WordPress · Security · Wartung · Website-Check

WordPress gehackt: Was du jetzt tun solltest

Deine WordPress-Website wurde gehackt? Die wichtigsten Sofortmaßnahmen, typische Ursachen und wann ein technischer Check sinnvoll ist.

Kevin Kulik
WordPress gehackt: Gecracktes WordPress-Logo neben Laptop mit Warnung

Wenn deine WordPress-Website gehackt wurde, zählt zuerst Ruhe und Reihenfolge. Nicht jedes Problem ist gleich ein Totalschaden. Aber planloses Klicken, wahlloses Löschen oder ein blindes Plugin-Update kann Spuren zerstören und die Bereinigung schwieriger machen.

Dieser Artikel ist eine praktische Erste-Hilfe-Checkliste. Er ersetzt keine forensische Analyse und keine Rechtsberatung. Er hilft dir, die Lage zu stabilisieren und die richtigen nächsten Schritte einzuleiten.

Woran du einen WordPress-Hack erkennst

Manche Hacks sind offensichtlich:

  • Die Website zeigt Spam, fremde Werbung oder Weiterleitungen.
  • Google warnt vor Malware oder Phishing.
  • Der Browser meldet eine unsichere Website.
  • Die Startseite ist ersetzt oder zeigt nur noch Fehler.
  • Kunden schreiben, dass sie auf dubiose Seiten weitergeleitet werden.

Andere Fälle sind leiser:

  • Im WordPress-Backend tauchen unbekannte Admin-Nutzer auf.
  • Neue Dateien liegen in wp-content, die niemand angelegt hat.
  • Die Website versendet Spam-Mails.
  • Die Search Console zeigt gehackte Seiten oder japanische Spam-URLs.
  • Der Hoster sperrt die Website wegen verdächtiger Aktivität.

Wenn mehrere dieser Punkte passen, solltest du die Website nicht einfach weiterlaufen lassen.

Sofortmaßnahme 1: Website stabilisieren

Wenn die Website aktiv Malware ausliefert, Besucher weiterleitet oder Spam verbreitet, sollte sie kurzfristig aus dem Verkehr gezogen werden. Das kann über den Hoster, eine Wartungsseite oder eine temporäre Sperre passieren.

Wichtig ist: Nicht einfach alles löschen. Wenn später geklärt werden muss, was passiert ist, können Logs, Dateien und Zeitpunkte wichtig sein. Erst stabilisieren, dann strukturiert prüfen.

Sofortmaßnahme 2: Zugangsdaten sichern

Ändere nicht nur dein WordPress-Passwort. Prüfe alle Zugänge, die mit der Website zusammenhängen:

  • WordPress-Administratoren
  • Hosting-Panel
  • FTP/SFTP/SSH
  • Datenbank-Zugang
  • E-Mail-Postfächer
  • Cloudflare oder DNS-Zugänge
  • Google Search Console

Unbekannte WordPress-Nutzer sollten deaktiviert oder entfernt werden. Wenn du nicht sicher bist, wer welchen Zugang braucht, erst dokumentieren und dann handeln.

Sofortmaßnahme 3: Backup-Lage prüfen

Ein Backup hilft nur, wenn es sauber, vollständig und alt genug ist. Viele Website-Betreiber stellen zu schnell ein Backup wieder her und merken später: Das Backup war bereits infiziert.

Prüfe deshalb:

  • Wann gab es die ersten Auffälligkeiten?
  • Gibt es Backups von davor?
  • Enthalten die Backups Dateien und Datenbank?
  • Wurde schon einmal erfolgreich aus einem Backup wiederhergestellt?
  • Liegen Backups getrennt vom kompromittierten Server?

Wenn der Zeitpunkt des Angriffs unklar ist, braucht es erst eine technische Einordnung.

Sofortmaßnahme 4: Updates nicht blind einspielen

Veraltete Plugins, Themes oder WordPress-Versionen sind häufig die Ursache. Trotzdem ist ein sofortiger Update-Klick nicht immer der richtige erste Schritt.

Warum? Wenn die Website bereits verändert wurde, kann ein Update Symptome überdecken, ohne die Hintertür zu schließen. Außerdem können Updates eine ohnehin instabile Seite weiter beschädigen.

Sinnvoller Ablauf:

  1. Zustand sichern.
  2. Auffälligkeiten dokumentieren.
  3. Ursache eingrenzen.
  4. Bereinigung planen.
  5. Danach Updates und Härtung sauber einspielen.

Was meistens bereinigt werden muss

Eine gehackte WordPress-Seite besteht selten nur aus einer einzelnen schädlichen Datei. Häufig betroffen sind:

  • WordPress-Core-Dateien
  • Themes und Child-Themes
  • Plugins
  • Upload-Verzeichnisse
  • Datenbankeinträge
  • Admin-Nutzer
  • Weiterleitungen in .htaccess oder Server-Konfiguration
  • Cronjobs oder versteckte Skripte

Wenn nur die sichtbare Spam-Seite entfernt wird, bleibt die eigentliche Hintertür oft bestehen. Dann kommt der Hack nach kurzer Zeit zurück.

Google Search Console prüfen

Wenn Google bereits Warnungen zeigt oder Spam-URLs indexiert wurden, solltest du die Search Console prüfen:

  • Sicherheitsprobleme
  • Manuelle Maßnahmen
  • Indexierte Spam-Seiten
  • Ungewöhnliche Suchanfragen
  • Sitemap und Abdeckung

Nach der Bereinigung kann eine erneute Überprüfung beantragt werden. Das sollte erst passieren, wenn die Ursache wirklich behoben ist.

Was kostet eine Hack-Bereinigung?

Das hängt stark vom Zustand ab. Eine kleine, früh entdeckte Infektion ist etwas anderes als eine monatelang kompromittierte WooCommerce-Seite mit Kundendaten, kaputten Backups und unbekannten Zugängen.

Typische Kostentreiber sind:

  • unklare Zugriffslage
  • fehlende oder infizierte Backups
  • viele Plugins und alte Themes
  • kompromittierte Datenbank
  • Malware in Uploads
  • Hosting-Sperre oder Blacklisting
  • anschließende Härtung und Monitoring

Manchmal ist Bereinigung sinnvoll. Manchmal ist ein sauberer Neubau wirtschaftlicher, besonders wenn die Website technisch ohnehin am Ende ist.

Wann ein Website-Check sinnvoll ist

Ein Website-Check ist sinnvoll, wenn du nicht sicher weißt:

  • ob die Website noch bereinigt werden kann
  • ob ein Backup vertrauenswürdig ist
  • woher der Angriff kam
  • ob die Seite wieder online gehen sollte
  • ob WordPress weiterhin die richtige Grundlage ist
  • ob laufende Wartung künftig reicht

Genau diese Einordnung verhindert, dass du Geld in die falsche Richtung steckst.

Website-Check und nächste Schritte klären

Wie du Wiederholungen vermeidest

Nach der Bereinigung ist die wichtigste Frage: Warum konnte das passieren?

Meist geht es um eine Kombination aus veralteten Plugins, schwachen Passwörtern, fehlender Wartung, schlechten Backups und unklarer Verantwortung. Eine gehärtete Website braucht:

  • regelmäßige Updates
  • getestete Backups
  • starke Zugänge und Zwei-Faktor-Login
  • reduzierte Plugin-Angriffsfläche
  • Monitoring auf Auffälligkeiten
  • klare Zuständigkeit für Wartung und Pflege

Wenn deine Website grundsätzlich tragfähig ist, kann laufende Wartung danach sinnvoll sein. Wenn die Grundlage zu fragil ist, sollte erst bereinigt oder neu gebaut werden.

Website-Wartung und Pflege prüfen

Lass deine Website kurz einordnen.

Schick mir Link, Branche, Standort und was gerade nicht passt. Ich sage dir, ob prüfen, übernehmen, neu bauen oder betreuen der sinnvollere nächste Schritt ist.

Kevin Kulik, Technischer Partner
Ort
Ennepetal, NRW · Remote in ganz Deutschland
Antwortzeit

Ich antworte werktags innerhalb von 24 Stunden.

Für Anfragen von Unternehmen, Selbstständigen und Organisationen.

Für die Übermittlung wird form.taxi verwendet, ein Formularservice mit Serverstandort in der EU.