Warum erscheint der Spam nur bei Google und nicht auf meiner Seite?

Die Weiterleitung prüft, wer die Seite besucht, bevor sie ausgelöst wird. Sie liest meist User-Agent und Referrer und schlägt nur zu, wenn der Besucher wie ein Suchmaschinen-Klick von einem Handy aussieht. Direkte Aufrufe, Stammbesucher und eingeloggte Admins werden ausgeschlossen — deshalb sieht der Seiteninhaber sie oft nicht.

Ich habe mein Admin-Passwort geändert. Warum läuft die Weiterleitung weiter?

Die Weiterleitung lebt in der Seite selbst, nicht in Ihrem Login. Solange der Code in PHP, der Datenbank oder der .htaccess nicht entfernt ist, werden Besucher dorthin geleitet, wo der Angreifer es bestimmt hat.

Vergibt Google meiner Seite, nachdem der Pharma-Hack entfernt ist?

Ja, sobald der Spam weg ist. Wir reichen bei jeder Bereinigung einen Reconsideration-Antrag bei Google Safe Browsing ein und beantragen die Indexierung über die Search Console. Die schlechten URLs liefern 404 und fallen über die nächsten Crawl-Zyklen aus dem Index. Die meisten Seiten erholen sich innerhalb weniger Wochen.

Wie ist es überhaupt dazu gekommen?

Fast immer ein verwundbares Plugin oder eine geleakte Admin-/FTP-Zugangsdaten-Kombination. Wir identifizieren den genauen Pfad und schließen ihn vor der Übergabe der Seite.

// PHARMA-HACK · WORDPRESS · BEREINIGT

WordPress redirect malware removal.

Manual removal of the redirect. I find how it got in, close it, and write you a report. Flat $279.

Bereinigung starten → Wie der Pharma-Hack funktioniert

§ 01 — MECHANISMUS

Eine entführte Weiterleitung ist schwer zu sehen und leicht teuer zu bezahlen.

Der Angreifer platziert Code in Ihrer Seite, der Besucher auf eine andere Website schickt. Manchmal Betrug, manchmal Affiliate-Spam, manchmal Schlimmeres. Sie schlägt meist nur bei bestimmten Besuchern an — Mobilnutzern, Klicks aus Google, neuen IPs — weshalb der Seiteninhaber sie oft selbst nicht sieht.

Sie kann in einer PHP-Datei, in der Datenbank oder in den Rewrite-Regeln des Servers stecken. Wir prüfen alle drei. Wir entfernen sie, finden heraus, wie sie hereinkam, und schließen diese Tür, bevor wir die Seite zurückgeben.

// wp_options — Sondierung des Weiterleitungsziels

01 SELECT option_name, option_value
02 FROM wp_options
03 WHERE option_name IN ('siteurl', 'home');
04
05 // If either points anywhere other than your domain,
06 // the redirect has already overwritten core URLs.

§ 02 — WAS WIR ENTFERNEN

Drei Orte. Wir prüfen alle drei.

[ PLUGIN-TRIAGE ]

Wir spielen die Weiterleitung mit demselben User-Agent und Referrer nach, der sie auslöst — kein Raten.
[ DATEIEN ]

PHP-Loader in Theme, mu-plugins und wp-includes — durch Diff gegen ein sauberes WordPress entfernt.
[ DATENBANK ]

wp_options.siteurl wiederhergestellt; eingeschleuste Skripte aus wp_posts entfernt; autoloaded Payloads gelöscht.
[ REWRITE-REGELN ]

Schädliche .htaccess-Direktiven entfernt; Schutzregeln ergänzt.
[ GOOGLE-SUCHE ]

Reconsideration bei Safe Browsing eingereicht; betroffene URLs über die Search Console neu indexieren lassen.
[ BERICHT ]

Forensischer Bericht in verständlicher Sprache, Eintrittsvektor identifiziert, was vor der Übergabe geändert werden sollte.

§ PREISE

Pauschal $279. Einmalig. Pro Seite.

[ RESCUE ]

$279

PAUSCHAL · EINMALIG · PRO SEITE

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten →

[ SHIELD ]

$29 / mo

PRO SEITE · JEDERZEIT KÜNDBAR

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Kontakt →