German Web Awards Winner 2024
WordPress gehackt? Hero Grafik

WordPress gehackt? Sofort-Hilfe + Schritt-für-Schritt Anleitung

Deine WordPress-Seite wurde gehackt? Keine Panik. In diesem Guide zeigen wir dir genau, was du jetzt tun musst – von den ersten Sofort-Maßnahmen bis zur vollständigen Bereinigung deiner Website.

💡
Das Wichtigste vorab: Schnelles Handeln ist entscheidend. Je länger Malware auf deiner Seite bleibt, desto größer der Schaden. Mit dieser Anleitung kannst du deine WordPress-Seite in wenigen Stunden retten.

Anzeichen: Wurde meine WordPress-Seite gehackt?

Nicht jeder Hack ist offensichtlich. Manchmal arbeitet Malware wochenlang im Hintergrund. Diese Warnsignale solltest du kennen:

Eindeutige Zeichen:

  • Website zeigt fremde Inhalte (Spam, Pharma-Werbung, Casino-Links)
  • Google zeigt Warnung „Diese Website wurde möglicherweise gehackt“
  • Weiterleitung auf andere Domains
  • Neue Admin-Benutzer, die du nicht angelegt hast
  • Dateien im Root-Verzeichnis mit kryptischen Namen

Subtile Hinweise:

  • Website ist plötzlich sehr langsam
  • Unbekannte Plugins oder Themes installiert
  • Sprunghafter Anstieg der Serverauslastung
  • Kunden berichten von Spam-E-Mails über deine Domain
  • Plötzlicher Ranking-Verlust bei Google
💡
Tipp: Nutze den kostenlosen Sucuri SiteCheck, um deine Seite auf bekannte Malware zu scannen.

Sofort-Maßnahmen: Die ersten 30 Minuten

Sobald du einen Hack vermutest, führe diese Schritte sofort durch:

1. Ruhe bewahren und dokumentieren

Mache Screenshots von allem Auffälligen. Das hilft später bei der Analyse und ist wichtig, falls du rechtliche Schritte einleiten musst.

2. Website offline nehmen

Als Website-Betreiber bist du für Schäden haftbar, die von deiner gehackten Seite ausgehen. Nimm die Seite sofort offline.

Option A: Wartungsmodus aktivieren (wenn du noch Zugang hast) – Plugin „WP Maintenance Mode“ aktivieren oder via WP-CLI: wp maintenance-mode activate

Option B: Seite beim Hoster deaktivieren – Die meisten Hoster haben einen „Seite deaktivieren“-Button

3. Passwörter ändern – ALLE

Ändere sofort:

  • WordPress-Admin-Passwörter (alle Benutzer!)
  • FTP/SFTP-Zugangsdaten
  • Datenbank-Passwort
  • Hosting-Control-Panel
  • E-Mail-Konten der Domain

Wichtig: Nutze für jedes Konto ein einzigartiges Passwort mit mindestens 16 Zeichen. Ein Passwort-Manager wie Bitwarden oder 1Password hilft.

4. Backup erstellen (ja, vom gehackten Zustand!)

Klingt paradox, ist aber wichtig: Falls bei der Bereinigung etwas schiefgeht, hast du einen Wiederherstellungspunkt. Ein Experte kann später analysieren, wie der Angriff passiert ist. Lade das Backup auf deinen lokalen Rechner herunter!

WordPress Malware entfernen: Schritt-für-Schritt

Jetzt gehts ans Eingemachte. Diese Schritte erfordern etwas technisches Know-how. Wenn du dir unsicher bist, kontaktiere uns für professionelle Hilfe.

Schritt 1: Sauberes Backup suchen

Hast du ein Backup von VOR dem Hack? Dann ist der schnellste Weg: Backup einspielen → alle Passwörter ändern → alle Plugins/Themes aktualisieren → Sicherheitsmaßnahmen verschärfen.

Kein sauberes Backup? Dann musst du manuell bereinigen:

Schritt 2: WordPress Malware Scanner nutzen

Ein WordPress Malware Check ist der erste Schritt zur Bereinigung. Diese Scanner durchsuchen deine Installation nach bekannter Schadsoftware:

Schritt 3: WordPress Core-Dateien ersetzen

Hacker modifizieren oft Core-Dateien. So ersetzt du sie durch saubere Originale:

  1. Aktuelle WordPress-Version von de.wordpress.org/download/ herunterladen
  2. Auf dem Server löschen: /wp-admin/ und /wp-includes/
  3. Die frischen Ordner hochladen
  4. WICHTIG: /wp-content/ NICHT löschen – hier liegen deine Inhalte!

Schritt 4: Plugins und Themes prüfen

Plugins sind das häufigste Einfallstor:

  1. Alle Plugins deaktivieren
  2. Unbekannte oder nicht genutzte Plugins komplett löschen
  3. Genutzte Plugins neu installieren (frisch aus dem WordPress-Verzeichnis)
  4. Einzeln aktivieren und nach jedem Schritt testen

Das Gleiche für Themes: Lösche alle ungenutzten Themes. Das aktive Theme am besten komplett neu installieren.

Schritt 5: Datenbank säubern

Malware versteckt sich oft in der Datenbank:

  • wp_options: Suche nach verdächtigen Einträgen (z.B. mit Base64-Code)
  • wp_posts: Prüfe, ob Spam-Links in Beiträge injiziert wurden
  • wp_users: Lösche unbekannte Admin-Konten
💡
Tipp: Suche in phpMyAdmin nach eval( oder base64_decode( – typische Malware-Signaturen.

Schritt 6: .htaccess und wp-config.php prüfen

Diese beiden Dateien werden häufig manipuliert. Prüfe auf:

  • Unbekannter Code am Anfang oder Ende
  • Merkwürdige define()-Statements
  • Verdächtige require() oder include()-Aufrufe
  • Weiterleitungen zu fremden Domains

Im Zweifel: Beide Dateien aus einer sauberen WordPress-Installation nehmen und deine Daten eintragen.

⚠️ Achtung bei Shared Hosting: Malware kann sich ausbreiten!

Ein oft unterschätztes Risiko: Wenn mehrere WordPress-Seiten auf demselben Webspace liegen, kann sich Malware von einer Seite auf alle anderen ausbreiten. Das ist besonders bei Shared-Hosting-Paketen ein Problem, wo mehrere Websites im selben Dateisystem liegen.

Warum ist das gefährlich?

  • Hacker nutzen eine kompromittierte Seite als Sprungbrett
  • Malware kann Dateien in anderen Website-Ordnern infizieren
  • Ein Hack wird plötzlich zum Flächenbrand

So schützt du dich:

Isolierte Benutzer/Accounts verwenden:

  • Jede Website sollte einen eigenen Systembenutzer haben
  • Dateiberechtigungen verhindern dann den Zugriff zwischen Seiten
  • Gute Hoster bieten das standardmäßig an

Separate Hosting-Accounts:

  • Kritische Websites auf separaten Hosting-Accounts betreiben
  • Mehr Aufwand, aber deutlich sicherer

Bei einem Hack auf Shared Hosting:

  • Alle Websites auf dem Server prüfen, nicht nur die betroffene!
  • Der Aufwand für die Bereinigung steigt erheblich
  • Im schlimmsten Fall: kompletter Server-Reset nötig
💡
Tipp: Frag deinen Hoster, ob die Websites auf deinem Paket isoliert voneinander laufen. Falls nicht, ist das ein ernstes Sicherheitsrisiko.

Nach der Bereinigung: Website wieder online

Security-Hardening durchführen

Lies unseren ausführlichen Guide zur WordPress Sicherheit und setze mindestens diese Maßnahmen um:

  • Zwei-Faktor-Authentifizierung für alle Admins
  • Sicherheits-Plugin mit Firewall (Wordfence oder Sucuri)
  • Automatische Backups einrichten
  • Regelmäßige Updates sicherstellen

Google Reconsideration beantragen

Falls Google deine Seite als „gehackt“ markiert hat: Melde dich in der Google Search Console an, gehe zu „Sicherheitsprobleme“ und klicke auf „Überprüfung beantragen“ nach der Bereinigung. Google prüft die Seite dann erneut – das kann einige Tage dauern.

Wann du Profis holen solltest

Nicht jeder Hack lässt sich in Eigenregie lösen. Ziehe Experten hinzu, wenn:

  • Du keinen Zugang mehr zum Admin-Bereich hast
  • Die Malware nach der Bereinigung wiederkommt
  • Du die Ursache nicht findest
  • Kundendaten betroffen sein könnten (DSGVO!)
  • Dir einfach die Zeit oder das Know-how fehlt

Als WordPress Agentur bereinigen wir regelmäßig gehackte Websites. In den meisten Fällen ist die Seite innerhalb eines Arbeitstages wieder sauber und sicher.

Was kostet die professionelle Bereinigung?

Die Kosten variieren je nach Schwere des Hacks:

  • Einfacher Hack (bekannte Malware): 200-400€, 2-4 Stunden
  • Komplexer Hack (individuelle Malware): 400-800€, 4-8 Stunden
  • Schwerer Hack (Datenbank kompromittiert): 800-1.500€, 1-2 Tage

Die meisten Fälle liegen im mittleren Bereich. Viel wichtiger als der Preis: Eine gründliche Bereinigung, die auch die Ursache beseitigt.

💡
Besser: Gar nicht erst gehackt werden. Mit einem WordPress Wartungsvertrag (/expertise/wordpress-wartungsvertrag/) kümmern wir uns um Updates, Backups und Sicherheitsüberwachung – bevor etwas passiert.

Wie wurde meine Seite gehackt? Die häufigsten Ursachen

1. Veraltete Plugins und Themes

Mit Abstand die häufigste Ursache. Sicherheitslücken werden öffentlich bekannt – und von Hackern automatisiert ausgenutzt. Lösung: Regelmäßige Updates sind Pflicht.

2. Schwache Passwörter

„admin“ + „123456“ ist schneller geknackt als du „Brute Force“ sagen kannst. Lösung: Starke, einzigartige Passwörter + Zwei-Faktor-Authentifizierung.

3. Unsichere Plugins aus dubiosen Quellen

„Nulled“ Themes und Plugins (gecrackte Premium-Versionen) enthalten fast immer Malware. Lösung: Nur Plugins aus dem offiziellen WordPress-Verzeichnis.

4. Veraltetes PHP oder unsicherer Hoster

Manche Hosting-Umgebungen sind anfälliger. Lösung: PHP-Version aktuell halten (mindestens 8.1) und einen sicheren Hoster wählen.

Mehr Präventionstipps findest du in unserem Artikel zur WordPress Sicherheit.

Fazit: Schnell handeln, gründlich bereinigen, besser vorbeugen

Eine gehackte WordPress-Seite ist ärgerlich, aber kein Weltuntergang. Mit den richtigen Sofort-Maßnahmen und einer gründlichen Bereinigung bekommst du deine Website zurück.

Die wichtigsten Takeaways:

  1. Sofort offline nehmen und alle Passwörter ändern
  2. Malware-Scan durchführen und infizierte Dateien bereinigen
  3. Core-Dateien, Plugins und Themes durch saubere Versionen ersetzen
  4. Nach der Bereinigung: Sicherheitsmaßnahmen verstärken

Brauchst du Hilfe bei der Bereinigung oder möchtest künftige Hacks verhindern? Kontaktiere uns – wir helfen schnell und unkompliziert.

 

FAQ: WordPress gehackt

01

Kann ich meine gehackte WordPress-Seite selbst reparieren?

Ja, mit technischem Grundwissen ist das möglich. Du brauchst FTP-Zugang, Grundkenntnisse in phpMyAdmin und etwa 2-4 Stunden Zeit. Bei komplexen Hacks oder wenn du unsicher bist, ist professionelle Hilfe sinnvoller.

02

Wie lange dauert die Bereinigung einer gehackten WordPress-Seite?

Bei einem einfachen Hack mit bekannter Malware: 2-4 Stunden. Bei komplexeren Fällen mit individueller Malware oder kompromittierter Datenbank: 1-2 Tage. Je früher du den Hack entdeckst, desto schneller die Bereinigung.

03

Warum kommt die Malware nach der Bereinigung zurück?

Meistens wurde die Ursache nicht beseitigt. Häufige Gründe: Backdoors in der Datenbank übersehen, infiziertes Plugin nicht komplett entfernt, Passwörter nicht geändert. Eine gründliche Bereinigung prüft alle möglichen Verstecke.

04

Muss ich meinen Hoster informieren, wenn meine Seite gehackt wurde?

In vielen Fällen hat der Hoster den Hack bereits bemerkt und deine Seite deaktiviert. Wenn nicht: Informiere ihn trotzdem. Manche Hoster bieten Hilfe bei der Bereinigung oder können Server-Logs zur Analyse bereitstellen.

05

Sollte ich die Polizei einschalten?

Bei schwerem Datendiebstahl oder wenn du den Täter kennst, kann eine Anzeige sinnvoll sein. Bei „typischen“ WordPress-Hacks durch automatisierte Angriffe aus dem Ausland ist der Aufwand meist größer als der Nutzen.

06

Wie verhindere ich, dass meine WordPress-Seite wieder gehackt wird?

Die beste Prävention: Regelmäßige Updates, starke Passwörter, Zwei-Faktor-Authentifizierung, ein Sicherheits-Plugin mit Firewall und regelmäßige Backups. Noch besser: Ein WordPress Wartungsvertrag (/expertise/wordpress-wartungsvertrag/), der all das abdeckt.

 

Ähnliche Beiträge

WordPress Update und Sicherheit Hero Grafik

WordPress Update: So hältst du deine Website sicher und aktuell

WordPress Updates sind das A und O für eine sichere und schnelle Website. Doch viele…
WordPress Sicherheit Header Grafik

WordPress Sicherheit: So schützt du deine Website vor Hackern

WordPress betreibt über 40% aller Websites weltweit – und ist damit das beliebteste Ziel für…
Wordpress Wartung Kosten Intro Grafik isometrisch

WordPress Wartung Kosten: Was kostet professionelle WP-Betreuung wirklich?

Du hast eine WordPress-Website und fragst dich, was die Wartung eigentlich kostet? Spoiler: Es kommt…
5.0 5 Sterne Bewertung Bewertungen öffnen
Kontakt
Kontakt
Kontakt
Arrow
Kontakt Referenzen Über uns

15-Minuten Speed-Dating mit Alex & Hannes

Bitte akzeptiere die Cookie-Einstellungen für die Gruppe "external", um den Kalender für die Terminbuchung anzuzeigen.

Lass uns kurz über die Wartung deiner WordPress-Website sprechen.

Bitte akzeptiere die Cookie-Einstellungen für die Gruppe "external", um den Kalender für die Terminbuchung anzuzeigen.