Ist Ihre Website sauber? Diese kostenlosen Scanner verraten es Ihnen.
Malware auf einer Website bleibt oft wochenlang unbemerkt – bis Google eine Warnung anzeigt oder der Hoster den Account sperrt. Regelmäßige Scans sind deshalb Pflicht, nicht Kür. Die gute Nachricht: Sie können Ihre Website auf Malware prüfen, ohne dafür Budget einplanen zu müssen. In diesem Artikel stelle ich Ihnen die besten kostenlosen Malware-Scanner vor – von einfachen Online-Checks bis zu serverseitigen Tools, die auch versteckte Backdoors aufspüren. Sie erfahren, welcher Scanner-Typ wofür geeignet ist und wie Sie die Ergebnisse richtig interpretieren. Die vollständige Anleitung zur Bereinigung nach einem Hack finden Sie in meinem Ratgeber Website gehackt – Was tun?.
Warum Sie Ihre Website regelmäßig auf Malware prüfen sollten
Ein Malware-Befall muss nicht sofort sichtbar sein. Viele Angriffe sind darauf ausgelegt, möglichst lange unentdeckt zu bleiben: SEO-Spam, das nur Google-Crawler sehen, versteckte Weiterleitungen für mobile Besucher oder Kreditkarten-Skimmer in Online-Shops. Laut dem Sucuri Hacked Website Report (Daten aus 2023) hatten 49 Prozent aller kompromittierten Websites mindestens eine Backdoor installiert – oft über Monate hinweg.
In vielen Fällen bleiben Infektionen wie SEO-Spam-Injections über Monate unbemerkt – der organische Traffic ist längst eingebrochen, bevor der Befall auffällt. Die Folgen eines unbemerkten Befalls sind gravierend: Google setzt Ihre Website auf die Blacklist, Besucher sehen eine rote Warnseite und Ihr organischer Traffic bricht um bis zu 95 Prozent ein. Dazu kommen mögliche DSGVO-Meldepflichten, wenn personenbezogene Daten betroffen sind. Je früher Sie Schadcode entdecken, desto geringer ist der Schaden – für Ihre Besucher, Ihr Ranking und Ihren Ruf.
Bewährt hat sich: Scannen Sie Ihre Website mindestens einmal im Monat mit einem Remote-Scanner. Nach Updates, Plugin-Installationen oder bei ungewöhnlichem Verhalten sofort. Wenn Sie ein CMS wie WordPress betreiben, ergänzen Sie den externen Check durch einen serverseitigen Scanner, der auch versteckte Dateien erkennt.
Remote-Scanner vs. Server-Side-Scanner – Der Unterschied
Nicht jeder Scanner arbeitet gleich. Der wichtigste Unterschied: Remote-Scanner prüfen Ihre Website von außen – so wie ein Besucher sie sieht. Server-seitige Scanner haben dagegen direkten Zugriff auf alle Dateien und die Datenbank Ihres Webservers. Beide Ansätze haben Stärken und Schwächen, und im Idealfall kombinieren Sie beide.
Remote-Scanner funktionieren ohne Installation: Sie geben eine URL ein und erhalten innerhalb von Sekunden ein Ergebnis. Das macht sie ideal für einen schnellen Check, den Sie jederzeit und von überall aus durchführen können. Die Einschränkung: Sie sehen nur, was im Frontend sichtbar ist. Schadcode in PHP-Dateien, versteckte Backdoors oder manipulierte Datenbankeinträge bleiben unsichtbar.
Server-seitige Scanner müssen auf dem Server installiert werden oder als Plugin in Ihrem CMS laufen. Dafür prüfen sie jede einzelne Datei, vergleichen Core-Dateien mit den Originalen und erkennen auch Malware, die sich vor Besuchern versteckt. Der Nachteil: Sie benötigen Zugang zum Server und technisches Grundverständnis.
💡 Wann welcher Scanner-Typ?
- Remote-Scanner: Für den schnellen Check zwischendurch, Blacklist-Prüfung und als erste Einschätzung nach einem Verdacht
- Server-seitige Scanner: Für die gründliche Analyse nach einem Hack, regelmäßige Tiefenscans und zur Überwachung von WordPress-Installationen
- Kombination: Monatlich ein Remote-Scan, ergänzt durch einen serverseitigen Scanner auf dem Server – das bietet den besten Schutz
Die besten kostenlosen Remote-Scanner
Remote-Scanner eignen sich hervorragend als erste Verteidigungslinie. Sie benötigen keine Installation, keine Registrierung und liefern innerhalb von Sekunden ein Ergebnis. Diese vier Tools haben sich in der Praxis bewährt:
Sucuri SiteCheck – Der Allrounder unter den Remote-Scannern. Sie geben Ihre URL auf sitecheck.sucuri.net ein und erhalten innerhalb von Sekunden eine Analyse: Malware-Signaturen im sichtbaren Quellcode, Blacklist-Status bei Google, McAfee, Norton und weiteren Diensten, CMS-Erkennung mit Versionscheck und Sicherheitsanomalien. Der Scanner funktioniert mit jeder Website, nicht nur WordPress. Einschränkung: Wie alle Remote-Scanner erkennt SiteCheck nur Malware, die im Frontend sichtbar ist. Serverseitige Backdoors bleiben unsichtbar.
VirusTotal – Die Multi-Engine-Analyse. VirusTotal prüft Ihre URL gegen über 70 Sicherheits-Engines gleichzeitig, darunter Google Safe Browsing, Kaspersky, Avira und Microsoft SmartScreen. Das macht VirusTotal zum umfassendsten Reputationscheck: Wenn Ihre Website bei einem dieser Anbieter als gefährlich eingestuft wird, sehen Sie es sofort. Besonders nützlich ist die Community-Bewertung, in der andere Nutzer verdächtige URLs kommentieren. Die kostenlose Web-Oberfläche erfordert keine Registrierung und ist für den regelmäßigen manuellen Check ausgelegt.
Google Transparency Report – Der SEO-relevanteste Check. Der Safe Browsing Websitestatus von Google zeigt direkt, ob Ihre Website im Google-Ökosystem als gefährlich gilt. Da Google Safe Browsing über 5 Milliarden Geräte schützt und in Chrome, Firefox und Safari integriert ist, hat das Ergebnis direkte Auswirkungen auf Ihr SEO-Ranking und die Erreichbarkeit Ihrer Website. Wenn Google Ihre Seite als unsicher einstuft, sehen Besucher eine rote Warnseite – unabhängig davon, was andere Scanner melden. Deshalb ist dieser Check der wichtigste.
Quttera – Der KI-basierte Scanner. Quttera unterscheidet sich von den anderen Remote-Scannern durch heuristische Analyse und KI-Algorithmen. Statt nur bekannte Malware-Signaturen zu prüfen, erkennt Quttera auch unbekannte Bedrohungen durch Verhaltensanalyse. Der kostenlose Online-Scan prüft gegen über 40 Blacklists. Erweiterte Funktionen wie Sandbox-Analyse und automatische Bereinigung sind in den kostenpflichtigen Plänen enthalten. Hinweis: Oft wird gesagt, dass Quttera zu False Positives neigt – prüfen Sie auffällige Ergebnisse immer mit einem zweiten Tool.
Server-seitige Scanner für tiefe Analysen
Wenn Remote-Scanner an ihre Grenzen stoßen, kommen serverseitige Tools zum Einsatz. Sie haben direkten Zugriff auf jede Datei, können Core-Dateien mit Originalen vergleichen und spüren auch versteckte Backdoors auf. Drei Tools dominieren diesen Bereich:
Wordfence Free (WordPress) – Mit über 5 Millionen aktiven Installationen ist Wordfence das meistgenutzte WordPress-Sicherheits-Plugin. Die kostenlose Version bietet einen Malware-Scanner mit über 44.000 bekannten Signaturen, eine Endpoint-Firewall und Datei-Integritätsprüfung gegen die WordPress.org-Originale. Wordfence erkennt Backdoors, verdächtigen Code und manipulierte Dateien, die kein Remote-Scanner sehen kann. Wichtig: In der Free-Version werden Malware-Signaturen und Firewall-Regeln mit 30 Tagen Verzögerung ausgeliefert. Für den regelmäßigen Scan reicht das, bei akuten Zero-Day-Bedrohungen ist die Premium-Version (ca. 149 USD/Jahr, Stand: Februar 2026, zzgl. MwSt.) im Vorteil.
ClamAV – Das Open-Source-Antivirenprogramm von Cisco Talos ist komplett kostenlos, quelloffen (GPLv2) und ohne jede Einschränkung nutzbar. ClamAV wird direkt auf dem Server installiert und scannt Dateien und Verzeichnisse über die Kommandozeile. Es eignet sich besonders für Shared-Hosting-Umgebungen und dedizierte Server, auf denen kein WordPress läuft. cPanel unterstützt ClamAV nativ als kostenlosen Virenscanner. Bei Plesk ist ClamAV über das kostenpflichtige Email Security Pro-Addon nutzbar. Einschränkung: ClamAV ist primär ein allgemeiner Virenscanner. Bei webspezifischer Malware wie obfuskiertem PHP-Code oder JavaScript-Injections ist die Erkennungsrate schwächer als bei spezialisierten Tools wie Wordfence.
Hoster-eigene Scanner – Viele Hosting-Anbieter bieten inzwischen eigene Malware-Scans an. Viele große Anbieter führen regelmäßig automatische Scans durch und informieren Sie per E-Mail, wenn Schadcode gefunden wird. Diese Scanner laufen im Hintergrund, ohne dass Sie etwas installieren müssen. Prüfen Sie im Kundenpanel Ihres Hosters, ob ein solcher Dienst verfügbar und aktiviert ist. Das ist kein Ersatz für eigene Scans, aber eine sinnvolle zusätzliche Absicherung.
⚠️ Wordfence Free: Was die 30-Tage-Verzögerung bedeutet
Die kostenlose Wordfence-Version erhält Malware-Signaturen und Firewall-Regeln 30 Tage nach den Premium-Nutzern. Bei bekannten, etablierten Bedrohungen ist das kein Problem – diese Signaturen sind bereits enthalten. Bei brandneuen Exploits (Zero-Days) fehlt der Schutz allerdings für einen Monat. Für die meisten KMU-Websites ist die Free-Version trotzdem ausreichend, da die überwiegende Mehrheit der Angriffe bekannte Schwachstellen ausnutzt. Entscheidend ist, dass Sie überhaupt einen serverseitigen Scanner einsetzen.
Die folgende Tabelle zeigt alle vorgestellten kostenlosen Malware-Scanner im direkten Vergleich – damit Sie auf einen Blick sehen, welches Tool zu Ihrem Setup passt:
| Tool | Typ | Kosten | Stärken | Schwächen |
|---|---|---|---|---|
| Sucuri SiteCheck | Remote | Kostenlos | Schneller Allround-Check, Blacklist-Prüfung, CMS-Erkennung | Erkennt nur Frontend-sichtbare Malware |
| VirusTotal | Remote | Kostenlos | 70+ Engines gleichzeitig, umfassendster Reputationscheck | Keine Tiefenanalyse, nur URL-Prüfung |
| Google Safe Browsing | Remote | Kostenlos | SEO-relevantester Check, direkte Auswirkung auf Ranking | Zeigt nur Google-eigene Einstufung |
| Quttera | Remote | Kostenlos | KI-basiert, heuristische Analyse, 40+ Blacklists | Hat den Ruf, zu false Positives zu neigen |
| Wordfence Free | Server (WordPress) | Kostenlos | 44.000+ Signaturen, Datei-Integritätsprüfung, Firewall | Nur WordPress, Signaturen 30 Tage verzögert |
| ClamAV | Server (alle CMS) | Kostenlos | Open Source, CMS-unabhängig, cPanel-Integration nativ | Schwächer bei webspezifischer Malware |
Was tun bei einem Malware-Fund?
Ein Scanner meldet Malware auf Ihrer Website? Keine Panik – aber handeln Sie zügig. Zunächst klären Sie, ob es sich um ein echtes Problem oder einen False Positive handelt. Prüfen Sie das Ergebnis mit mindestens einem zweiten Scanner. Wenn VirusTotal und Sucuri SiteCheck übereinstimmend Malware melden, ist die Wahrscheinlichkeit eines Fehlalarms gering.
Bestätigter Fund – die nächsten Schritte: Nehmen Sie Ihre Website sofort offline oder schalten Sie den Wartungsmodus ein. Ändern Sie alle Passwörter (CMS, FTP, Datenbank, Hosting-Panel) – von einem sauberen Gerät aus. Informieren Sie Ihren Hoster und sichern Sie den aktuellen Zustand als Beweismaterial. Dann beginnt die eigentliche Bereinigung: Schadcode identifizieren, entfernen und die Sicherheitslücke schließen.
Eine detaillierte Schritt-für-Schritt-Anleitung für die komplette Bereinigung – von der Beweissicherung über die manuelle Dateiprüfung bis zur Datenbank-Bereinigung – finden Sie in meinem Ratgeber Website gehackt – Was tun?. Falls Google Ihre Website bereits als gefährlich markiert hat, zeigt Ihnen mein Artikel Google-Blacklist nach Hack entfernen, wie Sie die Warnung über die Search Console beseitigen.
Häufig gestellte Fragen
Ein Remote-Scanner allein reicht nicht. Er erkennt nur Malware, die im Frontend sichtbar ist – serverseitige Backdoors, versteckte PHP-Dateien oder manipulierte Datenbankeinträge bleiben unsichtbar. Für WordPress-Websites empfehle ich die Kombination aus monatlichem Remote-Scan und einem Plugin wie Wordfence Free.
Mindestens einmal im Monat mit einem Remote-Scanner wie Sucuri SiteCheck. Bei WordPress-Websites bietet Wordfence Free automatische Scans. Nach Plugin-Updates, ungewöhnlichem Verhalten oder Traffic-Einbrüchen sollten Sie sofort scannen.
Ein False Positive ist ein Fehlalarm – der Scanner meldet Malware, obwohl die Datei sauber ist. Das kommt besonders bei Quttera und ClamAV gelegentlich vor. Prüfen Sie auffällige Ergebnisse immer mit einem zweiten Tool: Wenn VirusTotal mit über 70 Engines keine Bedrohung meldet, handelt es sich wahrscheinlich um einen Fehlalarm.
Nein, Wordfence ist ausschließlich für WordPress. Für andere CMS-Systeme nutzen Sie ClamAV auf dem Server oder die Remote-Scanner (Sucuri SiteCheck, VirusTotal). Joomla hat mit Admin Tools eine vergleichbare Sicherheitslösung, TYPO3 setzt auf eine gehärtete Server-Konfiguration.
Ja – die Remote-Scanner (Sucuri SiteCheck, VirusTotal, Google Transparency Report) erfordern keinerlei technisches Wissen. Sie geben einfach Ihre URL ein und erhalten ein Ergebnis. Für die serverseitigen Tools (Wordfence, ClamAV) brauchen Sie Zugang zu Ihrem CMS oder Server.
Für WordPress ist Wordfence Free die beste Wahl. Es prüft alle Dateien direkt auf dem Server, vergleicht Core-Dateien mit den Originalen und erkennt Backdoors, die kein Remote-Scanner sehen kann. Ergänzen Sie Wordfence mit einem monatlichen Remote-Scan über Sucuri SiteCheck oder VirusTotal für eine doppelte Absicherung.
Für die Erkennung bekannter Bedrohungen sind kostenlose Scanner wie Wordfence Free und Sucuri SiteCheck sehr zuverlässig. Kostenpflichtige Versionen bieten Vorteile bei Zero-Day-Schutz, automatischer Bereinigung und schnellerem Signatur-Update. Für die meisten KMU-Websites reichen die kostenlosen Tools aus – entscheidend ist, dass Sie überhaupt regelmäßig scannen.
⚖️ Wichtiger Hinweis
Dieser Artikel dient der allgemeinen Information und ersetzt weder eine rechtliche noch eine IT-sicherheitstechnische Beratung. Alle Angaben zu Funktionen, Preisen und Verfügbarkeiten der genannten Tools beruhen auf dem Stand Februar 2026 und können sich jederzeit ändern. Trotz sorgfältiger Recherche übernehmen wir keine Gewähr für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte. Kein Scanner garantiert eine vollständige Erkennung aller Bedrohungen. Für eine professionelle Sicherheitsanalyse wenden Sie sich an einen spezialisierten Dienstleister.
Malware gefunden? Ich helfe Ihnen.
Sie haben Schadcode auf Ihrer Website entdeckt oder sind sich nicht sicher, ob Ihre Seite sauber ist? Ich bereinige Ihre Website, schließe die Sicherheitslücke und sichere Ihr System ab – zum Festpreis.