| |

WordPress gehackt: Sichere Bereinigung in 24 Stunden

VonSimon Hubert
A man using a computer in a stylish home office with a minimalist setup.

1. Einführung: WordPress gehackt — was Sie jetzt tun sollten

Wenn Ihre WordPress-Seite plötzlich fremde Inhalte zeigt, auf dubiose Adressen weiterleitet oder Google im Suchergebnis vor Malware warnt, ist die Wahrscheinlichkeit hoch, dass Ihre WordPress-Website gehackt wurde. Dieser Beitrag führt Sie durch die ersten Sofortmaßnahmen, eine systematische Bereinigung Ihrer kompromittierten Seite und die Vorbeugung, damit sich der Hack nicht wiederholt.

Ein Hack ist kein Weltuntergang, aber Zeit ist entscheidend. Je schneller Sie reagieren, desto geringer ist der Schaden für Ihre Daten, Ihr Google-Ranking und das Vertrauen Ihrer Besucher. Wer nach einem Vorfall unsicher ist, ob das Ranking gelitten hat, kann eine professionelle SEO-Analyse seiner Website in Auftrag geben. Als Digitalagentur mit Sitz in Göttingen und vielen Jahren Erfahrung auf dem Gebiet zeigen wir Ihnen die häufigsten Einfallstore (veraltete Plugins und Themes, schwache Passwörter, Sicherheitslücken im WordPress-Core), die richtige Reihenfolge der Bereinigung und konkrete Maßnahmen, um Ihre WordPress-Website dauerhaft sicher zu betreiben.

Wichtig vorweg: Wenn Sie sich technisch unsicher fühlen, sprechen Sie eine Agentur an, statt selbst Schaden anzurichten. Eine professionelle Bereinigung dauert in der Regel zwischen 4 und 24 Stunden — und stellt sicher, dass kein Backdoor (Einfallstor, Sicherheitslücke, die zum wiederholten WordPress-Hack führen kann) zurückbleibt.

2. Anzeichen: Wurde meine WordPress-Seite gehackt?

Bevor Sie loslegen, prüfen Sie die typischen Symptome. Nicht jeder Fehler bedeutet einen Hack — aber die folgenden Anzeichen sind eindeutig:

  • Fremde Inhalte oder Pop-ups tauchen auf Ihrer WordPress-Website auf, die Sie nicht eingestellt haben.
  • Weiterleitungen auf Glücksspiel-, Pharma- oder Phishing-Seiten — meist nur für Erstbesucher von Google, nicht im eingeloggten Admin-Bereich.
  • Google warnt im Suchergebnis mit „Diese Seite kann Ihren Computer schädigen“, oder die Google Search Console meldet erkannte Malware-Funde.
  • Das Passwort funktioniert nicht mehr, oder Sie sehen unbekannte Benutzer im WP-Dashboard, deren Benutzernamen Sie nie angelegt haben.
  • Mails vom Hosting-Provider, die auf Spam-Versand oder verdächtige Aktivität hinweisen, sind ein deutliches Warnsignal.
  • Plötzlich langsame Ladezeiten oder fremde Dateien im /wp-content/-Verzeichnis (per SFTP sichtbar) deuten auf einen infizierten Server hin.

Wenn mindestens zwei dieser Punkte zutreffen, gehen Sie davon aus, dass Ihre WordPress-Seite gehackt wurde, und starten unverzüglich mit der Soforthilfe — jede weitere Stunde, in der die WordPress-Seite gehackt wurde und online bleibt, verschärft das Problem.

3. Sofortmaßnahmen: Passwort ändern, Backup sichern, Hosting informieren

Die ersten 60 Minuten nach dem Erkennen eines Hacks bestimmen, wie aufwendig die spätere Wiederherstellung wird. Arbeiten Sie diese Schritte streng in der Reihenfolge ab:

  1. Site offline nehmen: Aktivieren Sie den Wartungsmodus oder lassen Sie das Hosting eine .htaccess-Sperre setzen, damit Besucher keinen weiteren Schaden bekommen und Google die Seite nicht im infizierten Zustand crawlt.
  2. Volles Backup ziehen — auch vom kompromittierten Zustand: Sichern Sie alle Dateien und die Datenbank getrennt. Sie brauchen dieses Backup zur Forensik (Wie kam der Angreifer rein?), bevor Sie bereinigen.
  3. Alle Passwörter zurücksetzen: WordPress-Admin, FTP/SFTP, Datenbank, Hosting-Account, E-Mail-Konten. Verwenden Sie einen Passwort-Manager, um starke Passwörter zu generieren — keine Wiederverwendung aus alten Accounts.
  4. Hosting-Provider informieren: Viele Provider haben hauseigene Scan-Tools oder können auf Wunsch ein Server-Image ziehen, das später als Beweismittel dient — auch DSGVO-relevant.

4. Wie Hacker WordPress angreifen: Malware, Brute-Force und veraltete Plugins

WordPress selbst gilt als sicher, solange Core, Plugins und Themes auf dem neuesten Stand sind. In der Praxis kommen Hacker aber über vier typische Wege rein.

4.1 Veraltete Plugins und Themes

Mit Abstand die häufigste Ursache: ein Plugin oder Theme, das seit Monaten nicht aktualisiert wurde und für das öffentliche Sicherheitslücken bekannt sind. Plugins wie WP File Manager oder ältere Versionen von Elementor Pro waren in der Vergangenheit Einfallstore, um tausende Seiten zu infizieren. Regelmäßige Updates sind hier keine Option, sondern Pflicht.

4.2 Brute-Force-Angriffe auf das Login

Wenn Ihr Admin-Benutzer „admin“ heißt und das Passwort schwach ist, brauchen Angreifer keine Sicherheitslücke — sie probieren einfach Millionen Kombinationen pro Stunde. Brute-Force-Angriffe lassen sich mit 2FA, einem Login-Limit und einem nicht-trivialen Benutzernamen wirksam bremsen. Die Kombination dieser drei Maßnahmen senkt die Erfolgschance des Angreifers gegen null.

4.3 Schwachstellen im WordPress-Core

Auch der WordPress-Core hatte in der Vergangenheit Sicherheitslücken. Solange Sie zeitnah aktualisieren — kritische Sicherheits-Updates erscheinen innerhalb weniger Stunden nach Bekanntwerden — bleibt das Risiko gering. Veraltete WordPress-Versionen sind hingegen ein offenes Scheunentor.

4.4 Unsichere Hosting-Umgebung

Auf günstigem Shared-Hosting können sich Hacks von einer Nachbar-Site über Server-Lücken ausbreiten. Wer kommerzielle Inhalte betreibt, sollte in Managed-WordPress-Hosting oder einen eigenen vServer investieren — das reduziert die Angriffsfläche deutlich.

WordPress-Wartung & Sicherheit von Kreativschock

  • Hack-Soforthilfe innerhalb von 24 Stunden — Site wieder sicher online
  • Vollständige Bereinigung inklusive Datenbank, Dateisystem und Google Search Console
  • Vorbeugung: automatische Updates, 2FA, Wordfence-Firewall, tägliche Backups
  • Monatliche Wartungspakete mit Sicherheits-Monitoring und Performance-Check
Zur WordPress-Wartung

5. Bereinigung in fünf Schritten

Nach den Sofortmaßnahmen folgt die eigentliche Bereinigung. Diese Reihenfolge hat sich in der Agentur-Praxis bewährt:

5.1 WordPress-Core und alle Plugins frisch installieren

Laden Sie den WordPress-Core sowie alle Plugins und Themes neu vom offiziellen Repository herunter und ersetzen Sie die Dateien manuell per SFTP. Damit eliminieren Sie veränderten Code, den der Angreifer eingeschleust haben könnte. Inaktive Plugins sollten Sie konsequent löschen, nicht nur deaktivieren — auch eine inaktive Datei kann eine Schwachstelle bleiben.

5.2 Dateisystem scannen mit Wordfence oder Sucuri

Sicherheits-Plugins wie Wordfence scannen alle WordPress-Dateien auf bekannte Malware-Signaturen, fremde PHP-Dateien und verdächtige Code-Schnipsel. Achten Sie besonders auf das /wp-content/uploads/-Verzeichnis — dort dürfen niemals ausführbare PHP-Dateien liegen. Wordfence markiert Funde rot und schlägt die Bereinigung direkt vor.

5.3 Datenbank prüfen und bereinigen

In der WordPress-Datenbank verstecken sich häufig manipulierte Benutzer mit Admin-Rechten, eingeschleuste Skripte in Widget-Bereichen oder Spam-Links in der Tabelle wp_options. Prüfen Sie systematisch wp_users, wp_options und alle Tabellen, die der Hacker gegebenenfalls erweitert hat. Eine kurze SQL-Abfrage auf neue Admin-Accounts ist Pflicht.

5.4 Google Search Console aufräumen

Sobald die Site bereinigt ist, beantragen Sie in der Google Search Console eine erneute Prüfung („Reconsideration Request“). Sonst bleibt die Malware-Warnung in den Suchergebnissen stehen, auch wenn Ihre Seite längst wiederhergestellt ist. Ohne diesen Schritt verlieren Sie tagelang Traffic.

5.5 Sauberes Backup wiederherstellen oder Schritte dokumentieren

Wenn Sie ein sauberes Backup von vor dem Hack haben, ist das oft der schnellste Weg zur vollständigen Wiederherstellung. Andernfalls dokumentieren Sie jeden Bereinigungsschritt im Detail — das hilft, falls der Angriff erneut auftritt oder die Versicherung Nachweise verlangt.

6. Vorbeugung: So bleibt Ihre WordPress-Seite dauerhaft sicher

Nach der Bereinigung folgt die wichtigere Frage: Wie verhindern Sie den nächsten Hack? Diese fünf Maßnahmen senken die Wahrscheinlichkeit signifikant — und sind in unter zwei Stunden umgesetzt.

  • Automatische Updates aktivieren für WordPress-Core, Plugins und Themes. Sicherheits-Patches müssen innerhalb von 24 Stunden eingespielt sein.
  • Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Benutzer aktivieren. Plugins wie WP 2FA oder Wordfence Login Security richten das in fünf Minuten ein.
  • Wordfence oder ein vergleichbares Security-Plugin mit aktiver Firewall installieren. Verdächtige IPs werden automatisch gesperrt, Brute-Force-Angriffe ausgebremst.
  • Tägliche Backups automatisieren mit externem Speicherort (nicht auf demselben Server). UpdraftPlus oder BackWPup reichen für die meisten Fälle.
  • Plugin-Hygiene: Maximal 20 aktive Plugins, jedes davon mit aktivem Entwickler-Support. Aufgegebene Plugins sofort durch Alternativen ersetzen.

7. Fazit

Eine gehackte WordPress-Seite ist ärgerlich, aber selten ein Totalschaden. Wer schnell reagiert, sauber bereinigt und anschließend in Vorbeugung investiert, hat den Vorfall meist innerhalb eines Tages erledigt. Wer dagegen mit veralteten Plugins, schwachen Passwörtern und ohne aktuelle Backups arbeitet, riskiert nicht nur den Wiederholungsfall — sondern auch DSGVO-relevante Datenverluste.

Behandeln Sie WordPress wie ein Haus: regelmäßig warten, die Schlösser aktuell halten, niemandem den Zweitschlüssel geben. Dann bleibt Ihre WordPress-Website sicher — auch in einer Bedrohungslage, die jedes Jahr aggressiver wird. Falls der Schaden im Einzelfall so groß ist, dass eine Neuerstellung wirtschaftlicher ist als die Bereinigung, können Sie auch eine komplett neue Homepage erstellen lassen — mit sauberer Sicherheitsbasis von Tag eins.

8. Notfall-Checkliste zum Ausdrucken

Wenn der Ernstfall eintritt, brauchen Sie eine Liste, die in Panik trotzdem funktioniert:

  1. Site sofort in den Wartungsmodus.
  2. Vollständiges Backup ziehen (Dateien + Datenbank).
  3. Alle Zugangsdaten ändern (Admin, FTP, DB, Hosting).
  4. Hosting-Provider und Datenschutzbeauftragten informieren.
  5. Bereinigung nach Kapitel 5 durchführen oder Agentur beauftragen.
  6. Google Search Console reaktivieren.
  7. Vorbeugungs-Setup (2FA, Wordfence, Backup-Plan) installieren.

Kontakt aufnehmen

WordPress gehackt und keine Zeit für die Bereinigung? Schreiben Sie uns — wir reagieren innerhalb von 24 Stunden:

Datenschutzerklärung*

Häufige Fragen zu gehackten WordPress-Seiten

Ja. WordPress ist mit über 40 % Marktanteil das beliebteste CMS weltweit — und damit das attraktivste Ziel für Angreifer. Mit aktuellen Updates, 2FA und starken Passwörtern ist eine WordPress-Seite jedoch deutlich sicherer als die meisten anderen Systeme.

Typische Symptome sind fremde Inhalte oder Pop-ups, Weiterleitungen auf dubiose Domains, Malware-Warnungen in Google, ein nicht funktionierendes Admin-Passwort und unbekannte Benutzer im WP-Dashboard. Auch Mails vom Hosting-Provider mit Spam-Warnungen sind ein klares Indiz.

WordPress ist so sicher wie seine Pflege. Eine aktuell gehaltene Installation mit aktiver Firewall, 2FA und sauberer Plugin-Auswahl ist sehr robust. Eine vernachlässigte Installation mit veralteten Plugins und schwachen Passwörtern ist hingegen extrem angreifbar.

Für eine vollständige Bereinigung inklusive Dateisystem, Datenbank und Resetup der WordPress Website kalkuliert man typischerweise 350 bis 1.200 Euro, abhängig von Umfang der Site und Schwere des Hacks. Eine Pauschale für Notfall-Hilfe ist meist günstiger als stundenbasierte Abrechnung. Generell gilt, nicht die Bereinigung ist das Wichtigste, sondern ein zukünftig stabiles Setup.

Wordfence ist in der kostenlosen Version bereits stark: Firewall, Malware-Scanner und Login-Schutz in einem Paket. Für anspruchsvolle Sites lohnt sich die Premium-Lizenz oder Sucuri. Wichtiger als das Plugin sind aber regelmäßige Updates und 2FA — ohne diese Basis hilft auch das beste Plugin nicht.

Bei einem sauberen Backup von vor dem Hack: 1 bis 3 Stunden. Ohne Backup mit voller manueller Bereinigung: 8 bis 24 Stunden. Plus die Wartezeit auf die Google Search Console (bis zur Aufhebung der Malware-Warnung dauert es 1 bis 7 Tage).

Fünf Maßnahmen reichen: WordPress und Plugins immer auf dem neuesten Stand halten, 2FA für alle Admin-Benutzer, ein Security-Plugin wie Wordfence mit Firewall, tägliche automatische Backups mit externem Speicherort, und konsequente Plugin-Hygiene (maximal 20 aktive Plugins, alle mit aktivem Support).

Disclaimer: Alle genannten Empfehlungen, Kosten und Zeitangaben wurden nach bestem Wissen und Gewissen recherchiert.

Ähnliche Beiträge