| | |

WordPress gehackt: Soforthilfe und Bereinigung – Schritt für Schritt

Ein Krankenhausbett mit einem Kissen und einem Laken unter einer Hängelampe; ein Monitor neben dem Bett zeigt eine Herzfrequenzkurve an.

1. Einführung: WordPress gehackt, was jetzt wirklich zählt

Eine E-Mail vom Hoster, Betreff „Malware auf Ihrem Webspace“. Oder die rote Warnung von Google, mitten im Geschäftstag. Oder ein Anruf: „Bei euch auf der Seite öffnet sich komisches Glücksspiel-Zeug.“ So fühlt sich der Moment an, in dem klar wird: Die eigene WordPress-Seite wurde gehackt. Der erste Impuls ist Panik, der zweite hektisches Herumklicken. Beides macht es schlimmer. Was Sie jetzt brauchen, ist kein Aktionismus, sondern eine Reihenfolge.

Auf einen Blick:

  • Allein 2024 wurden 7.966 neue Schwachstellen im WordPress-Ökosystem gemeldet, ein Anstieg von 34 Prozent gegenüber dem Vorjahr (Patchstack).
  • 96 Prozent dieser Schwachstellen stecken in Plugins, nur 4 Prozent in Themes; der WordPress-Kern selbst ist selten die Lücke (Patchstack).
  • Das BSI empfiehlt, ein CMS niemals in der Standardkonfiguration zu betreiben, sondern es nach der Installation gezielt abzusichern (BSI).

WordPress gehackt bedeutet, dass Angreifer über eine Sicherheitslücke, ein veraltetes Plugin oder ein schwaches Passwort Zugriff auf Ihre Website erlangt haben. Typische Folgen sind Schadcode, fremde Weiterleitungen, Spam-Versand und Google-Warnungen. Die Soforthilfe folgt immer derselben Reihenfolge: Website offline nehmen, Beweise sichern, Passwörter ändern, Malware entfernen, WordPress sauber neu aufsetzen und die Seite dauerhaft absichern.

Dieser Beitrag ist Ihr Notfall-Ablaufplan. Erst die Symptome, dann die Ursachen, dann die Bereinigung Schritt für Schritt, zum Schluss die Prävention, damit sich der Schreck nicht wiederholt. Wenn Sie das lieber in ruhige Hände geben möchten: Unser Team für WordPress-Wartung bereinigt gehackte Seiten und härtet sie anschließend ab.


2. Woran Sie erkennen, dass Ihre WordPress-Seite gehackt wurde

Manche Hacks brüllen, die meisten flüstern. Ein verändertes Logo bemerkt jeder sofort, ein verstecktes Spam-Script monatelang niemand. Genau das ist die Gefahr: Je länger ein Angriff unentdeckt bleibt, desto teurer wird die Bereinigung und desto größer der Schaden an Ranking und Ruf.

Diese Anzeichen deuten darauf hin, dass Ihre WordPress-Seite gehackt wurde:

  • Login verweigert: Ihr Passwort funktioniert plötzlich nicht mehr, obwohl Sie es korrekt eingeben, oder Sie können sich gar nicht mehr ins Dashboard einloggen.
  • Fremde Weiterleitungen: Beim Klick aus den Google-Ergebnissen landen Besucher auf dubiosen Seiten, oft nur auf dem Smartphone und nur über Suchmaschinen.
  • Unbekannte Benutzer: Im Backend taucht ein Administrator-Konto auf, das Sie nie angelegt haben, häufig mit kryptischem Namen.
  • Google-Warnung: In den Suchergebnissen steht „Diese Website kann Ihren Computer schädigen“, oder die Search Console meldet Schadsoftware.
  • Seltsame Dateien: Per FTP finden Sie im Verzeichnis Dateien, die wie WordPress aussehen, aber nicht dazugehören.
  • Spam-Versand: Ihr Hoster sperrt den Mailversand, weil über die Seite massenhaft Spam verschickt wurde.

Ein kostenloser Online-Scanner wie Sucuri SiteCheck prüft Ihre Seite von außen in Sekunden und zeigt, ob bekannte Malware oder eine Blacklist-Eintragung vorliegt. Das ersetzt keine gründliche Analyse, gibt aber eine schnelle erste Antwort auf die Frage, ob Ihre Webseite gehackt wurde.

Ruhe bewahren ist hier kein Kalenderspruch, sondern Methode.


3. Warum WordPress-Seiten gehackt werden

Die kurze Antwort: wegen der Verbreitung. Laut W3Techs betreibt WordPress 41,5 Prozent aller Websites weltweit und 59,3 Prozent aller Seiten mit bekanntem Content-Management-System. Das macht WordPress zur größten Angriffsfläche im Netz. Und fast alle Angriffe laufen vollautomatisch, rund um die Uhr.

Sie fragen sich jetzt vielleicht: Warum ausgerechnet meine kleine Firmen-Website? Den meisten Hackern ist Ihre Seite herzlich egal. Sie suchen nicht Sie, sie suchen eine Lücke. Ein Bot klappert millionenfach Adressen ab und probiert bekannte Schwachstellen durch, so wie ein Einbrecher nicht ein bestimmtes Haus will, sondern eine offene Tür in der ganzen Straße. Ob dahinter ein Konzern oder ein Sportverein sitzt, interessiert das Skript nicht.

Und die offenen Türen sind fast nie der WordPress-Kern selbst. Patchstack bringt es in seinem Bericht State of WordPress Security auf den Punkt: „96% of the vulnerabilities were uncovered in plugins, and 4% were found in themes.“ Im Klartext: Veraltete Plugins und Themes sind das Einfallstor, nicht WordPress an sich. Dazu kommen schwache Passwörter, die Bots schlicht durch maschinelles Ausprobieren knacken.

Wo die WordPress-Schwachstellen wirklich stecken 96 % Plugins 4 % Themes < 1 % WordPress-Kern
Quelle: Patchstack, State of WordPress Security. Anteil neu gemeldeter Schwachstellen nach Komponente.

Aus unserer Praxis bei Kreativschock: Die letzten großen Hack-Fälle bei Kunden kamen über das weit verbreitete Avada-Theme, das in der Vergangenheit zahlreiche Sicherheitslücken aufwies. Wir bereinigen regelmäßig gehackte Websites und überführen sie danach in einen gesicherten, gehärteten Zustand. Die Muster wiederholen sich: ein Plugin oder Theme war monatelang nicht auf dem neuesten Stand, der Angreifer fand die bekannte Schwachstelle, der Rest lief automatisch.


4. Soforthilfe: Der Notfallplan in sieben Schritten

So sieht es aus: Sie arbeiten die folgenden sieben Schritte der Reihe nach ab. Nicht überspringen, nicht umsortieren. Die Reihenfolge schützt davor, dass Sie sich selbst aussperren oder Beweise vernichten.

4.1 Website offline nehmen

Zuerst nehmen Sie die Seite vom Netz, denn eine gehackte Seite kann im Hintergrund Ihre Besucher infizieren und weitere Schäden verteilen. Haben Sie noch Zugang zum Backend, hilft ein Wartungsmodus-Plugin. Ist der Login blockiert, sperren Sie den Zugriff über die .htaccess-Datei auf Ihre eigene IP-Adresse. Eine kurze Auszeit ist besser als eine Seite, die im Hintergrund Schadcode an Ihre Kunden ausliefert.

4.2 Beweise sichern mit einem Backup

Das klingt im ersten Moment widersinnig, ist aber wichtig: Erstellen Sie ein Backup der gehackten Version inklusive Datenbank. Dieses Backup spielen Sie nicht zurück, es dient der Beweissicherung und der späteren Spurensuche. Falls aus dem Angriff ein Datenschutzvorfall wird, brauchen Sie diese Dokumentation. Lagern Sie das Backup getrennt vom Server.

4.3 Eigenen Rechner prüfen

Bevor Sie neue Passwörter vergeben, scannen Sie Ihren eigenen Computer mit einem Virenscanner. Manchmal liegt das Einfallstor gar nicht auf dem Server, sondern auf dem lokalen Rechner, von dem der Angreifer per Schadprogramm die Zugangsdaten abgegriffen hat. Neue Passwörter auf einem infizierten Gerät einzugeben, wäre, als tauschten Sie das Türschloss, während der Einbrecher zusieht.

4.4 Alle Passwörter ändern

Jetzt ändern Sie konsequent alle Passwörter: WordPress-Benutzer, FTP- und SSH-Zugang, Datenbank, Hosting-Konto und das zugehörige E-Mail-Postfach. Vergeben Sie pro Zugang ein langes, einzigartiges Passwort und entfernen Sie dabei sofort jeden unbekannten Benutzer aus der Liste. Ein wiederverwendetes Passwort ist wie ein Generalschlüssel für den Angreifer. Das Passwörter ändern ist der Moment, in dem Sie ihm die Tür vor der Nase zuschlagen.

4.5 Malware finden und entfernen

Jetzt beginnt die eigentliche Spurensuche. Ein Sicherheits-Plugin wie Wordfence scannt die gesamte WordPress-Installation und gleicht die Kerndateien gegen die Originale ab, sodass eingeschleuste Dateien auffallen. Achten Sie besonders auf typische Verstecke: wp-config.php, .htaccess, die index.php und die Theme-Dateien header.php und footer.php. Wer mit der Konsole umgehen kann, prüft den WordPress-Kern zusätzlich per Checksummen-Abgleich. Ziel ist, jeden Schadcode restlos zu entfernen, nicht nur den sichtbaren Teil.

4.6 WordPress sauber neu aufsetzen

Bleiben Zweifel, ob wirklich alles sauber ist, setzen Sie den WordPress-Kern neu auf: frische wp-admin- und wp-includes-Ordner sowie die Stammdateien hochladen, dabei aber Ihre wp-config.php und Uploads behalten. Anschließend alle Plugins und Themes aktualisieren oder, im Zweifel, frisch und manuell aus vertrauenswürdiger Quelle installieren. Verzichten Sie auf den Ein-Klick-Installer, der Ihre Datenbank überschreiben würde. Eine Backdoor übersieht man leicht, ein sauberer Neuaufbau lässt ihr keine Chance.

4.7 Seite wieder online stellen und Google informieren

Ist keine Malware mehr zu finden und läuft alles sauber, nehmen Sie die Seite wieder online. Hat Ihr Hoster den Webspace gesperrt, melden Sie den bereinigten Zustand. Reichen Sie in der Google Search Console eine Überprüfung ein, um die Sicherheitswarnung loszuwerden, und erstellen Sie die Sitemap neu. Die erneute Indexierung kann anschließend einige Tage bis gut zwei Wochen dauern, hier hilft nur Geduld.

Der Notfallplan: sieben Schritte in fester Reihenfolge 1 Website offline nehmen Wartungsmodus oder .htaccess-Sperre 2 Beweise sichern Backup der gehackten Version 3 Eigenen Rechner prüfen Virenscan gegen abgegriffene Daten 4 Alle Passwörter ändern WordPress, FTP, Datenbank, Hosting 5 Malware entfernen Scan und Datei-Abgleich 6 WordPress neu aufsetzen Kern, Plugins und Themes erneuern 7 Online stellen und Google informieren Search Console prüfen lassen, Sitemap neu Reihenfolge einhalten: Schritt 1 zuerst, Beweise vor der Bereinigung sichern
Notfall-Ablauf bei einer gehackten WordPress-Seite; bewährte Reihenfolge aus der Praxis.

5. Selbst bereinigen oder Profi holen?

Kann ich den Hack selbst entfernen oder brauche ich eine Agentur? Die ehrliche Antwort hängt von zwei Dingen ab: Ihrem technischen Komfort und dem Wert der Seite. Eine private Bastelseite bekommen Sie mit den sieben Schritten oft selbst sauber. Bei einer Website, die Umsatz bringt, sieht die Rechnung anders aus.

Aber hier ist der Haken: Das Tückische an einem Hack sind nicht die offensichtlichen Schäden, sondern die versteckten Backdoors. Ein Angreifer hinterlässt gern mehrere Hintertüren, damit er nach der ersten Bereinigung erneut zugreifen kann. Wer nur den sichtbaren Schadcode entfernt, hat die Seite scheinbar gerettet und ist zwei Wochen später wieder gehackt. Das ist wie ein Wespennest, das Sie oben abschneiden, während der Stock in der Wand bleibt.

KriteriumSelbst bereinigenProfi beauftragen
Technisches WissenFTP, Datenbank, Code-Lesen nötigKeines nötig
ZeitaufwandMehrere Stunden bis TageMeist innerhalb von 24 bis 48 Stunden
Risiko Backdoor übersehenHochGering
Sinnvoll beiHobby- und TestseitenGeschäftskritischen Websites

Ein gehacktes WordPress kostet nicht nur Nerven, sondern auch Sichtbarkeit: Google stuft infizierte Seiten ab, und ein verlorenes Ranking holt man nicht über Nacht zurück. Wer den Schaden begrenzen und die Suchmaschinenoptimierung der Seite retten will, sollte bei einer Geschäftsseite nicht zu lange experimentieren.


6. WordPress dauerhaft absichern und Hacks vorbeugen

Die Bereinigung ist die Feuerwehr, die Prävention ist der Rauchmelder. Ein gehacktes WordPress ist ärgerlich, in den meisten Fällen aber vermeidbar, denn fast jeder erfolgreiche Angriff nutzt eine bekannte, längst geschlossene Lücke. Genau hier setzt die Härtung an.

Das BSI rät laut heise online, „ein CMS keinesfalls in der Standardkonfiguration zu betreiben, sondern es nach der Installation hinsichtlich der für die Sicherheit relevanten Optionen anzupassen“. Übersetzt heißt das: Standard ist Einladung, Konfiguration ist Schutz.

Härtungs-Checkliste: WordPress absichern

  • WordPress, Plugins und Themes automatisch auf dem neuesten Stand halten
  • Lange, einzigartige Passwörter plus Zwei-Faktor-Authentifizierung
  • Kein Benutzer namens „admin“, Login-Versuche begrenzen
  • Ungenutzte Plugins und Themes löschen statt nur deaktivieren
  • Sicherheits-Plugin mit Firewall und Malware-Scan aktivieren
  • Regelmäßige, externe Backups mit getestetem Wiederherstellen
Sechs Härtungs-Maßnahmen; der wichtigste Hebel sind zeitnahe Updates (coral markiert).

Der mit Abstand wichtigste Punkt sind Updates. Veraltete Themes und Plugins sind die offene Tür, durch die fast jeder Angreifer kommt. Wer Updates verschiebt, weil „läuft ja“, spielt mit jedem Tag ein bisschen mehr Lotterie. Automatische Updates und ein regelmäßiger Blick auf die Liste der installierten Erweiterungen schließen diese Tür dauerhaft.

Backups sind Ihr Sicherheitsnetz. Erst ein aktuelles, extern gelagertes Backup macht aus einer Katastrophe einen ärgerlichen Nachmittag, weil Sie die Seite notfalls auf einen sauberen Stand zurücksetzen können. Wer all das nicht selbst pflegen will, gibt die Härtung und das Monitoring an eine Webdesign-Agentur, die Updates, Backups und Sicherheits-Scans im Hintergrund übernimmt.


7. Fazit

Eine gehackte WordPress-Seite ist ein Schreck, aber kein Weltuntergang. Wer den ersten Reflex zur Panik überwindet und der festen Reihenfolge folgt, hat die Lage meist binnen ein bis zwei Tagen im Griff: Seite offline, Beweise sichern, Passwörter ändern, Malware entfernen, sauber neu aufsetzen, absichern. Und wer danach konsequent Updates fährt und Backups pflegt, macht es dem nächsten Bot so unbequem, dass er weiterzieht.

Dann trifft sie ein, die grüne Meldung der Search Console: keine Warnung mehr, die Rankings erholen sich, das Kontaktformular klingelt wieder mit echten Anfragen statt mit Spam. Die Seite lädt sauber, im Backend stehen nur noch Ihre eigenen Benutzer, und morgens beim Kaffee öffnen Sie das Dashboard ohne dieses flaue Gefühl im Magen. Genau dieser ruhige Zustand ist das Ziel, und er ist näher, als es im Schreckmoment aussieht.


8. Anhang: Ihre Notfall-Checkliste bei gehacktem WordPress

  1. Offline: Seite per Wartungsmodus oder .htaccess vom Netz nehmen.
  2. Beweise: Backup der gehackten Version inklusive Datenbank getrennt sichern.
  3. Rechner: Eigenen Computer per Virenscan auf Schadprogramme prüfen.
  4. Passwörter: WordPress, FTP, Datenbank, Hosting und E-Mail neu vergeben, fremde Benutzer löschen.
  5. Malware: Mit Wordfence oder Sucuri scannen, verdächtige Dateien und Schadcode entfernen.
  6. Neuaufbau: WordPress-Kern erneuern, Plugins und Themes aktualisieren oder neu installieren.
  7. Online: Seite freigeben, Google Search Console prüfen lassen, Sitemap neu erstellen.
  8. Vorbeugen: Automatische Updates, Zwei-Faktor-Login, Backups und ein Sicherheits-Plugin einrichten.

Ihre WordPress-Seite wurde gehackt und Sie wollen schnell und unkompliziert die Kontrolle zurück? Schreiben Sie uns, wir melden uns innerhalb von 24 Stunden:

Datenschutzerklärung*

Häufige Fragen zu gehacktem WordPress

Typische Anzeichen sind ein blockierter Login, fremde Weiterleitungen aus den Suchergebnissen, unbekannte Administrator-Benutzer, Google-Sicherheitswarnungen, seltsame Dateien auf dem Server und plötzlicher Spam-Versand. Ein kostenloser Online-Scanner wie Sucuri SiteCheck gibt eine schnelle erste Einschätzung.

Nehmen Sie die Seite zuerst offline, sichern Sie dann ein Backup der gehackten Version als Beweis und ändern Sie anschließend alle Passwörter. Erst danach folgen Malware-Suche, Neuaufbau und das Wiederveröffentlichen. Die Reihenfolge ist wichtig, damit Sie sich nicht aussperren oder Spuren vernichten.

Scannen Sie die Installation mit einem Sicherheits-Plugin wie Wordfence, das die Kerndateien gegen die Originale abgleicht. Prüfen Sie typische Verstecke wie wp-config.php, .htaccess und die Theme-Dateien. Im Zweifel den WordPress-Kern komplett neu aufsetzen, um auch versteckte Backdoors zu entfernen.

Wegen seiner enormen Verbreitung lohnt sich der automatisierte Angriff. Laut Patchstack stecken 96 Prozent der Schwachstellen in Plugins und nur 4 Prozent in Themes, der WordPress-Kern selbst ist selten betroffen. Veraltete Erweiterungen und schwache Passwörter sind die häufigsten Einfallstore.

Eine private Bastelseite bekommen Sie mit den sieben Schritten oft selbst sauber. Bei einer geschäftskritischen Website lohnt sich der Profi, weil versteckte Backdoors leicht übersehen werden und die Seite sonst kurz darauf erneut gehackt ist. Hier zählen Gründlichkeit und Tempo.

Halten Sie WordPress, Plugins und Themes automatisch aktuell, nutzen Sie lange Passwörter mit Zwei-Faktor-Authentifizierung, löschen Sie ungenutzte Erweiterungen und aktivieren Sie ein Sicherheits-Plugin mit Firewall. Regelmäßige, extern gelagerte Backups sind das Sicherheitsnetz für den Ernstfall.

Möglich ist es: Google stuft infizierte Seiten ab und kann sie mit einer Warnung versehen. Nach der Bereinigung beantragen Sie in der Search Console eine Überprüfung; die erneute Indexierung dauert dann einige Tage bis gut zwei Wochen. Je schneller Sie handeln, desto kleiner der Ranking-Schaden.

Disclaimer: Alle genannten Statistiken, Zeitangaben und Erfahrungswerte entsprechen dem Stand der Recherche zum Veröffentlichungszeitpunkt beziehungsweise der Kreativschock-Projektpraxis. Vorgehen und Ergebnisse können je nach Hosting, Theme, Plugin-Konfiguration und Art des Angriffs abweichen. Dieser Beitrag ersetzt keine individuelle Sicherheitsanalyse und keine fachjuristische Beratung in Datenschutzfragen.

Das könnte Sie auch interessieren