Seite mit versteckten Links gehackt｜Wie man den Google-Ranking-Einbruch behebt

Wenn deine Website plötzlich versteckte Spam-Links (auch „Dark Links“ genannt) enthält, kann das schlimme Folgen haben: Im besten Fall rutscht dein Google-Ranking massiv ab, im schlimmsten Fall wird deine Seite als „gefährlich“ eingestuft und komplett blockiert.

Die meisten Website-Betreiber merken das Problem erst, wenn es zu spät ist – und durch planloses Löschen oder das Abschalten des Servers wird die Situation meist nur noch schlimmer.

Als SEO-Profis mit 8 Jahren Erfahrung haben wir über 60 Fälle solcher Link-Hacks bearbeitet – daraus entstand ein „72-Stunden-Notfallplan zur Schadensbegrenzung + schnelles Ranking-Recovery“.

Von der genauen Lokalisierung der versteckten Links (z. B. mit Screaming Frog, um versteckten Redirect-Code aufzuspüren), über das manuelle Entfernen und Einreichen von Beweisen bei Google (inkl. echter Reconsideration-Vorlage), bis hin zum gezielten Veröffentlichen von „Vertrauensinhalten“, um toxische Backlinks zu neutralisieren – jede Phase folgt drei entscheidenden Zeitpunkten: 24 Stunden / 3 Tage / 7 Tage.

Wichtiger Hinweis: Wenn deine Haupt-Keywords in den letzten 7 Tagen um mehr als 10 Plätze gefallen sind und viele indexierte Seiten plötzlich „?redirect=Casino“-ähnliche Parameter enthalten, wurdest du höchstwahrscheinlich gehackt – bitte starte sofort mit Abschnitt 1 der Analyse.

Wurde deine Website wirklich mit versteckten Links kompromittiert?

Dark Links verursachen keine Pop-ups und lassen deine Website auch nicht sofort abstürzen – genau das macht sie so tückisch.

Viele Website-Betreiber merken erst etwas, wenn das Google-Ranking um über 50 % fällt. Zu diesem Zeitpunkt existieren die Links meist schon seit Wochen – und Google könnte deine Seite bereits als „malicious“ (bösartig) markieren.

In 70 % der Fälle, die wir bearbeitet haben, versteckten sich die Links in Bilderverzeichnissen, alten Beiträgen oder JavaScript-Dateien – also sehr schwer auffindbar mit bloßem Auge.

Ich zeige dir, wie du mit minimalem Aufwand (ganz ohne Programmierkenntnisse) in 10 Minuten „Parasit-Links“ aufspüren kannst.

Google Search Console: Offizielle Warnungen prüfen

• Gehe zu „Sicherheit & manuelle Maßnahmen“ → „Manuelle Maßnahmen“ – wenn dort Warnungen wie „Unnatürliche Links“ oder „Gehackte Seiten“ auftauchen, wurde deine Website ziemlich sicher kompromittiert.
• Vorsicht vor falscher Sicherheit: Manche Hacker täuschen „keine Probleme“ vor – klicke auf „Sicherheitsprobleme“ → „Beispielseiten anzeigen“ und überprüfe die markierten URLs manuell auf Weiterleitungen (z. B. <meta http-equiv="refresh" content="0;url=Casino-URL">).

Webmaster-Tools: Versteckte Redirects scannen

Nutze Screaming Frog (kostenlose Version scannt bis zu 500 URLs), um die gesamte Website zu crawlen. Achte auf folgende Merkmale:

1. Seiten mit ungewöhnlich vielen externen Links (mehr als 10 Outbound-Links pro Seite sind verdächtig)
2. Links mit „style=display:none“ (z. B. <a href="Casino-Seite" style="display:none"> im HTML)
3. Seiten, die Drittanbieter-JavaScript einbinden (<script src="http://fremde-domain.js">)

Schnelltest: Mit der Chrome-Erweiterung Link Redirect Trace kannst du direkt prüfen, ob eine Seite per 301-Redirect auf eine Glücksspielseite weiterleitet.

Index bei Suchmaschinen prüfen: Schattenseiten aufdecken

Gib in die Google-Suche ein:

site:deine-domain.com intitle:Casino/Lotto/Porno  
site:deine-domain.com inurl:.php?ref=

Wenn du Inhalte findest, die du nie erstellt hast (z. B. „Online Casino Bonus“), hat der Hacker vermutlich Shadow Pages generiert.

Letzter Check: Durchsuche das Server-Log (Pfad: /var/log/apache2/access.log) nach „.php?“ – prüfe verdächtige Zugriffe, z. B. viele POST-Requests aus Vietnam oder der Ukraine.

Wichtiger Hinweis: Wenn sich die versteckten Links im Ordner /wp-content/uploads/2023/ befinden, könnte der Hacker über ein Medien-Upload-Leck eingeschleust worden sein – prüfe, ob Dateinamen <?php eval( enthalten!

Drei Schritte zur vollständigen Entfernung der Dark Links

Wichtig: Die ersten 72 Stunden sind entscheidend zur Schadensbegrenzung. Wer panisch Seiten löscht oder das System neu aufsetzt, riskiert eine zweite Google-Penalty wegen plötzlicher Inhaltsänderungen.

Basierend auf über 60 realen Fällen gilt: Entferne die Links stets nach dem Prinzip „Beweise sichern, dann bereinigen, parallel Reparaturmeldung senden“.

1. Vollständiges Backup: um Datenverlust zu vermeiden

Diese Verzeichnisse musst du sichern:

• /wp-content/uploads/ (prüfen, ob Bilder versteckten PHP-Code enthalten)
• /wp-includes/js/ (z. B. ob jquery-migrate.min.js verändert wurde)

Empfohlene Tools:

• Backup über das BT Panel (BaoTa) inkl. Datenbank mit nur einem Klick
• Nutze das Plugin Duplicator, um ein vollständiges Site-Paket zu erzeugen (Cache-Dateien werden automatisch übersprungen)

2. Manuelles Entfernen von Schadcode (mit hochriskanten Merkmalen)

Globale Suche nach folgenden Schlüsselwörtern：

eval(base64_decode('verschlüsselter String'));
 $k="Hacker-Passwort";error_reporting(0);
<iframe src="http://bösartige-domain" style="visibility: hidden;">  

Prioritäre Dateien überprüfen：

• .htaccess (Prüfen, ob RewriteRule ^.*$ http://Glücksspielseite [R=301,L] eingefügt wurde)
• header.php/footer.php (Ungewöhnliche JS-Aufrufe prüfen, z.B. document.write(""))

Hilfsmittel：

Scannen Sie den Server mit D-Shield (D_Safe), das Dateien markiert, die gefährliche Funktionen wie system(), passthru() enthalten.

3. Angriffspunkt schließen: Verhindern von erneuter Injektion

• Admin-Login-Pfad ändern (für WordPress):
  Installieren Sie das Plugin WPS Hide Login, um /wp-admin/ in einen benutzerdefinierten Pfad zu ändern (z.B. /mylogin-2024/).
• Dringende Sicherheitsupdates:
  • Aktualisieren Sie alle Plugins auf die neueste Version (mit WPScan bekannte Sicherheitslücken prüfen)
  • Löschen Sie nicht genutzte Themes und Plugins (besonders verdächtige wie wp-seo-optimize)
• Serverrechte härten:
  bash

  Kopieren

  # PHP-Ausführung im Upload-Verzeichnis verbieten
  find /pfad/zur/website/wp-content/uploads/ -type f -name "*.php" -exec rm -f {} \;
  chmod 644 .htaccess  # Schreibrechte einschränken  

Wichtiger Tipp: Nach der Säuberung sofort das Link Redirect Trace Plugin verwenden, um die gesamte Website zu scannen und sicherzustellen, dass kein versteckter Redirect-Code mehr vorhanden ist. Wenn versteckte Links in der Datenbank gefunden werden (z. B. in der Tabelle wp_posts im Feld post_content mit verschlüsseltem Code), dann mit dem Adminer Tool folgenden SQL-Befehl ausführen:

UPDATE wp_posts SET post_content = REPLACE(post_content, 'bösartiger Code', '');  

Neuen Überprüfungsantrag bei Google einreichen

Das Entfernen der versteckten Links ist nur der erste Schritt. Innerhalb von 48 Stunden muss ein korrekter Überprüfungsantrag bei Google eingereicht werden, damit das Ranking wiederhergestellt wird.

90 % der Website-Besitzer scheitern, weil „unzureichende Beweise“ oder „falsche Formulierungen“ verwendet werden und die Prüfung erneut manuell erfolgt (Verlängerung der Wiederherstellungszeit um 3–6 Monate).

Ich habe eine englische Vorlage für Überprüfungsanfragen und ein starkes Beweispaket, das die Erfolgsquote auf über 80 % erhöht.

1. Überprüfungsantrag für „Manuelle Maßnahmen“ über die Search Console senden

Schritte:

Gehen Sie zu „Sicherheit und Manuelle Maßnahmen“ → „Manuelle Maßnahmen“ → Klicken Sie auf „Überprüfung anfordern“.

Englische Vorlage (passen Sie den roten Text entsprechend an):

We have removed all spammy backlinks injected by hackers:  
1. Deleted malicious codes in .htaccess and footer.php (see screenshot_1.png).  
2. Blocked 142 suspicious IPs from Vietnam/Ukraine (access.log attached).  
3. Fixed the vulnerability via updating plugins (e.g. Elementor from 3.6 to 3.19).  
Request to revoke the manual penalty.  

Erforderliche Anhänge:

1. Vergleichsbilder des Codes vor und nach der Entfernung (mit WinMerge Dateien vergleichen)
2. Logdateien der blockierten schädlichen IPs auf dem Server (mit Zeitstempel, IPs und Angriffspfad)
3. Bericht über die Ausgehenden Links der gesamten Website vom Screaming Frog (als PDF exportiert)

2. Gleichzeitige Bearbeitung des Berichts „Sicherheitsprobleme“

Gehen Sie zu „Sicherheitsprobleme“ → Wählen Sie alle gehackten Seiten aus → Klicken Sie auf „Als behoben markieren“.

Tipp zum Beschleunigen des Crawlings:

Verwenden Sie das Tool „URL-Prüfung“, geben Sie die gehackte URL ein → Klicken Sie auf „Indexierung beantragen“ (maximal 50 Anfragen pro Tag).

3. Versteckte Tipps, um eine Ablehnung der Überprüfung zu vermeiden

• Vermeiden Sie Entschuldigungen wie „We apologize“ (Google sieht dies als Schuldzuweisung) und beschreiben Sie stattdessen die Fakten.
• Fügen Sie Sicherheitsberichte von Drittanbietern bei (z. B. Scan-Ergebnisse von Sucuri oder SiteCheck), um zu bestätigen, dass die Website sicher ist.

Website-Inhalte kontinuierlich aktualisieren:

Innerhalb von 24 Stunden nach dem Überprüfungsantrag 2 Originalartikel veröffentlichen (Google sieht dies als ein ernsthaftes Engagement für die Website).

Wichtiger Tipp: Wenn nach 7 Tagen keine Antwort von Google erfolgt, senden Sie die sitemap.xml über die Funktion „Suchergebnisdarstellung → Crawling-Geschwindigkeit“ mit dem Hinweis „Malware cleaned up, please recrawl critical pages like /contact-us/ and /blog/“.

Wenn die manuelle Maßnahme noch nicht aufgehoben wurde, müssen Sie nach 28 Tagen mit den gleichen Beweisen einen erneuten Überprüfungsantrag stellen (um als Spam zu vermeiden).

Checkliste für kostengünstige Schutz-Einstellungen

Das größte Missverständnis ist, dass „Schutz teuer ist“ — 80 % der Hackerangriffe basieren auf grundlegenden Schwachstellen wie nicht aktualisierten Plugins, schwachen Passwörtern und Standard-Admin-Pfaden.

Wir können mit einem Budget von weniger als 500 RMB pro Jahr mehr als 20.000 gefährliche Scans für Kunden blockieren.

Auch wenn Sie nur Grundkenntnisse in Serververwaltung haben, können Sie die Sicherheit der gesamten Website in einer Stunde verbessern.

1. Die 3 grundlegenden Schutzmaßnahmen (kostenlos)

Echtzeit-Dateiüberwachung:

• Verwenden Sie die Funktion „Dateibearbeitungsschutz“ im BaoTa-Panel (kostenlos), um wichtige Dateien wie wp-config.php, .htaccess zu sperren. Änderungen lösen SMS-Benachrichtigungen aus.

Blockieren von Brute-Force-Angriffen:

• Installieren Sie Wordfence (kostenlose Version) und aktivieren Sie „Echtzeit-Verkehrsüberwachung“, um IPs automatisch zu blockieren, wenn mehr als 5 fehlgeschlagene Login-Versuche in 15 Minuten stattfinden.

Automatische Cloud-Backups:

• Richten Sie UpdraftPlus für tägliche Backups zu Google Drive ein (7 Versionen speichern). Bei einem Hack kann sofort auf eine saubere Version zurückgesetzt werden.

2. Servereinstellungen mit hohem Risiko, die unbedingt geändert werden müssen

Gefährliche PHP-Funktionen deaktivieren:

Bearbeiten Sie die Datei php.ini und fügen Sie nach disable_functions Folgendes hinzu:

system,exec,passthru,shell_exec,proc_open,curl_multi_exec  

Upload-Verzeichnisrechte einschränken:

# PHP-Ausführung im /uploads/-Verzeichnis verbieten  
find /Webseiten-Pfad/wp-content/uploads/ -type f -name "*.php" -delete  
chmod -R 755 /Webseiten-Pfad/wp-content/uploads/  

Serverinformationen verbergen:
Fügen Sie am Anfang der Datei .htaccess Folgendes hinzu:

ServerSignature Off  
Header unset X-Powered-By  

3. Firewall-Regeln (monatliche Kosten ≤ $20)

Cloudflare Kostenlos-Tarif konfigurieren:

• Firewall-Regel 1: Challenge für alle Zugriffe, die /wp-admin/ oder xmlrpc.php enthalten (außer Whitelist-IP)
• Firewall-Regel 2: Anfragen mit User-Agent, der sqlmap oder nmap enthält, blockieren

IP-Bereiche gefährlicher Länder sperren:

Fügen Sie in der Baota-Panel Firewall folgende Sperrregeln hinzu:

Vietnam: 14.224.0.0/11  
Russland: 46.161.0.0/18  
Ukraine: 37.52.0.0/14  

Wichtiger Hinweis: Führen Sie vierteljährlich einen Schwachstellenscan mit WPScan durch (Befehl: wpscan --url Ihre-Domain --api-token Ihr-Token).
Bevorzugen Sie die Behebung von Plugins mit mittlerem oder höherem Risiko.
Wenn Sie einen Nginx-Server verwenden, fügen Sie unbedingt folgende Konfiguration hinzu:

location ~* ^/(uploads|wp-content)/.*\.(php|php5|phtml)$ {  
    deny all;  
}  

(Dies verhindert komplett die Ausführung von PHP-Code, der über Bilddateien eingeschleust wird.)

Verlassen Sie sich nicht auf „One-Click-Reparatur-Plugins“ — wir haben 13 beliebte Sicherheitsplugins analysiert und festgestellt, dass 9 davon zu hohe Rechte haben oder Dateien fälschlich löschen.
Manuelle Schutzkonfiguration (wie .htaccess-Regeln und Serverrechte) ist der einzige wirklich kontrollierbare Weg.