KundeHandwerksbetrieb (anonym) BrancheHandwerk · eigener Online-Shop SystemWordPress / WooCommerce BeziehungSEO-Erstkunde, langjährig

Gemeldet war ein kaputter Bestellprozess. Gefunden haben wir einen Shop, der seit Jahren gekapert war.

Ein Handwerksbetrieb meldete Zahlungsprobleme im Shop. Beim Reinschauen fanden wir 24.476 versteckte Spam-Einträge — für Besucher unsichtbar, für Google lesbar. Wir haben den Shop in einem Durchgang bereinigt, ohne einen einzigen echten Datensatz zu verlieren.

Sicherheits-Check anfragen Wie der Angriff lief

Der Befund in Zahlen

Gemeldet war es harmlos. Gefunden haben wir etwas anderes.

Der Betrieb kam vor Jahren über SEO zu uns und baute später einen eigenen WooCommerce-Shop. In der Corona-Zeit stockte die Zusammenarbeit, aber der Kontakt riss nie ab. Eine kleine Folgeanfrage brachte uns zurück auf die Seite — und damit zum Befund.

Was gemeldet wurde

Im Shop ließen sich keine Bestellungen mehr sauber abschließen. Die Kreditkartenzahlung funktionierte nicht. Ein kleines Stundenpaket sollte es richten — eine Routine-Aufgabe, so schien es.

Was wir vorgefunden haben

In der Datenbank lagen Tausende Einträge ohne Bezug zum Handwerk. Ein Administrator-Konto, das niemand kannte. Versteckter Casino-Text mitten in echten Produkten. Die Seite war nicht kaputt — sie war gekapert.

Neu aufsetzen, oberflächlich säubern — oder forensisch bereinigen.

Option A

Neu aufsetzen

Alles wegwerfen, von vorn beginnen.

Risiko echte Daten + SEO-Verlauf weg
Zeit Wochen
Kosten hoch
Folge gewachsene Inhalte verloren
Option B

Nur sichtbaren Spam löschen

Die offensichtlichen Spam-Seiten entfernen.

Risiko Befall kommt zurück
Zeit gering
Kosten gering kurzfristig
Folge Backdoor bleibt offen
Option C

Forensisch säubern & Ursache schließen

DB + Dateisystem prüfen, chirurgisch bereinigen, Lücke schließen.

Risiko im Code kontrollierbar
Zeit Kernbereinigung an 1 Tag
Kosten Bruchteil von A
Folge Daten bleiben, Seite gehärtet

Kein einzelner Moment. Ein leiser Prozess über Jahre.

Phase 01
Der Einbruch

Über eine Plugin-Lücke verschaffen sich die Angreifer Zugang. Sie legen ein stilles Benutzerkonto an und warten ab.

um 2019
Phase 02
Die erste Injektion

Versteckter Casino-Text wandert in die Shop-Seite. Per CSS unsichtbar, für Google voll lesbar.

Mai 2021
Phase 03
Der Test

Die Angreifer schreiben Zufallstext in die Datenbank. So prüfen sie, ob jemand reagiert. Niemand reagiert.

2022
Phase 04
Die Skalierung

Laufend neue Casino-Beiträge in über zehn Sprachen. Im April 2026 ein frisches Administrator-Konto.

bis 2026

Was die Bereinigung konkret bedeutet

Wir haben den Befall herausoperiert — nicht die Seite weggeworfen.

Vor jeder Löschung haben wir gegen die echten Shop-Inhalte abgesichert. Alle 23 echten Produktkategorien blieben unberührt. Ein Dateisystem-Audit zeigte: kein Backdoor-Code. Der Angriff lief ausschließlich über die Datenbank.

// cleanup_log · production 
// entfernt aus der Datenbank
spam_pages: 17
spam_posts: 293 + 82
spam_categories: 24.476
hidden_divs: 6 // echte produkte
rogue_accounts: 2
typo_redirect: 1

// integrität nach bereinigung
real_categories: 23
file_backdoors: 0
data_loss: 0
status: "clean"
Audit · DB + Dateisystem STATUS · CLEAN

Stack & Werkzeuge.

Plattform

WordPress-Shop

  • WordPress + WooCommerce
  • Flatsome-Theme
  • ~280 echte Produkte
  • gewachsene Installation
Forensik

Audit & Bereinigung

  • Datenbank-Audit in 5 Stufen
  • Dateisystem-Scan auf Webshells
  • Benutzerkonto-Review
Härtung

Damit es nicht wiederkommt

  • eigene Login-Adresse + 2-Faktor
  • xmlrpc abgeschaltet
  • Alarm bei neuem Admin-Konto
  • Bot-Schutz + Datei-Integrität

Drei Lehren, die diesen Fall wiederholbar machen.

01 · Hinschauen schlägt Reparieren. Ein unbeaufsichtigtes System verfällt still. Der Angriff nistete sich in der ungepflegten Phase ein.

02 · Black Hat SEO trifft den Ruf. Kein Diebstahl von Geld oder Daten — Missbrauch der Domain-Reputation. Der Schaden zeigt sich über Jahre in der Sichtbarkeit.

03 · Beziehung schlägt Transaktion. Der Kontakt riss nie ab. Aus einer kleinen Folgeanfrage wurde die Rettung der Seite.

Häufige Fragen

Läuft auf deiner Seite etwas, das du nicht siehst?

Wir schauen uns deine WordPress- oder WooCommerce-Installation an: versteckte Inhalte, fremde Konten, Datenbank-Altlasten, Sichtbarkeits-Verlauf. Du bekommst einen klaren Befund.

Sicherheits-Check anfragen

// weiterführend

Passende Artikel aus unserem Blog