Zum Inhalt springen
WordPress-Sicherheit

WordPress gehackt: Erste Hilfe in 5 Schritten

Ihre WordPress-Website leitet auf fremde Seiten weiter, Google zeigt eine Sicherheitswarnung oder Ihr Hoster hat die Seite gesperrt? Dann wurde Ihre Website vermutlich gehackt. Diese 5 Sofortmaßnahmen sollten Sie jetzt ergreifen, bevor der Schaden größer wird.

Von Dennis Theis · · 8 Min. Lesezeit

Bildschirm mit Sicherheitswarnung und digitalem Schloss-Symbol

Schritt 1: Ruhe bewahren und Beweise sichern

Der erste Impuls ist oft, sofort alles zu löschen oder die Website offline zu nehmen. Warten Sie kurz. Bevor Sie etwas ändern, sichern Sie den aktuellen Zustand. Er ist wichtig für die Analyse, wie der Hack passiert ist.

  • Screenshots machen: Von der Weiterleitung, der Google-Warnung, ungewöhnlichen Dateien im Dashboard
  • Zeitpunkt notieren: Wann haben Sie den Hack bemerkt? Wann war die Website zuletzt definitiv sauber?
  • Nicht einloggen über unsichere Netzwerke (z.B. öffentliches WLAN)
  • Passwörter noch nicht ändern. Das kommt später, wenn die Malware entfernt ist (sonst fängt der Angreifer das neue Passwort direkt wieder ab)

Wichtig für Unternehmen: Wenn personenbezogene Daten auf Ihrer Website gespeichert werden (Kontaktformulare, Kunden-Logins, Bestelldaten), besteht möglicherweise eine DSGVO-Meldepflicht innerhalb von 72 Stunden (Art. 33 DSGVO). Notieren Sie sich den Zeitpunkt der Entdeckung. Die Frist läuft ab jetzt.

Schritt 2: Art des Hacks identifizieren

Nicht jeder Hack ist gleich. Die Art des Schadens bestimmt die nächsten Schritte:

Weiterleitung auf fremde Seiten (Redirect Hack)

Der häufigste WordPress-Hack. Besucher werden auf Spam-, Casino- oder Phishing-Seiten umgeleitet. Oft nur für mobile Besucher oder nur beim ersten Aufruf, deshalb fällt es Website-Betreibern spät auf. Die Malware sitzt typischerweise in der .htaccess, in der wp-config.php oder in Plugin-Dateien.

Google-Warnung „Diese Website wurde möglicherweise gehackt“

Google hat Malware oder Spam-Inhalte auf Ihrer Website erkannt. In den Suchergebnissen erscheint eine Warnung, und Chrome blockiert den Zugriff mit einer roten Seite. Das kostet sofort Traffic. Ihre Sichtbarkeit in Google bricht ein.

Hosting-Sperre

Ihr Hosting-Anbieter hat die Website gesperrt, weil von Ihrem Server Spam-Mails verschickt werden oder Malware erkannt wurde. Kontaktieren Sie den Hoster. Er kann Ihnen oft sagen, welche Dateien betroffen sind.

Unbekannte Benutzer oder Dateien

Sie finden Admin-Konten die Sie nicht angelegt haben, oder unbekannte PHP-Dateien in wp-content/uploads/. Das deutet auf eine Backdoor hin, eine versteckte Hintertür, über die der Angreifer jederzeit wieder Zugriff bekommt.

Schritt 3: Schaden begrenzen

Jetzt handeln Sie, aber gezielt:

  1. Website in den Wartungsmodus setzen: Wenn Sie Zugriff auf das Dashboard haben, aktivieren Sie ein Wartungs-Plugin. Alternativ: .htaccess mit einer einfachen Weiterleitung auf eine Wartungsseite. Das schützt Besucher vor der Malware.
  2. Hosting-Panel prüfen: Viele Hoster (z.B. All-Inkl, IONOS, Raidboxes) bieten einen Malware-Scanner an. Starten Sie den Scan. Er zeigt oft die betroffenen Dateien.
  3. Backup prüfen: Haben Sie ein aktuelles, sauberes Backup? Wenn ja: Wann wurde es erstellt? Liegt es vor dem Zeitpunkt des Hacks? Ein Backup von gestern hilft nichts, wenn der Hack seit 2 Wochen aktiv ist.
  4. Zugänge dokumentieren: Sammeln Sie alle Zugangsdaten, die ein Experte braucht: WordPress-Admin, FTP/SSH, Hosting-Panel, Datenbank (phpMyAdmin).

Schritt 4: Bereinigung, selbst oder mit Hilfe?

Hier müssen Sie eine ehrliche Entscheidung treffen:

Wann Sie es selbst versuchen können

  • Sie haben ein sauberes Backup das definitiv vor dem Hack liegt
  • Sie wissen, wie Sie ein Backup einspielen (UpdraftPlus, Duplicator, manuell via phpMyAdmin + FTP)
  • Der Hack ist frisch (< 24 Stunden) und das Backup aktuell

In diesem Fall: Backup einspielen, sofort alle Passwörter ändern (WordPress, FTP, Datenbank, E-Mail), und alle Plugins und Themes aktualisieren.

Wann Sie professionelle Hilfe brauchen

  • Kein sauberes Backup vorhanden
  • Sie wissen nicht, wann der Hack begonnen hat
  • Die Malware kommt nach dem Backup-Restore wieder (Backdoor)
  • Google zeigt eine Sicherheitswarnung (Blacklist-Entfernung nötig)
  • Personenbezogene Daten könnten betroffen sein (DSGVO)
  • Sie betreiben einen Online-Shop oder verarbeiten sensible Daten

In diesen Fällen ist eine professionelle Malware-Bereinigung die sicherere Wahl. Dabei wird nicht nur die Malware entfernt, sondern auch die Ursache gefunden und die Website gegen erneute Angriffe abgesichert.

Schritt 5: Nach der Bereinigung absichern

Die Bereinigung allein reicht nicht. Ohne Absicherung wird Ihre Website innerhalb von Tagen erneut gehackt, über dieselbe Lücke. Diese Maßnahmen sind Pflicht:

  1. Alle Passwörter ändern: WordPress-Benutzer, FTP, Datenbank, Hosting-Panel, E-Mail
  2. 2-Faktor-Authentifizierung einrichten: Für alle Admin-Konten (z.B. mit Google Authenticator)
  3. WordPress, Plugins und Themes aktualisieren: Veraltete Plugins sind Einfallstor Nr. 1
  4. Unnötige Plugins und Themes löschen: Nicht deaktivieren, komplett entfernen
  5. Sicherheits-Plugin installieren: Wordfence oder Sucuri für Firewall und Malware-Scanning
  6. Automatische Backups einrichten: Täglich, auf externen Speicher, Wiederherstellung testen

Für langfristigen Schutz empfehle ich ein laufendes Wartungspaket mit wöchentlichen Updates und Sicherheits-Monitoring. So werden Probleme erkannt, bevor sie zum Hack werden.

Häufiger Fehler: Nur die Symptome behandeln

Viele Website-Betreiber entfernen die sichtbare Malware (z.B. den Redirect-Code in der .htaccess), ohne die eigentliche Ursache zu finden. Die Folge: Der Hack kommt innerhalb von Tagen zurück, weil die Backdoor noch aktiv ist.

Eine professionelle Bereinigung umfasst deshalb immer eine Ursachenanalyse: Welches Plugin hatte die Lücke? Wie ist der Angreifer reingekommen? Gibt es versteckte Backdoors? Erst wenn diese Fragen beantwortet sind, ist die Website wirklich sicher.

Checkliste: Was Sie jetzt tun sollten

  1. Screenshots und Zeitpunkt dokumentieren
  2. Art des Hacks identifizieren (Redirect, Warnung, Sperre, Backdoor)
  3. Website in Wartungsmodus setzen
  4. Backup-Status prüfen
  5. Entscheiden: Selbst bereinigen oder Hilfe holen
  6. DSGVO-Meldepflicht prüfen (72-Stunden-Frist!)
  7. Nach Bereinigung: Passwörter, 2FA, Updates, Backups