Was passiert, wenn eine handcodierte Website mit Lighthouse 100/100 plĂśtzlich online geht â ohne Datenbank, ohne WordPress, ohne den Ăźblichen digitalen Ballast? Ich habe in meine Server-Logs geschaut. Was ich dort fand, liest sich wie ein Krimi.
đ Die Website geht live
Keine Datenbank, kein WordPress, keine Plugins. Nur sauberer PHP-Code, handcodiert seit 2001 â und das Versprechen: wartungsfrei, barrierefrei, blitzschnell.
đ¤ Die Giganten klopfen an
Um Mitternacht erscheint der SemrushBot in den Logs. Eine Minute später folgt der OpenAI SearchBot. Die groĂen Systeme haben registriert: Hier entsteht etwas, das sich vom Einheitsbrei unterscheidet.
Was ist der SemrushBot? Semrush ist eines der weltweit meistgenutzten SEO-Analyse-Tools â eingesetzt von Agenturen, Marketingabteilungen und Mitbewerbern um Websites zu analysieren, Keywords zu erforschen und Konkurrenten zu beobachten. Wenn der SemrushBot kommt, hat jemand Ihre Domain aktiv unter Beobachtung gestellt.
Was ist der OpenAI SearchBot? Das ist der automatische Crawler von OpenAI â dem Unternehmen hinter ChatGPT. Dieser Bot durchsucht das Internet um neue Inhalte zu finden, die ChatGPT als Wissensquelle nutzen kann. Wenn er eine neue Website besucht, hat sie die Qualitätsschwelle Ăźberschritten die OpenAI fĂźr relevant hält.
[10/Apr/2026:00:02:03] OAI-SearchBot â /index.php 200
đŁ Der erste Testschuss â direkt in die Falle
Ein Besucher aus dem Wiener Raum landet auf der Kontaktseite. 16 Sekunden Aufenthalt â dann wird ein automatisiertes Formular abgefeuert. Was der Absender nicht weiĂ: Er ist direkt in den eingebauten Honeypot getappt. Kein Mensch fĂźllt ein unsichtbares Feld aus. Mein Code war einen Schritt voraus.
đ Auf der Suche nach dem HerzstĂźck
Automatisierte Scanner versuchen systematisch, KI-Konfigurationen und Umgebungsvariablen zu finden â klassische Angriffsvektoren bei modernen Web-Apps. Das Ergebnis ist jedes Mal dasselbe: 404. Wo kein unsicheres Framework ist, gibt es nichts zu stehlen.
GET /.anthropic/config.json â 404
GET /config/mistral.json â 404
GET /wp-login.php â 404 â immer wieder gerne đ
đŞď¸ Der Staubsauger-Angriff
Innerhalb von 20 Sekunden wird versucht, die komplette Website zu spiegeln â jede Seite, jede CSS-Datei, jedes Asset. Jemand mĂśchte verstehen, wie man Lighthouse 100/100 ohne Datenbank erreicht. Viel Erfolg beim Analysieren des Frontends. Was man dort nicht findet: ein CMS, WordPress oder ein Framework. Was man jedoch findet: handgeschriebener Code. Zeile fĂźr Zeile. Das lässt sich nicht kopieren.
[20/Apr/2026:14:33:03] GET /angebot.php 200
[20/Apr/2026:14:33:05] GET /css/main.css 200
[20/Apr/2026:14:33:08] GET /barrierefreiheit.php 200
... 47 weitere Requests in 12 Sekunden ...
đ Die Nacht der drei Systeme
01:27 Uhr nachts. Jemand hat offensichtlich SchlafstĂśrungen â oder Deadline-Stress. Die Logs zeigen drei verschiedene Geräte, die gleichzeitig aktiv sind: Mac, Windows, Linux. Man sucht systematisch nach Schwachstellen in der Barrierefreiheit. Man sucht nach dem Fehler im System.
Man findet: Handarbeit.
[22/Apr/2026:01:27:31] Windows NT 10.0 â /truth-check.php
[22/Apr/2026:01:27:44] Linux x86_64 â /warum-sie-mir-nicht-glauben-sollen.php
Warum erzähle ich Ihnen das?
Nicht um zu prahlen. Sondern weil diese Logs etwas beweisen, das ich Ihnen gar nicht beweisen mĂźsste â Qualität im Netz ist keine Meinung, sondern messbar.
Wenn automatisierte Systeme eine neue Website innerhalb von drei Tagen entdecken, wenn KI-Crawler sie als relevant einstufen, und wenn jemand um halb zwei nachts drei Rechner gleichzeitig bemĂźht, um den Code zu verstehen â dann ist das kein Zufall. Das ist das Ergebnis von 25 Jahren Handwerk.
MĂśchten Sie eine Website, die so gebaut ist, dass die Profis staunen?
* Die dargestellten Log-Einträge sind authentisch und wurden aus Datenschutzgrßnden auf das Wesentliche gekßrzt. IP-Adressen wurden nicht gespeichert.
Facebook WhatsApp LinkedIn E-Mail