Was ist ein WordPress Redirect Hack?

Bei einem Redirect Hack schleusen Angreifer Schadcode in Ihre WordPress-Installation ein, der Besucher auf fremde Websites umleitet. Die Zielseiten sind typischerweise Casino-Portale, Fake-Shops, Pharma-Seiten oder Phishing-Websites. Der Angreifer verdient an jedem umgeleiteten Besucher.

Das Tückische: Der Redirect tritt oft nur unter bestimmten Bedingungen auf. Nur mobile Besucher werden umgeleitet, oder nur der erste Seitenaufruf, oder nur Besucher die über Google kommen. Als Website-Betreiber, der die Seite direkt aufruft, bemerken Sie den Hack deshalb oft erst spät.

Symptome: So erkennen Sie einen Redirect Hack

Ein WordPress Redirect Hack zeigt sich durch verschiedene Symptome, die einzeln oder in Kombination auftreten können. Je früher Sie diese erkennen, desto geringer ist der Schaden für Ihre SEO-Rankings und Ihr Vertrauensverhältnis zu Besuchern.

Weiterleitung auf fremde Seiten: Besucher landen auf Casino-, Pharma- oder Spam-Seiten statt auf Ihrem Content
Nur mobile Geräte betroffen: Der Redirect tritt nur auf Smartphones auf, am Desktop sieht alles normal aus
Intermittierende Weiterleitungen: Nur beim ersten Besuch oder nur für Besucher von Google
Google Search Console Warnung: Unter „Sicherheitsprobleme“ erscheint eine Meldung
Browser-Warnung: Chrome zeigt „Diese Website wurde möglicherweise gehackt“
Hoster-Sperrung: Ihr Hosting-Anbieter hat die Website wegen Malware gesperrt

Tipp: Testen Sie Ihre Website mit dem Smartphone über eine Google-Suche (nicht über direkten URL-Aufruf). Viele Redirect Hacks triggern nur bei Besuchern mit einem Google-Referrer.

Wo versteckt sich die Malware?

Redirect-Malware kann an verschiedenen Stellen in Ihrer WordPress-Installation sitzen. Bei einer Bereinigung müssen Sie alle diese Stellen prüfen. Wird auch nur eine Backdoor übersehen, kommt der Hack innerhalb von Stunden zurück.

.htaccess-Datei

Die häufigste Stelle. Öffnen Sie die .htaccess im WordPress-Stammverzeichnis und suchen Sie nach verdächtigem Code. Typische Muster:

RewriteRule-Einträge die auf fremde Domains verweisen
Base64-codierte Zeichenketten (base64_decode)
Bedingungen die nur mobile User-Agents matchen (Android|iPhone|iPad)
Weiterleitungen auf Domains mit zufälligen Buchstabenkombinationen

Eine Standard-WordPress .htaccess enthält den Block zwischen # BEGIN WordPress und # END WordPress. Zusätzlich schreiben Plugins wie WP Rocket, Wordfence oder Yoast eigene Blöcke hinein, jeweils markiert mit # BEGIN PluginName und # END PluginName. Diese Einträge sind normal. Verdächtig ist Code ohne solche Kommentar-Markierungen, besonders obfuskierte Zeichenketten oder Weiterleitungen auf unbekannte Domains.

wp-config.php

Die wp-config.php ist das zweithäufigste Ziel. Suchen Sie nach:

eval( oder base64_decode( Aufrufe
@include Anweisungen die auf unbekannte Dateien verweisen
Lange, unlesbare Zeichenketten am Anfang oder Ende der Datei
$_GET, $_POST oder $_REQUEST Variablen die nicht zum WordPress-Standard gehören

Datenbank (wp_options)

Angreifer ändern manchmal die Werte siteurl und home in der wp_options-Tabelle. Prüfen Sie diese Einträge über phpMyAdmin. Auch die Option active_plugins kann manipuliert sein, um ein Malware-Plugin zu aktivieren das Sie im Dashboard nicht sehen.

Plugin- und Theme-Dateien

Malware versteckt sich oft in Dateien, die auf den ersten Blick wie normale Plugin-Dateien aussehen. Typische Verstecke:

PHP-Dateien in wp-content/uploads/ (dort gehören keine PHP-Dateien hin)
Dateien mit zufälligen Namen wie wp-tmp.php oder class-wp-cache.php
Manipulierte functions.php in Ihrem Theme
Unbekannte mu-plugins (Must-Use Plugins werden immer geladen und erscheinen nicht in der Plugin-Liste)

JavaScript-Injection

Neben PHP-basierter Malware gibt es auch JavaScript-Weiterleitungen. Diese werden in die Datenbank injiziert (oft in Post-Content oder Widget-Bereiche) und führen ein window.location oder document.write mit einem externen Script aus.

Bereinigung: Schritt für Schritt

Bevor Sie mit der Bereinigung beginnen: Lesen Sie zuerst unseren Erste-Hilfe-Guide für gehackte WordPress-Websites, um Beweise zu sichern und den Schaden zu begrenzen.

Schritt 1: Backup erstellen

Erstellen Sie ein vollständiges Backup des aktuellen Zustands (Dateien + Datenbank), bevor Sie etwas ändern. Dieses Backup ist Ihre Rückversicherung falls bei der Bereinigung etwas schiefgeht, und es dient als Beweismaterial.

Schritt 2: .htaccess prüfen und bereinigen

Laden Sie die .htaccess per FTP/SFTP herunter und öffnen Sie sie in einem Texteditor. Vergleichen Sie den Inhalt mit der Standard-WordPress-.htaccess. Löschen Sie alles, was nicht zum WordPress-Standard gehört. Prüfen Sie auch .htaccess-Dateien in Unterverzeichnissen (wp-content/, wp-includes/).

Schritt 3: wp-config.php prüfen

Vergleichen Sie Ihre wp-config.php mit der Originaldatei wp-config-sample.php. Entfernen Sie jeden Code, den Sie nicht zuordnen können. Achten Sie besonders auf den Bereich vor dem <?php-Tag und nach der letzten Zeile.

Schritt 4: Datenbank prüfen

Öffnen Sie phpMyAdmin und prüfen Sie in der Tabelle wp_options:

siteurl und home enthalten Ihre korrekte Domain
active_plugins enthält nur Plugins die Sie kennen
Durchsuchen Sie wp_posts nach <script oder eval(

Schritt 5: Dateien scannen

Suchen Sie per SSH oder FTP nach verdächtigen Dateien:

PHP-Dateien in wp-content/uploads/
Kürzlich geänderte Core-Dateien (Vergleich mit dem offiziellen WordPress-Paket)
Dateien mit eval(, base64_decode(, gzinflate( oder str_rot13(
Unbekannte Dateien in wp-content/mu-plugins/

Schritt 6: WordPress-Core ersetzen

Laden Sie eine frische Kopie von WordPress herunter und ersetzen Sie die Verzeichnisse wp-admin/ und wp-includes/ komplett. Das stellt sicher, dass keine manipulierten Core-Dateien zurückbleiben. wp-content/ und wp-config.php bleiben erhalten (die haben Sie bereits manuell geprüft).

Schritt 7: Passwörter und Zugangsdaten ändern

Nach der Bereinigung ändern Sie sofort:

Alle WordPress-Benutzerpasswörter (besonders Admins)
FTP/SFTP-Zugangsdaten
Datenbank-Passwort (und in der wp-config.php aktualisieren)
Hosting-Panel-Passwort
WordPress Security Salts (im Salt-Generator neue erstellen)

Nach der Bereinigung: Website absichern

Die Bereinigung allein schützt Sie nicht vor dem nächsten Angriff. Ohne Absicherung wird Ihre Website über dieselbe oder eine ähnliche Schwachstelle erneut kompromittiert. In unserem Artikel zu den häufigsten WordPress-Angriffsvektoren erklären wir die typischen Einfallstore und Gegenmaßnahmen im Detail.

PHP-Ausführung in Uploads blockieren: Fügen Sie in wp-content/uploads/.htaccess die Zeile <Files *.php> deny from all </Files> ein
2-Faktor-Authentifizierung: Für alle Admin-Konten aktivieren
Login-Versuche begrenzen: IP-Sperre nach 5 Fehlversuchen
Alle Plugins und Themes aktualisieren: Veraltete Erweiterungen sind Einfallstor Nr. 1
Dateibearbeitung deaktivieren: define('DISALLOW_FILE_EDIT', true); in der wp-config.php

Wann Sie professionelle Hilfe brauchen

Eine Bereinigung in Eigenregie ist machbar, wenn Sie Erfahrung mit FTP, phpMyAdmin und WordPress-Dateien haben. Holen Sie sich professionelle Hilfe, wenn:

Der Redirect nach der Bereinigung wiederkommt (Backdoor nicht gefunden)
Sie die Malware-Quelle nicht identifizieren können
Google eine Sicherheitswarnung anzeigt (Blacklist-Entfernung nötig)
Personenbezogene Daten betroffen sein könnten (DSGVO-Meldepflicht)
Es sich um einen geschäftskritischen Online-Shop handelt

Prävention: So verhindern Sie Redirect Hacks

Die beste Bereinigung ist die, die nie nötig wird. 97% aller WordPress-Hacks nutzen bekannte Schwachstellen, die sich durch regelmäßige Wartung verhindern lassen.

Wöchentliche Updates: WordPress, Plugins und Themes immer aktuell halten
Starke Passwörter + 2FA: Auf allen Admin-Konten
Monitoring: Datei-Integritätsprüfung und Malware-Scans
Tägliche Backups: Auf externen Speicher, Wiederherstellung getestet
Security Headers: CSP, X-Frame-Options, HSTS aktivieren

Mit einem professionellen Wartungspaket sind all diese Maßnahmen abgedeckt. Updates, Sicherheits-Monitoring, Backups und ein fester Ansprechpartner, der im Ernstfall sofort reagiert.