1. Einführung: WordPress gehackt, was jetzt wirklich zählt
Eine E-Mail vom Hoster, Betreff „Malware auf Ihrem Webspace“. Oder die rote Warnung von Google, mitten im Geschäftstag. Oder ein Anruf: „Bei euch auf der Seite öffnet sich komisches Glücksspiel-Zeug.“ So fühlt sich der Moment an, in dem klar wird: Die eigene WordPress-Seite wurde gehackt. Der erste Impuls ist Panik, der zweite hektisches Herumklicken. Beides macht es schlimmer. Was Sie jetzt brauchen, ist kein Aktionismus, sondern eine Reihenfolge.
Auf einen Blick:
- Allein 2024 wurden 7.966 neue Schwachstellen im WordPress-Ökosystem gemeldet, ein Anstieg von 34 Prozent gegenüber dem Vorjahr (Patchstack).
- 96 Prozent dieser Schwachstellen stecken in Plugins, nur 4 Prozent in Themes; der WordPress-Kern selbst ist selten die Lücke (Patchstack).
- Das BSI empfiehlt, ein CMS niemals in der Standardkonfiguration zu betreiben, sondern es nach der Installation gezielt abzusichern (BSI).
WordPress gehackt bedeutet, dass Angreifer über eine Sicherheitslücke, ein veraltetes Plugin oder ein schwaches Passwort Zugriff auf Ihre Website erlangt haben. Typische Folgen sind Schadcode, fremde Weiterleitungen, Spam-Versand und Google-Warnungen. Die Soforthilfe folgt immer derselben Reihenfolge: Website offline nehmen, Beweise sichern, Passwörter ändern, Malware entfernen, WordPress sauber neu aufsetzen und die Seite dauerhaft absichern.
Dieser Beitrag ist Ihr Notfall-Ablaufplan. Erst die Symptome, dann die Ursachen, dann die Bereinigung Schritt für Schritt, zum Schluss die Prävention, damit sich der Schreck nicht wiederholt. Wenn Sie das lieber in ruhige Hände geben möchten: Unser Team für WordPress-Wartung bereinigt gehackte Seiten und härtet sie anschließend ab.
2. Woran Sie erkennen, dass Ihre WordPress-Seite gehackt wurde
Manche Hacks brüllen, die meisten flüstern. Ein verändertes Logo bemerkt jeder sofort, ein verstecktes Spam-Script monatelang niemand. Genau das ist die Gefahr: Je länger ein Angriff unentdeckt bleibt, desto teurer wird die Bereinigung und desto größer der Schaden an Ranking und Ruf.
Diese Anzeichen deuten darauf hin, dass Ihre WordPress-Seite gehackt wurde:
- Login verweigert: Ihr Passwort funktioniert plötzlich nicht mehr, obwohl Sie es korrekt eingeben, oder Sie können sich gar nicht mehr ins Dashboard einloggen.
- Fremde Weiterleitungen: Beim Klick aus den Google-Ergebnissen landen Besucher auf dubiosen Seiten, oft nur auf dem Smartphone und nur über Suchmaschinen.
- Unbekannte Benutzer: Im Backend taucht ein Administrator-Konto auf, das Sie nie angelegt haben, häufig mit kryptischem Namen.
- Google-Warnung: In den Suchergebnissen steht „Diese Website kann Ihren Computer schädigen“, oder die Search Console meldet Schadsoftware.
- Seltsame Dateien: Per FTP finden Sie im Verzeichnis Dateien, die wie WordPress aussehen, aber nicht dazugehören.
- Spam-Versand: Ihr Hoster sperrt den Mailversand, weil über die Seite massenhaft Spam verschickt wurde.
Ein kostenloser Online-Scanner wie Sucuri SiteCheck prüft Ihre Seite von außen in Sekunden und zeigt, ob bekannte Malware oder eine Blacklist-Eintragung vorliegt. Das ersetzt keine gründliche Analyse, gibt aber eine schnelle erste Antwort auf die Frage, ob Ihre Webseite gehackt wurde.
Ruhe bewahren ist hier kein Kalenderspruch, sondern Methode.
3. Warum WordPress-Seiten gehackt werden
Die kurze Antwort: wegen der Verbreitung. Laut W3Techs betreibt WordPress 41,5 Prozent aller Websites weltweit und 59,3 Prozent aller Seiten mit bekanntem Content-Management-System. Das macht WordPress zur größten Angriffsfläche im Netz. Und fast alle Angriffe laufen vollautomatisch, rund um die Uhr.
Sie fragen sich jetzt vielleicht: Warum ausgerechnet meine kleine Firmen-Website? Den meisten Hackern ist Ihre Seite herzlich egal. Sie suchen nicht Sie, sie suchen eine Lücke. Ein Bot klappert millionenfach Adressen ab und probiert bekannte Schwachstellen durch, so wie ein Einbrecher nicht ein bestimmtes Haus will, sondern eine offene Tür in der ganzen Straße. Ob dahinter ein Konzern oder ein Sportverein sitzt, interessiert das Skript nicht.
Und die offenen Türen sind fast nie der WordPress-Kern selbst. Patchstack bringt es in seinem Bericht State of WordPress Security auf den Punkt: „96% of the vulnerabilities were uncovered in plugins, and 4% were found in themes.“ Im Klartext: Veraltete Plugins und Themes sind das Einfallstor, nicht WordPress an sich. Dazu kommen schwache Passwörter, die Bots schlicht durch maschinelles Ausprobieren knacken.
Aus unserer Praxis bei Kreativschock: Die letzten großen Hack-Fälle bei Kunden kamen über das weit verbreitete Avada-Theme, das in der Vergangenheit zahlreiche Sicherheitslücken aufwies. Wir bereinigen regelmäßig gehackte Websites und überführen sie danach in einen gesicherten, gehärteten Zustand. Die Muster wiederholen sich: ein Plugin oder Theme war monatelang nicht auf dem neuesten Stand, der Angreifer fand die bekannte Schwachstelle, der Rest lief automatisch.
4. Soforthilfe: Der Notfallplan in sieben Schritten
So sieht es aus: Sie arbeiten die folgenden sieben Schritte der Reihe nach ab. Nicht überspringen, nicht umsortieren. Die Reihenfolge schützt davor, dass Sie sich selbst aussperren oder Beweise vernichten.
4.1 Website offline nehmen
Zuerst nehmen Sie die Seite vom Netz, denn eine gehackte Seite kann im Hintergrund Ihre Besucher infizieren und weitere Schäden verteilen. Haben Sie noch Zugang zum Backend, hilft ein Wartungsmodus-Plugin. Ist der Login blockiert, sperren Sie den Zugriff über die .htaccess-Datei auf Ihre eigene IP-Adresse. Eine kurze Auszeit ist besser als eine Seite, die im Hintergrund Schadcode an Ihre Kunden ausliefert.
4.2 Beweise sichern mit einem Backup
Das klingt im ersten Moment widersinnig, ist aber wichtig: Erstellen Sie ein Backup der gehackten Version inklusive Datenbank. Dieses Backup spielen Sie nicht zurück, es dient der Beweissicherung und der späteren Spurensuche. Falls aus dem Angriff ein Datenschutzvorfall wird, brauchen Sie diese Dokumentation. Lagern Sie das Backup getrennt vom Server.
4.3 Eigenen Rechner prüfen
Bevor Sie neue Passwörter vergeben, scannen Sie Ihren eigenen Computer mit einem Virenscanner. Manchmal liegt das Einfallstor gar nicht auf dem Server, sondern auf dem lokalen Rechner, von dem der Angreifer per Schadprogramm die Zugangsdaten abgegriffen hat. Neue Passwörter auf einem infizierten Gerät einzugeben, wäre, als tauschten Sie das Türschloss, während der Einbrecher zusieht.
4.4 Alle Passwörter ändern
Jetzt ändern Sie konsequent alle Passwörter: WordPress-Benutzer, FTP- und SSH-Zugang, Datenbank, Hosting-Konto und das zugehörige E-Mail-Postfach. Vergeben Sie pro Zugang ein langes, einzigartiges Passwort und entfernen Sie dabei sofort jeden unbekannten Benutzer aus der Liste. Ein wiederverwendetes Passwort ist wie ein Generalschlüssel für den Angreifer. Das Passwörter ändern ist der Moment, in dem Sie ihm die Tür vor der Nase zuschlagen.
4.5 Malware finden und entfernen
Jetzt beginnt die eigentliche Spurensuche. Ein Sicherheits-Plugin wie Wordfence scannt die gesamte WordPress-Installation und gleicht die Kerndateien gegen die Originale ab, sodass eingeschleuste Dateien auffallen. Achten Sie besonders auf typische Verstecke: wp-config.php, .htaccess, die index.php und die Theme-Dateien header.php und footer.php. Wer mit der Konsole umgehen kann, prüft den WordPress-Kern zusätzlich per Checksummen-Abgleich. Ziel ist, jeden Schadcode restlos zu entfernen, nicht nur den sichtbaren Teil.
4.6 WordPress sauber neu aufsetzen
Bleiben Zweifel, ob wirklich alles sauber ist, setzen Sie den WordPress-Kern neu auf: frische wp-admin- und wp-includes-Ordner sowie die Stammdateien hochladen, dabei aber Ihre wp-config.php und Uploads behalten. Anschließend alle Plugins und Themes aktualisieren oder, im Zweifel, frisch und manuell aus vertrauenswürdiger Quelle installieren. Verzichten Sie auf den Ein-Klick-Installer, der Ihre Datenbank überschreiben würde. Eine Backdoor übersieht man leicht, ein sauberer Neuaufbau lässt ihr keine Chance.
4.7 Seite wieder online stellen und Google informieren
Ist keine Malware mehr zu finden und läuft alles sauber, nehmen Sie die Seite wieder online. Hat Ihr Hoster den Webspace gesperrt, melden Sie den bereinigten Zustand. Reichen Sie in der Google Search Console eine Überprüfung ein, um die Sicherheitswarnung loszuwerden, und erstellen Sie die Sitemap neu. Die erneute Indexierung kann anschließend einige Tage bis gut zwei Wochen dauern, hier hilft nur Geduld.
WordPress gehackt? Wir bereinigen und sichern ab
- Schnelle Soforthilfe: Seite vom Netz, Schadcode raus, Kontrolle zurück
- Vollständige Bereinigung inklusive Datenbank und versteckter Backdoors
- Härtung von Plugins, Themes und Zugängen gegen den nächsten Angriff
- Laufende WordPress-Wartung mit Updates, Backups und Monitoring
5. Selbst bereinigen oder Profi holen?
Kann ich den Hack selbst entfernen oder brauche ich eine Agentur? Die ehrliche Antwort hängt von zwei Dingen ab: Ihrem technischen Komfort und dem Wert der Seite. Eine private Bastelseite bekommen Sie mit den sieben Schritten oft selbst sauber. Bei einer Website, die Umsatz bringt, sieht die Rechnung anders aus.
Aber hier ist der Haken: Das Tückische an einem Hack sind nicht die offensichtlichen Schäden, sondern die versteckten Backdoors. Ein Angreifer hinterlässt gern mehrere Hintertüren, damit er nach der ersten Bereinigung erneut zugreifen kann. Wer nur den sichtbaren Schadcode entfernt, hat die Seite scheinbar gerettet und ist zwei Wochen später wieder gehackt. Das ist wie ein Wespennest, das Sie oben abschneiden, während der Stock in der Wand bleibt.
| Kriterium | Selbst bereinigen | Profi beauftragen |
| Technisches Wissen | FTP, Datenbank, Code-Lesen nötig | Keines nötig |
| Zeitaufwand | Mehrere Stunden bis Tage | Meist innerhalb von 24 bis 48 Stunden |
| Risiko Backdoor übersehen | Hoch | Gering |
| Sinnvoll bei | Hobby- und Testseiten | Geschäftskritischen Websites |
Ein gehacktes WordPress kostet nicht nur Nerven, sondern auch Sichtbarkeit: Google stuft infizierte Seiten ab, und ein verlorenes Ranking holt man nicht über Nacht zurück. Wer den Schaden begrenzen und die Suchmaschinenoptimierung der Seite retten will, sollte bei einer Geschäftsseite nicht zu lange experimentieren.
6. WordPress dauerhaft absichern und Hacks vorbeugen
Die Bereinigung ist die Feuerwehr, die Prävention ist der Rauchmelder. Ein gehacktes WordPress ist ärgerlich, in den meisten Fällen aber vermeidbar, denn fast jeder erfolgreiche Angriff nutzt eine bekannte, längst geschlossene Lücke. Genau hier setzt die Härtung an.
Das BSI rät laut heise online, „ein CMS keinesfalls in der Standardkonfiguration zu betreiben, sondern es nach der Installation hinsichtlich der für die Sicherheit relevanten Optionen anzupassen“. Übersetzt heißt das: Standard ist Einladung, Konfiguration ist Schutz.
Härtungs-Checkliste: WordPress absichern
- ✓ WordPress, Plugins und Themes automatisch auf dem neuesten Stand halten
- ✓ Lange, einzigartige Passwörter plus Zwei-Faktor-Authentifizierung
- ✓ Kein Benutzer namens „admin“, Login-Versuche begrenzen
- ✓ Ungenutzte Plugins und Themes löschen statt nur deaktivieren
- ✓ Sicherheits-Plugin mit Firewall und Malware-Scan aktivieren
- ✓ Regelmäßige, externe Backups mit getestetem Wiederherstellen
Der mit Abstand wichtigste Punkt sind Updates. Veraltete Themes und Plugins sind die offene Tür, durch die fast jeder Angreifer kommt. Wer Updates verschiebt, weil „läuft ja“, spielt mit jedem Tag ein bisschen mehr Lotterie. Automatische Updates und ein regelmäßiger Blick auf die Liste der installierten Erweiterungen schließen diese Tür dauerhaft.
Backups sind Ihr Sicherheitsnetz. Erst ein aktuelles, extern gelagertes Backup macht aus einer Katastrophe einen ärgerlichen Nachmittag, weil Sie die Seite notfalls auf einen sauberen Stand zurücksetzen können. Wer all das nicht selbst pflegen will, gibt die Härtung und das Monitoring an eine Webdesign-Agentur, die Updates, Backups und Sicherheits-Scans im Hintergrund übernimmt.
7. Fazit
Eine gehackte WordPress-Seite ist ein Schreck, aber kein Weltuntergang. Wer den ersten Reflex zur Panik überwindet und der festen Reihenfolge folgt, hat die Lage meist binnen ein bis zwei Tagen im Griff: Seite offline, Beweise sichern, Passwörter ändern, Malware entfernen, sauber neu aufsetzen, absichern. Und wer danach konsequent Updates fährt und Backups pflegt, macht es dem nächsten Bot so unbequem, dass er weiterzieht.
Dann trifft sie ein, die grüne Meldung der Search Console: keine Warnung mehr, die Rankings erholen sich, das Kontaktformular klingelt wieder mit echten Anfragen statt mit Spam. Die Seite lädt sauber, im Backend stehen nur noch Ihre eigenen Benutzer, und morgens beim Kaffee öffnen Sie das Dashboard ohne dieses flaue Gefühl im Magen. Genau dieser ruhige Zustand ist das Ziel, und er ist näher, als es im Schreckmoment aussieht.
8. Anhang: Ihre Notfall-Checkliste bei gehacktem WordPress
- Offline: Seite per Wartungsmodus oder .htaccess vom Netz nehmen.
- Beweise: Backup der gehackten Version inklusive Datenbank getrennt sichern.
- Rechner: Eigenen Computer per Virenscan auf Schadprogramme prüfen.
- Passwörter: WordPress, FTP, Datenbank, Hosting und E-Mail neu vergeben, fremde Benutzer löschen.
- Malware: Mit Wordfence oder Sucuri scannen, verdächtige Dateien und Schadcode entfernen.
- Neuaufbau: WordPress-Kern erneuern, Plugins und Themes aktualisieren oder neu installieren.
- Online: Seite freigeben, Google Search Console prüfen lassen, Sitemap neu erstellen.
- Vorbeugen: Automatische Updates, Zwei-Faktor-Login, Backups und ein Sicherheits-Plugin einrichten.
Kontakt aufnehmen
Ihre WordPress-Seite wurde gehackt und Sie wollen schnell und unkompliziert die Kontrolle zurück? Schreiben Sie uns, wir melden uns innerhalb von 24 Stunden:
Häufige Fragen zu gehacktem WordPress
Disclaimer: Alle genannten Statistiken, Zeitangaben und Erfahrungswerte entsprechen dem Stand der Recherche zum Veröffentlichungszeitpunkt beziehungsweise der Kreativschock-Projektpraxis. Vorgehen und Ergebnisse können je nach Hosting, Theme, Plugin-Konfiguration und Art des Angriffs abweichen. Dieser Beitrag ersetzt keine individuelle Sicherheitsanalyse und keine fachjuristische Beratung in Datenschutzfragen.

