Das Wichtigste in Kürze
- In einem ganz normalen Handwerks-Shop steckten 24.476 versteckte Spam-Einträge — für Besucher unsichtbar, für Google lesbar.
- Die Angreifer wollten kein Geld und keine Kundendaten. Sie wollten den guten Ruf der Domain für fremde Werbung missbrauchen.
- Der Befall lief jahrelang unbemerkt und zog die Sichtbarkeit der Seite bei Google auf etwa ein Drittel herunter.
- Erkennen kannst du so etwas an wenigen, klaren Signalen — wenn du weißt, wonach du schaust.
- Der beste Schutz ist kein Produkt, sondern eine Gewohnheit: regelmäßig hinschauen.
Ein Shop verkaufte Handwerksprodukte. Solide Seite, echte Kunden, normaler Betrieb. In der Datenbank lagen daneben 24.476 Kategorien mit Begriffen aus dem Glücksspiel- und Erwachsenen-Umfeld. Kein Besucher hat je etwas davon gesehen. Google schon.
Worum es bei Black Hat SEO wirklich geht
Die meisten denken bei „gehackt" an gestohlene Kreditkarten. Black Hat SEO funktioniert anders. Der Angreifer will deine Daten gar nicht. Er will deinen Ruf.
Eine etablierte Website hat bei Google Vertrauen aufgebaut. Dieses Vertrauen ist wertvoll. Kriminelle brechen in solche Seiten ein und platzieren versteckte Werbung. Meist sind das Online-Casinos oder Essay-Dienste. Google sieht diese Inhalte auf einer vertrauenswürdigen Domain und nimmt sie in den Index auf. Der Seitenbetreiber merkt nichts.
Wie die Angreifer hereinkommen
Der Einstieg ist fast immer eine bekannte Lücke. Ein veraltetes Plugin, ein nicht gepflegtes Theme, ein schwaches Passwort. Über diese Lücke verschaffen sich die Angreifer ein stilles Benutzerkonto. Von da an haben sie einen dauerhaften Fuß in der Tür. Der Bruch passiert oft Jahre vor dem sichtbaren Schaden.
Was die Angreifer tun, Schritt für Schritt
- Hereinkommen. Eine Lücke wird ausgenutzt, ein verstecktes Konto angelegt.
- Abwarten und testen. Erst werden harmlose Spuren gelegt.
- Inhalte einschleusen. Dann kommen die Spam-Seiten und versteckten Texte, per CSS für Besucher unsichtbar.
- Skalieren. Aus ein paar Seiten werden Hunderte, aus ein paar Kategorien Zehntausende.
In unserem Fall steckten am Ende 24.476 Spam-Kategorien, 375 Spam-Beiträge und 17 veröffentlichte Spam-Seiten im System. In sechs echten Produktbeschreibungen saß versteckter Casino-Text mitten im echten Text.
Der eigentliche Schaden: deine Sichtbarkeit
Google bewertet, wofür eine Domain steht. Tauchen auf einer Handwerks-Seite plötzlich Tausende Glücksspiel-Begriffe auf, verschiebt sich dieses Bild. Die Domain verliert Vertrauen — und mit dem Vertrauen die Rankings. Im realen Fall fiel die Sichtbarkeit über rund anderthalb Jahre auf etwa ein Drittel. In der Google Search Console kamen über neun Monate praktisch keine Klicks mehr an.
Woran du es erkennst — fünf Fragen
- Was steht im Index? Such bei Google nach
site:deine-domain.de. Tauchen fremde Seiten auf? - Wie viele Kategorien oder Schlagwörter hat dein System? Tausende unbekannte Einträge sind ein Alarmsignal.
- Gibt es Benutzerkonten, die du nicht zuordnen kannst?
- Bricht deine Sichtbarkeit ohne Grund ein?
- Sind deine Plugins und dein Theme aktuell?
Wie du dich schützt
- Login-Adresse ändern — die Standard-Adresse wird von Bots permanent abgeklopft.
- Zwei-Faktor-Anmeldung — ein geleaktes Passwort reicht dann nicht mehr.
- Unnötige Schnittstellen schließen.
- Benachrichtigung bei neuen Admin-Konten.
- Regelmäßiges Konto-Audit und Updates ohne Verzug.
Die eigentliche Lehre: hinschauen
Der Angriff nistete sich in einer ruhigen Phase ein. Genau dann schaute niemand regelmäßig auf das System. Eine Website, mit der du täglich arbeitest, ist wie ein Supermarktregal. Räumst du es einmal ein und füllst es nie nach, steht es irgendwann leer. Oder wie ein Auto ohne Wartung: Es läuft eine Weile und bleibt dann liegen. Meist im ungünstigsten Moment.
Ein Wartungsrhythmus wirkt zunächst wie Aufwand, den man sparen könnte. Aber ein unbeaufsichtigtes System verfällt still. Wer regelmäßig hinschaut — oder hinschauen lässt — bezahlt am wenigsten.
Quellen
Stand: 12.06.2026
Häufige Fragen
Was ist Black Hat SEO?
Methoden, die gegen die Richtlinien von Suchmaschinen verstoßen. Bei gehackten Seiten platzieren Kriminelle versteckte Inhalte, um den Ruf einer fremden Domain für eigene Werbung zu missbrauchen.
Woran erkenne ich, dass meine WordPress-Seite gehackt wurde?
An fremden Seiten im Google-Index (Suche nach site:deine-domain.de), unbekannten Benutzerkonten, Tausenden unbekannten Kategorien und einem unerklärten Einbruch der Sichtbarkeit.
Welchen Schaden richtet ein solcher Angriff an?
Der Hauptschaden ist der Verlust an Sichtbarkeit. Google stuft die Domain herab, weil sie plötzlich für fremde Themen steht. Rankings und Klicks brechen ein, oft über Monate.
Wie schütze ich meine WordPress-Seite?
Aktuelle Plugins und Themes, geänderte Login-Adresse, Zwei-Faktor-Anmeldung, Abschalten unnötiger Schnittstellen, Benachrichtigung bei neuen Admin-Konten und regelmäßige Kontrolle.