WordPress-Website gehackt: was tun?
Wurde Ihre WordPress-Website gehackt? Bleiben Sie ruhig und arbeiten Sie methodisch. Der schnellste Weg zur Wiederherstellung ist: die Site offline nehmen oder in den Wartungsmodus schalten, alle Passwörter ändern, ein sicheres Backup des aktuellen (infizierten) Zustands erstellen, auf Malware scannen und den Schadcode entfernen, bei Bedarf aus einem sauberen Backup wiederherstellen und anschließend die Lücke schließen, die der Angreifer genutzt hat. Nachfolgend lesen Sie genau, wie — Schritt für Schritt, in der richtigen Reihenfolge.
Woran erkennen Sie, dass WordPress gehackt wurde?
Ein Hack ist nicht immer sichtbar. Achten Sie auf diese Anzeichen: unerwünschte Weiterleitungen auf dubiose Seiten, plötzlich Spam-Inhalte oder unbekannte Seiten, eine Warnung im Browser oder über die Google Search Console („Diese Seite kann Ihren Computer schädigen“), als Spam markierte E-Mails, unbekannte Administratorkonten, eine stark verlangsamte Site oder Spitzen in der Serverlast sowie unerklärliche Änderungsdaten von Dateien. Sehen Sie eines oder mehrere davon, gehen Sie von einer Kompromittierung aus und handeln Sie sofort.
Sofortmaßnahmen — in dieser Reihenfolge
Die Reihenfolge ist wichtig; falsches Bereinigen macht es oft schlimmer.
- 1. Site offline nehmen oder in den Wartungsmodus schalten. So verhindern Sie, dass Besucher infiziert werden, und begrenzen weitere Abstrafungen durch Google.
- 2. Alle Passwörter ändern. WordPress-Admins, Hosting/cPanel, FTP/SFTP, Datenbank und verknüpfte E-Mail-Konten. Erzwingen Sie auch ein Abmelden aller Sitzungen.
- 3. Erstellen Sie jetzt ein vollständiges Backup von Dateien und Datenbank im aktuellen Zustand. Sie brauchen es als Nachweis und zum sicheren Bereinigen.
- 4. Gründlich scannen. Nutzen Sie einen zuverlässigen Malware-Scanner (serverseitiger Scan plus ein Plugin als Zweitmeinung) und prüfen Sie die Integrität des WordPress-Kerns.
- 5. Benutzer und Schlüssel prüfen. Entfernen Sie unbekannte Admins, erneuern Sie die Security-Keys (Salts) in wp-config.php und wechseln Sie Datenbankpasswörter.
Bereinigen und wiederherstellen
Es gibt zwei Wege. Die Wiederherstellung aus einem sauberen Backup von vor dem Hack ist mit Abstand am sichersten, sofern Sie sicher sind, dass dieses Backup nicht bereits infiziert war. Haben Sie keines, müssen Sie manuell bereinigen: Ersetzen Sie den WordPress-Kern sowie alle Theme- und Plugin-Dateien durch frische offizielle Downloads; entfernen Sie unbekannte oder verdächtige Dateien (achten Sie auf base64-Code und seltsame .php-Dateien in Upload-Ordnern); und prüfen Sie wp-config.php, .htaccess und geplante Aufgaben (Cron) auf Injektionen. Löschen Sie Plugins und Themes, die Sie nicht nutzen oder die nicht mehr gepflegt werden — sie sind oft der Einstiegspunkt. Aktualisieren Sie danach alles auf die neueste Version und testen Sie, ob die Site wieder sauber und funktionsfähig ist.
Hardening: eine Wiederholung verhindern
Bereinigen, ohne die Lücke zu schließen, führt fast immer zu einem neuen Hack. Tun Sie mindestens Folgendes: Halten Sie Kern, Themes und Plugins stets aktuell; verwenden Sie starke, einzigartige Passwörter mit Zwei-Faktor-Authentifizierung für alle Admins; begrenzen Sie Anmeldeversuche und verbergen oder schützen Sie die Anmeldeseite; installieren Sie eine Web Application Firewall; richten Sie automatische externe Backups ein und testen Sie das Zurückspielen; entfernen Sie ungenutzte Plugins/Themes; und betreiben Sie eine aktuelle PHP- und Serverplattform. Vieles davon gehört in laufende WordPress-Wartung und in sichere Hosting mit Monitoring.
Wann sollten Sie Hilfe holen?
Holen Sie einen Spezialisten, wenn der Hack immer wiederkehrt, wenn Sie personenbezogene Daten verarbeiten (etwa WooCommerce-Kunden oder Formulardaten und eine mögliche DSGVO-Meldepflicht), wenn die Site geschäftskritisch ist oder wenn Sie schlicht nicht sicher sind, dass die Site wirklich sauber ist. Ein Profi bereinigt nicht nur, sondern weist nach, dass die Site wieder sicher ist, und schließt die ursprüngliche Lücke. Wenn Sie beim Bereinigen oder bei wiederkehrenden Störungen feststecken, siehe auch Website- und Hosting-Probleme lösen.
Häufige Fragen
Kurze, direkte Antworten auf die häufigsten Fragen.
Nehmen Sie die Site sofort offline oder in den Wartungsmodus und ändern Sie danach alle Passwörter: WordPress-Admin, Hosting, FTP/SFTP, Datenbank und verknüpfte E-Mail. Erstellen Sie anschließend ein vollständiges Backup des aktuellen Zustands, bevor Sie etwas ändern. Erst dann beginnen Sie mit Scannen und Bereinigen. Diese Reihenfolge verhindert, dass Besucher infiziert werden und dass Sie versehentlich Nachweise oder einen Wiederherstellungspunkt löschen.
Häufige Anzeichen sind unerwünschte Weiterleitungen, unbekannte Seiten oder Spam-Inhalte, eine Warnung in der Google Search Console oder im Browser, unbekannte Administratorkonten, plötzliche Langsamkeit und unerklärliche Änderungsdaten von Dateien. Ein Anzeichen ist Grund zur Untersuchung; mehrere zugleich deuten stark auf eine Kompromittierung hin. Ein gründlicher serverseitiger Malware-Scan schafft Gewissheit.
Bei einer leichten Infektion manchmal ja: aus einem sauberen Backup wiederherstellen oder Kern, Themes und Plugins durch offizielle Downloads ersetzen und verdächtige Dateien entfernen. Doch Bereinigen ohne Schließen der ursprünglichen Lücke führt oft zu einem neuen Hack. Sind Sie unsicher, verarbeiten Sie personenbezogene Daten oder kehrt die Infektion zurück, holen Sie einen Spezialisten, der auch nachweist, dass die Site wieder sauber ist.
Möglicherweise. Sind personenbezogene Daten betroffen — etwa Kunden- oder Formulardaten — und besteht ein reales Risiko für die Betroffenen, müssen Sie dies nach der DSGVO in der Regel innerhalb von 72 Stunden bei der Aufsichtsbehörde melden, manchmal auch den Betroffenen selbst. Dokumentieren Sie, was passiert ist und welche Daten betroffen sein könnten, und lassen Sie es im Zweifel von einem Datenschutz- oder Sicherheitsspezialisten prüfen.
Halten Sie Kern, Themes und Plugins stets aktuell, nutzen Sie starke Passwörter mit Zwei-Faktor-Authentifizierung, begrenzen Sie Anmeldeversuche und setzen Sie eine Web Application Firewall vor die Site. Entfernen Sie ungenutzte Plugins und Themes, erstellen Sie automatische externe Backups (und testen Sie das Zurückspielen) und betreiben Sie eine aktuelle, sichere Serverplattform. Laufende Wartung und managed, sichere Hosting senken das Risiko erheblich.
Nicht zwangsläufig. Mit einem aktuellen, sauberen Backup stellen Sie meist nahezu alle Inhalte wieder her. Besucher und Google-Positionen können Sie vorübergehend verlieren, solange die Site offline oder als unsicher markiert ist; die Positionen erholen sich in der Regel, sobald die Site sauber ist und Sie über die Search Console eine erneute Prüfung beantragen. Schnelles und korrektes Handeln begrenzt den Schaden am meisten.
