WordPress gehackt, was ist jetzt wichtig?

Wird Deine WordPress Webseite gehackt, ist das sehr ärgerlich und kann im schlimmsten Fall sogar rechtliche Schritte nach sich ziehen. Doch wie geht man jetzt vor, um alles wieder zu reparieren?

Eines vorab: Wenn Du kein Programmierer bist, der sich bestens mit WordPress auskennt, dann ziehe einen Profi wie mich zu rate.

wordpress hack

Woran Du erkennst, dass Deine WordPress-Seite gehackt wurde?

Wenn Deine WordPress-Seite gehackt wurde, zählt strukturiertes Vorgehen mehr als Panik. Ein WordPress-Hack fällt selten sofort auf, weil moderne Malware sich geschickt im Code versteckt und ihre Funktionen nur unter bestimmten Bedingungen aktiviert – etwa dann, wenn Besucher über Google kommen oder einen bestimmten Browser verwenden. Manche Anzeichen sind offensichtlich, andere entdeckst Du erst bei genauerem Hinsehen.

Typische Anzeichen, dass WordPress gehackt wurde

Ob Deine Seite betroffen ist, lässt sich meistens an mehreren kleinen Auffälligkeiten festmachen. Diese Warnsignale tauchen bei einem WordPress-Hack am häufigsten auf:

  • Weiterleitungen auf fremde, meist fragwürdige Webseiten
  • Inhalte auf Deinen Seiten, die Du nie selbst erstellt hast
  • Auffällig hohe Serverlast oder Spam-Mails, die über Deinen Server verschickt werden
  • Login-Probleme trotz korrekter Zugangsdaten
  • Warnhinweise in den Google-Suchergebnissen oder Nachrichten von Deinem Hoster

Wie es zu einem WordPress-Hack kommt

Bevor wir zur Bereinigung kommen, lohnt sich ein kurzer Blick auf die häufigsten Einfallstore. Eine saubere Seite bleibt nur dann sauber, wenn Du die Ursache kennst.

Die meisten erfolgreichen Angriffe laufen über veraltete Plugins oder Themes. Ein einziges nicht aktualisiertes Plugin mit bekannter Sicherheitslücke reicht aus, damit automatisierte Bots Deine Seite kompromittieren. Genauso anfällig sind schwache Passwörter, die per Brute-Force-Attacke binnen weniger Stunden geknackt werden. Dazu kommen manipulierte Nulled-Plugins aus fragwürdigen Quellen, zu weit gesetzte Dateirechte auf dem Server und gelegentlich kompromittierte FTP-Zugänge, deren Daten über infizierte Arbeitsrechner abgegriffen wurden.

Soweit ich das aus meinem Arbeitsalltag beurteilen kann, steht in den meisten Fällen schlicht ein lange vernachlässigtes Update dahinter.

Sofortmaßnahmen, wenn WordPress gehackt wurde

Sobald Du weißt, dass Deine WordPress-Seite gehackt wurde, zählt strukturiertes Vorgehen. Panisches Herumklicken im Backend verschlimmert die Lage meistens und macht später die Spurensuche schwieriger.

1. Nimm Deine Webseite offline

Sorge zuerst dafür, dass niemand mehr auf die manipulierte Seite zugreifen kann. Dieser Schritt schützt Deine Besucher vor Drive-By-Downloads und verhindert, dass Google den Schadcode weiter indexiert. Viele Hoster stellen Dir dafür eine Wartungsseite bereit, die sich mit einem Klick aktivieren lässt. Alternativ kannst Du den Zugriff über die .htaccess-Datei auf Deine eigene IP-Adresse beschränken. So hast Du Ruhe für die eigentliche Arbeit.

2. Ändere alle Passwörter

Ein Hack bedeutet fast immer, dass mindestens eine Zugangskombination kompromittiert wurde. Tausche deshalb sämtliche Zugänge aus. Dazu zählen Deine WordPress-Logins, die FTP- und SFTP-Zugänge, das Datenbank-Passwort in der wp-config.php sowie die Anmeldedaten für Dein Hosting-Panel. Verwende lange, komplexe Kombinationen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – ein Passwortmanager nimmt Dir diese Arbeit ab. Arbeiten mehrere Nutzer an Deiner Seite, müssen auch deren Passwörter zurückgesetzt werden.

3. Prüfe Deine Backups

Regelmäßige Backups sind in dieser Situation Gold wert. Damit lässt sich Deine Webseite auf einen sauberen Stand zurücksetzen. Wichtig ist, dass das verwendete Backup eindeutig vor dem Hack entstanden ist, sonst spielst Du den Schadcode einfach wieder ein. Viele Hosting-Anbieter speichern automatisch tägliche Sicherungen, die sich per Klick wiederherstellen lassen. Kontrolliere vorher, ob sowohl die Dateien als auch die Datenbank enthalten sind.

4. Finde den Schadcode

Angreifer platzieren ihren Code gerne in sensiblen Dateien wie wp-config.php, functions.php oder in der index.php des Themes. Manchmal werden auch völlig neue Dateien mit unauffälligen Namen angelegt, etwa wp-loader.php oder class-wp-init.php. Sicherheits-Plugins wie Wordfence, iThemes Security oder Sucuri helfen Dir beim Aufspüren. Zusätzlich lohnt sich ein Dateivergleich mit der offiziellen WordPress-Version, um manipulierte Core-Dateien zu erkennen.

Gehackte WordPress-Seite gründlich bereinigen

Nach der Analyse folgt die eigentliche Säuberung. Gehe gründlich vor und nimm Dir Zeit, denn eine halbherzige Bereinigung führt dazu, dass sich die Seite nach wenigen Tagen erneut infiziert.

  • Ersetze manipulierte Dateien durch saubere Original-Versionen aus dem WordPress-Repository
  • Lösche infizierte oder ungenutzte Themes und Plugins restlos
  • Überprüfe Deine Datenbank auf verdächtige Einträge, versteckte Optionen und unbekannte Benutzer
  • Tausche die Security Keys in der wp-config.php gegen frische Werte aus dem offiziellen Generator unter wordpress.org/secret-key
  • Führe anschließend einen vollständigen Sicherheits-Scan durch, um versteckte Hintertüren aufzudecken

Google Search Console prüfen und Reindexierung anfordern

Nach einem Hack hinterlässt Google häufig Spuren in der Search Console. Melde Dich dort an und prüfe im Bereich „Sicherheitsprobleme“ sowie unter „Manuelle Maßnahmen“, ob Deine Seite markiert wurde. Stand Deine Webseite auf der Google-Blacklist, sehen Besucher eine rote Warnseite, bevor sie überhaupt bei Dir landen.

Nach der Bereinigung kannst Du in der Search Console eine Überprüfung beantragen. Beschreibe Google dabei kurz, dass der Hack identifiziert und die Malware entfernt wurde. Die Freigabe dauert meistens ein bis drei Tage. Parallel empfiehlt sich die erneute Einreichung Deiner Sitemap, damit die sauberen Versionen schneller neu indexiert werden.

Hat der Angriff Spam-Inhalte erzeugt, etwa japanische Schriftzeichen oder pharma-bezogene Keywords in Deinen Meta-Tags, können diese noch wochenlang in den Suchergebnissen auftauchen. Über die URL-Entfernung in der Search Console lassen sich die betroffenen Adressen vorübergehend aus dem Index nehmen, während Google die bereinigten Seiten neu crawlt.

So beugst Du dem nächsten WordPress-Hack vor

Nach dem Hack ist vor dem nächsten Versuch. Automatisierte Bots testen Deine Seite ohnehin ununterbrochen auf Schwachstellen, und der Aufwand für eine saubere Absicherung ist deutlich geringer als eine zweite Bereinigung.

  • Halte WordPress, Themes und Plugins konsequent aktuell
  • Schließe einen Wartungsvertrag ab, falls Dir die Zeit für regelmäßige Updates fehlt
  • Wähle einen Hoster mit sinnvollen Sicherheitsmechanismen und aktuellen PHP-Versionen
  • Setze auf lange, einzigartige Passwörter pro Dienst
  • Aktiviere die Zwei-Faktor-Authentifizierung für alle Admin-Konten
  • Installiere ein Sicherheitsplugin, das Dich bei verdächtigen Aktivitäten frühzeitig warnt
  • Plane externe Backups ein, die nicht auf demselben Server liegen wie Deine Webseite

Wann Du einen Profi hinzuziehen solltest

Einen kleineren Hack bekommst Du mit etwas technischem Verständnis oft selbst in den Griff. Manche Situationen sprechen allerdings klar für professionelle Unterstützung.

Dazu zählen Fälle, in denen Deine Seite trotz mehrfacher Bereinigung immer wieder infiziert wird. Kritisch wird es ebenso, sobald Kundendaten oder Zahlungsinformationen betroffen sind – hier greifen schnell DSGVO-relevante Meldepflichten gegenüber der Datenschutzbehörde und den betroffenen Nutzern. Auch bei massiven Veränderungen im WordPress-Core, bei Rootkits auf Serverebene oder bei gehackten Shops mit laufendem Umsatz wird jede Stunde teuer.

Genau in solchen Fällen übernehme ich die Arbeit gerne. Ich arbeite täglich mit WordPress, kenne die typischen Verstecke von Schadcode und weiß, worauf es bei einer belastbaren Absicherung nach der Bereinigung ankommt. Ob manipulierter Core, verseuchter Shop oder ein Befall, der sich hartnäckig zurückmeldet – melde Dich einfach bei mir, dann schaue ich mir Deine Seite an und bringe sie zurück in einen sauberen, nachhaltig abgesicherten Zustand.

Fazit: Ruhe bewahren, wenn WordPress gehackt wurde

Ein Hack fühlt sich im ersten Moment katastrophal an, lässt sich mit dem richtigen Vorgehen aber zuverlässig in den Griff bekommen. Sobald Du merkst, dass WordPress gehackt wurde, zählen schnelles Handeln, eine saubere Analyse, eine gründliche Bereinigung und eine belastbare Absicherung gegen den nächsten Versuch. Sollten Dich die technischen Schritte überfordern oder kehrt der Hack trotz Bereinigung immer wieder zurück, stehe ich Dir gerne mit meiner Erfahrung zur Seite.

FAQ- Häufig gestellte Fragen

Wie lange dauert die Bereinigung einer gehackten WordPress-Seite?

Die Dauer hängt stark vom Ausmaß des Hacks und der Größe Deiner Installation ab. Bei einem einfachen Befall mit wenigen manipulierten Dateien bist Du oft in zwei bis drei Stunden durch. Hat sich die Malware dagegen tief in Core-Dateien, Themes, Plugins und Datenbank eingenistet oder liegt bereits eine Blacklist-Meldung bei Google vor, kann die komplette Säuberung inklusive anschließender Absicherung einen halben bis ganzen Arbeitstag in Anspruch nehmen.

Muss ich meine WordPress-Seite nach einem Hack komplett neu aufsetzen?

In den meisten Fällen ist eine Neuinstallation nicht nötig. Core-Dateien lassen sich gegen saubere Original-Versionen austauschen, Themes und Plugins werden frisch aus vertrauenswürdigen Quellen installiert und die Datenbank wird gründlich geprüft. Ein kompletter Neuaufbau ist nur dann sinnvoll, wenn der Befall extrem tief sitzt oder sich mehrere Rootkits auf Serverebene nachweisen lassen.

Mit welchen Kosten muss ich rechnen, wenn ich einen WordPress-Hack professionell beseitigen lasse?

Die Kosten richten sich nach Umfang des Hacks, Seitengröße und Dringlichkeit. Eine saubere Bereinigung inklusive Grundabsicherung bewegt sich meistens im dreistelligen Bereich, bei stark verseuchten Shops oder komplexen Installationen kann der Aufwand höher liegen. Melde Dich gerne für ein unverbindliches Angebot, dann schaue ich mir Deine Seite an und nenne Dir einen realistischen Preis.

Reicht ein Sicherheitsplugin, um meine WordPress-Seite vor Hacks zu schützen?

Ein Sicherheitsplugin ist ein sinnvoller Baustein, allein reicht es aber nicht aus. Die meisten Angriffe laufen über veraltete Komponenten oder schwache Passwörter – beides kann ein Plugin für sich genommen nicht verhindern. Zuverlässiger Schutz entsteht erst im Zusammenspiel aus regelmäßigen Updates, starker Zugangsabsicherung, einem guten Hoster, externen Backups und einem aktiven Sicherheitsplugin.

Sind Kundendaten bei einem WordPress-Hack automatisch gefährdet?

Ob Kundendaten abgegriffen wurden, lässt sich seriös erst nach einer Analyse der Zugriffslogs und der betroffenen Dateien beurteilen. Bei reinen Spam-Injections oder Redirect-Angriffen bleibt die Datenbank häufig unangetastet. Sobald Schadcode allerdings Zugriff auf die Datenbank hatte oder gezielt Bestelldaten ausgelesen wurden, greifen die DSGVO-Meldepflichten – dann musst Du innerhalb von 72 Stunden die zuständige Datenschutzbehörde informieren und die betroffenen Personen benachrichtigen.