Ein routinierter Blick in Deine Google Search Console. Und dann das: Unerklärliche Spam-URLs haben sich in den Google-Index eingeschlichen, Deine Inhalte sind kompromittiert und Dein digitales Lebenswerk steht auf dem Spiel.
Der erste Schock verfliegt schnell, und an seiner Stelle tritt die dringende Frage: Was tun? Wie kannst Du dieses Chaos wieder in den Griff bekommen?
In diesem Artikel führe ich Dich Schritt für Schritt durch den Prozess, um den Schaden zu beheben, die Spam-URLs loszuwerden und Deine Website nicht nur wieder sauber, sondern sogar sicherer als zuvor zu machen.
Ich bin sicher, Du hast es eilig. Also lass uns gleich einsteigen.
Erste Einschätzung
Wenn Deine Website gehackt wurde, musst Du dir erstmal einen Überblick über den Schaden verschaffen. Oft erkennst Du einen Hack an einem oder mehreren dieser Anzeichen:
• Spam-URLs in Googles Index: Tausende unerwünschte Seiten, oft mit fremdsprachigen Inhalten.
• Warnungen in der Google Search Console: Hinweise auf gehackte Inhalte oder verdächtige Aktivitäten.
• Kompromittierte Seiten: Versteckter oder getarnter Content, der nicht sofort sichtbar ist.
• Wiederkehrende Muster: Zum Beispiel Spam-URLs, die alle mit einem „+“-Zeichen beginnen.
Nachdem Du das Problem jetzt erkannt und Dir einen Überblick verschafft hast, gilt es schnell zu handeln.
Schritt 1: Backup erstellen und Website sichern
Bevor Du Änderungen vornimmst, solltest Du sofort ein vollständiges Backup Deiner gehackten Website erstellen. So sicherst Du nicht nur wichtige Daten, sondern bewahrst auch Beweise auf, die Dir später bei der Analyse und Prävention helfen können.
Backup erstellen
• Komplettes Abbild der Website sichern
• Beweise für den Hack dokumentieren
• Mögliche Schwachstellen und Angriffsmethoden später identifizieren
Passwörter ändern
Sobald das Backup steht, ändere alle Passwörter – und zwar sofort. Das betrifft:
- Admin/CMS-Konten: Zugriff auf das Backend schützen
- FTP/SFTP-Zugang: Dateiübertragungen sichern
- Datenbank-Zugangsdaten: Unbefugten den Datenbankzugriff verwehren
- Hosting-Panel-Konten: Administrative Tools absichern
Unbefugte Benutzer entfernen
Gehe alle Benutzerkonten durch und entferne alle, die nicht autorisiert sind. So stellst Du sicher, dass keine Hintertür offenbleibt.
Schritt 2: Website-Dateien bereinigen
Jetzt geht es darum, alle von Hackern hinzugefügten Dateien manuell zu überprüfen und zu entfernen. Dabei solltest Du folgende Maßnahmen ergreifen:
Manuelle Inspektion
- Durchsuche alle Dateien und Ordner. Bei WordPress Websites wirst du vermutlich einige .php files mit kryptischen Namen in Deinem Webspace finden. Mit denen kannst Du anfangen. Achte aber darauf, keine Core Files zu löschen!
- Entferne unbekannten Code, Programme, Ordner und Plugins. Es kann auch sein, dass Code zum Beispiel in Deiner functions.php bei WordPress hinzugefügt wurde. Du solltest also auch die Core Files manuell durchschauen. Das ist lästig und braucht Zeit, ist aber notwendig.
Software aktualisieren
- CMS-Core-Dateien: Aktualisiere Deine WordPress-, Joomla- oder andere CMS-Kerndateien
- Themes und Templates: Sorge dafür, dass alle Designs auf dem neuesten Stand sind
- Plugins und Erweiterungen: Aktualisiere alle Zusatzmodule, um Sicherheitslücken zu schließen
Schritt 3: Richtige HTTP-Statuscodes implementieren
Um die gehackten URLs nun möglichst schnell zu deindexieren, gehst Du wie folgt vor:
Fehlercodes richtig einsetzen
Wenn Du den Content einfach nur löschst, wirst Du bald tausende 404 Fehler in der Google Search Console bekommen. Das ist nicht ideal, da wir diese Fehler grundsätzlich vermeiden wollen und je nach Anzahl der Spam URLs das auch problematisch mit dem Crawl Budget Deiner Website werden kann. Zudem bleiben die URLs so noch lange Zeit indexiert.
Besser ist es also, Du setzt die gehackten URLs auf Statuscode 410 „Gone“.
Damit sagst Du, dass der Content endgültig entfernt wurde und sorgst für eine schnelle Deindexierung.
Serverseitige Lösungen für Muster-URLs
Für URLs, die einem bestimmten Muster folgen (z. B. alle, die mit „+“ beginnen), kannst Du serverseitig agieren:
- Bei Apache: Verwende .htaccess-Regeln, z. B. RewriteRule ^\+ – [G], um den 410 Gone Status zurückzugeben.
- Bei Nginx oder anderen Servern: Konfiguriere ähnliche Regeln, die den gleichen Effekt haben.
Automatisch alle 404s auf 410 setzen: Du kannst auch temporär automatisch einen 410 Fehler, anstelle eines 404 Fehlers ausgeben. WordPress Nutzer können das via dieses Plugin umsetzen.
Wende Dich hier bitte an einen Entwickler, wenn Du nicht weißt was du tust. Andernfalls kannst Du deine Seite hier komplett lahmlegen. Falls du alle 404s automatisch auf 410 gesetzt hast, vergiss nicht, dass wieder zu ändern, nachdem Du die Spam URLs losgeworden bist.
Robots.txt überprüfen
Vielleicht kam Dir auch schon der Gedanke, die Spam URLs einfach über die robots.txt zu blockieren. Der Ansatz ist nicht verkehrt, allerdings solltest Du das vermeiden:
- Stelle sicher, dass Ordner mit Spam-URLs nicht blockiert werden.
- Google-Bots müssen diese URLs erreichen können, um den 404/410-Status korrekt zu erkennen.
- Eine bloße robots.txt-Konfiguration entfernt die URLs nicht aus dem Google-Index.
Schritt 4: Aufräumen in der Google Search Console
Jetzt geht es darum, Google auch aktiv über Deine Bereinigung zu informieren und den Index zu säubern:
Google Search Console verifizieren
Falls noch nicht geschehen, verifiziere Deine Website in der Google Search Console.
Reconsideration Request einreichen:
Reiche einen Antrag auf erneute Überprüfung ein und dokumentiere dabei:
- Alle durchgeführten Reinigungsschritte
- Die Maßnahmen, mit denen Du Deine Seite gegen zukünftige Angriffe absicherst
- Belege für Deine Bereinigungsarbeiten
Wichtige Seiten priorisieren
Reiche Deine Startseite und wichtige Landing-Pages erneut zur Indexierung ein, damit Google den Cache mit Deinen Originalinhalten aktualisiert, falls dieser geändert wurde.
URL Removal Tool nutzen
- Dieses Tool entfernt Spam-URLs vorübergehend aus den Suchergebnissen.
- Bei Entfernung einer großen Anzahl von URLs kannst Du auch ganze Verzeichnisse beantragen, sofern der Spam darin enthalten ist.
- Beachte: Dies ist eine temporäre Lösung – ohne korrekte Fehlercodes erscheinen die URLs nach ca. 90 Tagen wieder.
Schritt 5: Überwachen und Pflegen
Damit hast Du erstmal das Wichtigste getan! Jetzt gilt es, den Fortschritt Deiner „Reinigungsarbeit“ zu überwachen!
Google Search Console im Blick behalten
- Index Coverage Reports prüfen: Beobachte regelmäßig, wie sich die Indexierung entwickelt und ob neue Spam-URLs auftauchen.
- Sicherheitsprobleme überwachen: Achte auf Warnungen und Hinweise in der Search Console, die auf neue Angriffsversuche hindeuten könnten.
- Spam-URLs verfolgen: Sieh Dir an, wann und wie die unerwünschten URLs aus dem Index verschwinden.
Präventive Sicherheitsmaßnahmen umsetzen
- Sicherheitssoftware installieren: Setze auf vertrauenswürdige Security-Plugins oder -Software, um Deine Website zu schützen.
- Regelmäßige Backups: Erstelle regelmäßig vollständige Backups, um im Ernstfall schnell wiederherstellen zu können.
- Starke Passwörter & Zwei-Faktor-Authentifizierung: Nutze komplexe Passwörter und sichere den Zugriff zusätzlich mit einem zweiten Authentifizierungsfaktor ab.
- Software aktuell halten: Aktualisiere alle CMS-Komponenten, Plugins und Erweiterungen, um bekannte Sicherheitslücken zu schließen.
Häufige Fragen
Ich hoffe dieses Tutorial konnte Dir dabei helfen, unerwünschte Spam URLs aus der Google Search Console zu entfernen. Bedenke, dass jeder Fall unterschiedlich ist und Du an einigen Stellen die Lösungsweg ggf. adaptieren musst. Die grundlegenden Schritte bleiben jedoch gleich.
1. Wie lange dauert es, bis der vollständige Cleanup wirksam ist?
Der Bereinigungsprozess kann je nach Schwere des Hacks Tage oder sogar Wochen in Anspruch nehmen. Hier ist Geduld gefragt.
2. Warum sind 410-Statuscodes so wichtig?
Richtig implementierte Fehlercodes signalisieren Google, dass eine Seite nicht mehr existiert. Ohne diese Codes können Spam-URLs weiterhin im Index verbleiben, auch wenn sie nicht mehr aktiv sind.
3. Warum erscheinen manche Spam-URLs nach der Bereinigung weiterhin in der Search Console?
Es ist normal, dass nach der Bereinigung einige Spam-URLs in den Search Console-Berichten auftauchen. Solange sie die korrekten Statuscodes (404/410) zurückgeben, beeinträchtigen sie Deine Rankings nicht.
