WordPress gehackt? Die ersten 7 Schritte, bevor noch mehr Schaden entsteht

WordPress gehackt was tun mit Notfall-Checkliste für Malware, Backup und Soforthilfe

Wenn WordPress gehackt wurde, ist der erste Impuls oft: schnell einloggen, Dateien löschen, irgendein Backup einspielen und hoffen, dass wieder alles normal aussieht.

Genau das kann gefährlich sein.

Bei einem Hack geht es nicht nur darum, sichtbare Spuren zu entfernen. Du musst verhindern, dass weiterer Schaden entsteht, Beweise sichern, die Ursache finden und die Website sauber wiederherstellen. Sonst ist sie nach kurzer Zeit wieder infiziert.

In diesem Artikel bekommst du eine ruhige Notfall-Checkliste: Was du sofort tun solltest, was du besser lässt und wann du Hilfe holen solltest.

Woran du merkst, dass WordPress gehackt sein könnte

Nicht jede gehackte Website sieht sofort kaputt aus. Manche Hacks laufen im Hintergrund, andere zeigen sich nur bei Google, auf mobilen Geräten oder für bestimmte Besucher.

Typische Warnzeichen sind:

  • deine Website leitet auf fremde Seiten weiter
  • Google zeigt eine Sicherheitswarnung
  • dein Hosting-Anbieter meldet Malware
  • im Backend tauchen unbekannte Admin-Benutzer auf
  • Seiten enthalten fremde Links oder Spam
  • die Website ist plötzlich extrem langsam
  • E-Mails landen im Spam oder werden blockiert
  • Dateien mit merkwürdigen Namen liegen im Webspace
  • du kommst nicht mehr ins WordPress-Backend
  • Besucher melden seltsame Popups oder Downloads
Warnzeichen für einen WordPress Hack mit Weiterleitungen, unbekannten Admins, Google-Warnung und verdächtigen Dateien

Wenn mehrere dieser Punkte zutreffen, solltest du nicht lange experimentieren. Dann ist es sinnvoller, strukturiert vorzugehen.

Die kurze Notfall-Übersicht: 7 Schritte

Hier ist die kompakte Reihenfolge. Danach gehen wir die Punkte einzeln durch.

Erste Schritte bei gehackter WordPress Website mit Website isolieren, Beweise sichern, Zugänge prüfen und Soforthilfe holen
  1. Ruhe bewahren und nichts blind löschen.
  2. Website-Zustand sichern und Hinweise dokumentieren.
  3. Zugangsdaten prüfen und kritische Passwörter ändern.
  4. Hosting-Anbieter informieren oder Warnmeldung ernst nehmen.
  5. Keine ungetesteten Backups blind einspielen.
  6. Ursache finden und Website sauber bereinigen.
  7. Danach absichern, aktualisieren und überwachen.

1. Ruhe bewahren und nichts blind löschen

Bei Malware ist hektisches Löschen selten eine gute Idee.

Wenn du zufällig Dateien entfernst, kann das drei Probleme schaffen:

  • die Website geht komplett kaputt
  • wichtige Hinweise zur Ursache verschwinden
  • Hintertüren bleiben trotzdem bestehen

Ein einzelner auffälliger Code-Schnipsel ist oft nur ein Symptom. Wenn du nur dieses Symptom entfernst, bleibt der eigentliche Zugang für Angreifer möglicherweise offen.

Besser ist: erst beobachten, sichern, dokumentieren. Dann gezielt bereinigen.

2. Website-Zustand sichern und Hinweise dokumentieren

Das klingt im ersten Moment merkwürdig: Warum sollte man eine gehackte Website sichern?

Weil der aktuelle Zustand Hinweise liefern kann.

Dokumentiere zum Beispiel:

  • welche Warnung angezeigt wird
  • wann das Problem aufgefallen ist
  • welche URL betroffen ist
  • ob Weiterleitungen passieren
  • ob neue Benutzer angelegt wurden
  • ob der Hoster eine Meldung geschickt hat
  • welche Plugins oder Themes zuletzt aktualisiert wurden

Screenshots von Warnmeldungen, Google-Hinweisen oder Hosting-Mails können später helfen.

Wenn du Zugriff auf Dateien und Datenbank hast, sollte vor größeren Eingriffen eine technische Sicherung des Ist-Zustands erstellt werden. Das ist nicht das Backup, das du wieder online stellen willst. Es ist eine Arbeitskopie für Analyse und Nachvollziehbarkeit.

3. Zugangsdaten prüfen und Passwörter ändern

Ein Hack kommt nicht immer über eine Plugin-Sicherheitslücke. Manchmal sind schwache oder wiederverwendete Passwörter das Problem.

Prüfe und ändere besonders:

  • WordPress-Admin-Passwörter
  • Hosting-Zugang
  • SFTP/FTP-Zugänge
  • Datenbank-Zugang, wenn sinnvoll und technisch sauber machbar
  • E-Mail-Konten, die mit der Website verbunden sind
  • Zugangsdaten von früheren Dienstleistern

Wichtig: Ändere Passwörter nicht nur in WordPress, wenn der Hosting-Zugang weiter offen ist. Ein sauberer Notfallcheck betrachtet alle Zugänge rund um die Website.

Prüfe außerdem die Benutzerliste in WordPress. Unbekannte Administratoren sind ein ernstes Warnsignal.

4. Hosting-Anbieter informieren oder Meldungen ernst nehmen

Wenn dein Hosting-Anbieter Malware meldet, solltest du diese Meldung nicht ignorieren.

Oft steht darin:

  • welche Dateien auffällig sind
  • ob der Versand von E-Mails blockiert wurde
  • ob die Website gesperrt wurde
  • ob eine Frist zur Bereinigung läuft
  • ob bestimmte Pfade betroffen sind

Diese Informationen sind wichtig. Sie ersetzen keine vollständige Bereinigung, aber sie helfen beim Eingrenzen.

Wenn die Website aktiv Besucher gefährdet oder fremde Inhalte ausliefert, kann eine temporäre Sperrung sinnvoll sein. Das ist unangenehm, aber besser als weiterer Schaden für Besucher, Kunden und Suchmaschinenvertrauen.

5. Backups nicht blind einspielen

Ein Backup kann retten. Es kann aber auch trügerisch sein.

Wenn du einfach irgendein altes Backup einspielst, ohne die Ursache zu kennen, können mehrere Dinge passieren:

  • die Sicherheitslücke bleibt offen
  • das Backup enthält bereits Malware
  • neue Inhalte oder Bestellungen gehen verloren
  • die Website wird kurz danach wieder gehackt

Ein Backup ist besonders hilfreich, wenn du weißt:

  • von wann es ist
  • ob es vollständig ist
  • ob es vor dem Hack erstellt wurde
  • ob Datenbank und Dateien enthalten sind
  • wie du es in einer sicheren Umgebung testen kannst

Mehr dazu findest du im Artikel WordPress Backup richtig einrichten.

6. Ursache finden und Website sauber bereinigen

Eine saubere Bereinigung besteht nicht nur aus "Malware-Dateien löschen".

Wichtig ist:

  • infizierte Dateien erkennen
  • unbekannte Admin-Benutzer entfernen
  • manipulierte Inhalte prüfen
  • Themes und Plugins kontrollieren
  • WordPress-Core-Dateien vergleichen
  • Hintertüren finden
  • Dateirechte und Konfiguration prüfen
  • Updates sauber einspielen
  • Logs und Zugänge auswerten

Je nach Fall muss die Website aus einer sauberen Quelle neu aufgebaut oder aus einem geprüften Backup wiederhergestellt werden.

Wenn du hier unsicher bist, ist Hilfe sinnvoll. Gerade bei geschäftlichen Websites kostet langes Herumprobieren oft mehr als eine gezielte Bereinigung.

Soforthilfe anfordern ->

7. Danach absichern, aktualisieren und überwachen

Nach der Bereinigung ist die Arbeit nicht vorbei.

Wenn die Ursache nicht geschlossen wird, ist der nächste Hack nur eine Frage der Zeit.

Nach einem Hack solltest du prüfen:

  • Ist WordPress aktuell?
  • Sind Plugins und Themes aktuell?
  • Gibt es veraltete oder ungenutzte Plugins?
  • Sind alle Passwörter neu und stark?
  • Gibt es Zwei-Faktor-Schutz für Admins?
  • Sind Backups eingerichtet und getestet?
  • Gibt es Monitoring für Ausfälle und Auffälligkeiten?
  • Werden Sicherheitswarnungen regelmäßig geprüft?

Hier schließt sich der Kreis zur laufenden Betreuung. Ein Hack ist oft der Moment, in dem sichtbar wird, dass Updates, Backups und Kontrolle bisher zu selten passiert sind.

Für die Zeit nach der Bereinigung ist WordPress Schutz sinnvoll, damit Sicherheitschecks, Backups, Updates und Monitoring nicht wieder liegen bleiben.

Was du auf keinen Fall tun solltest

Ein paar Dinge machen die Lage oft schlimmer.

Vermeide:

  • Dateien wahllos löschen
  • irgendein Plugin installieren und alles automatisch bereinigen lassen
  • Backups ohne Prüfung über die Live-Website bügeln
  • nur das Admin-Passwort ändern und den Rest ignorieren
  • Warnungen von Google oder dem Hoster aussitzen
  • alte Plugins aktiv lassen, nur weil die Website wieder lädt
  • die Website sofort als "sauber" betrachten, wenn die Weiterleitung weg ist

Sichtbar sauber ist nicht dasselbe wie technisch bereinigt.

Wann du sofort Hilfe holen solltest

Soforthilfe ist besonders sinnvoll, wenn:

  • deine Website auf fremde Seiten weiterleitet
  • Google oder der Browser eine Warnung zeigt
  • dein Hoster die Website gesperrt hat
  • du nicht mehr ins Backend kommst
  • Kundendaten, Bestellungen oder Formulare betroffen sein könnten
  • WooCommerce oder ein Mitgliederbereich läuft
  • du nicht sicher weißt, welche Dateien sauber sind
  • du keine getesteten Backups hast

In solchen Fällen geht es nicht um Perfektion, sondern um Schadensbegrenzung und saubere Wiederherstellung.

Fazit: Nicht hektisch löschen, sondern sauber vorgehen

Wenn WordPress gehackt wurde, zählt ein klarer Ablauf.

Nicht blind löschen. Nicht irgendein Backup einspielen. Nicht warten, bis Google, Hoster oder Kunden den Schaden größer machen.

Sichere Hinweise, prüfe Zugänge, nimm Warnmeldungen ernst und lass die Ursache sauber finden. Danach braucht die Website Updates, Backups, Monitoring und regelmäßige Kontrolle, damit sich das Problem nicht wiederholt.

Soforthilfe anfordern ->

Cookie Consent Banner von Real Cookie Banner