bereinigung von Datei, Datenbank und Sitemap. Eintrittsvektor identifiziert. Antrag auf erneute Prüfung bei Google Safe Browsing eingereicht. Pauschal $279.

Bereinigung starten → Wie der Pharma-Hack funktioniert

§ 01 — MECHANISMUS

Getarnter SEO-Spam, der in deinen Dateien und deiner Datenbank sitzt.

Der Pharma-Hack ist eine langlaufende SEO-Spam-Kampagne. Der Angreifer platziert einen PHP-Loader auf dem Server und schleust Spam-Inhalte in die Tabellen wp_posts und wp_options. Der Loader prüft, wer jede Seite anfragt, und liefert nur an Googlebot Drugstore-Inhalte aus.

Zwei Folgen: Die Autorität deiner Domain wird gekapert, um Pharma-Keywords zu ranken, und deine eigenen Seiten ranken schlechter, weil die Spam-Seiten häufiger gecrawlt werden als deine.

// wp_options — autoloaded Pharma-Payload

01 SELECT option_name, LENGTH(option_value) AS sz
02 FROM wp_options
03 WHERE autoload = 'yes'
04 ORDER BY sz DESC LIMIT 20;
05
06 // Unusually large autoloaded rows you don't recognise = inspect.
07 // Pharma payloads often live there, encoded.

§ 02 — WAS WIR ENTFERNEN

Jeden Ort, an dem sich der Pharma-Hack versteckt.

[ DATEI-LOADER ]
Verschleierter PHP-Loader, entfernt durch Lesen des Datei-Diffs gegen eine saubere WordPress-Installation.
[ WP_POSTS ]
In die Datenbank eingeschleuste Spam-Posts und -Entwürfe — entfernt. Legitime Inhalte unangetastet.
[ WP_OPTIONS ]
Autoloaded Payloads entfernt. Theme-Footer-Injektionen und feedwordpress-artige Spam-Options geprüft und bereinigt.
[ SITEMAP ]
Synthetische Pharma-URLs aus sitemap.xml entfernt. Saubere Sitemap neu erzeugt und erneut bei der Search Console eingereicht.
[ ANTRAG ]
Antrag auf erneute Prüfung bei Google Safe Browsing eingereicht. Indexierung der betroffenen URLs über die Search Console angefragt.
[ VEKTOR GESCHLOSSEN ]
Wir identifizieren das Plugin oder die Zugangsdaten, durch die der Angreifer reinkam, und schließen diese Tür, bevor wir abschließen.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →