WordPress gehackt? Der 5-Schritte-Notfallplan zur Soforthilfe

Stunden Kommentare Lesezeit: 4 Minuten
Hände tippen auf Laptop-Tastatur, um ein neues Passwort zu setzen – Schritt aus einem WordPress-Notfallplan nach einem Hack

Deine WordPress-Website wurde gehackt? Das ist erstmal ein Schock – aber keine Sorge, du bist nicht allein. Tausende WordPress-Seiten werden täglich angegriffen. Die gute Nachricht: Mit dem richtigen Notfallplan bekommst du deine Website schnell wieder sicher und sauber.

⚠️ Wichtig: Wenn du merkst, dass deine WordPress-Seite gehackt wurde, handle schnell! Je länger Hacker Zugriff haben, desto mehr Schaden können sie anrichten – von Datenverlust über SEO-Probleme bis hin zu rechtlichen Konsequenzen.

Woran erkennst du, dass WordPress gehackt wurde?

Bevor wir in die Soforthilfe einsteigen, solltest du wissen, welche Anzeichen auf einen Hack hindeuten. Oft sind die Symptome eindeutig:

  • Deine Website lädt plötzlich viel langsamer oder stürzt komplett ab
  • Unbekannte Admin-Accounts tauchen in deinem WordPress-Backend auf
  • Spam-Links oder fremde Inhalte erscheinen auf deiner Seite
  • Google warnt vor deiner Website mit Meldungen wie „Diese Website könnte gehackt worden sein“
  • Weiterleitungen zu dubiosen Seiten passieren automatisch
  • Dein Hoster sperrt deine Website wegen verdächtiger Aktivitäten

Wenn eines oder mehrere dieser Symptome auftreten, ist schnelles Handeln gefragt. Hier kommt der 5-Schritte-Notfallplan für gehackte WordPress-Seiten.

Schritt 1: Ruhe bewahren und Website offline nehmen

Der erste Impuls ist oft Panik – völlig verständlich. Aber jetzt ist ein kühler Kopf gefragt.

Was du sofort tun solltest

Aktiviere den Wartungsmodus. Das schützt deine Besucher vor Malware und verhindert, dass Suchmaschinen die gehackte Version indexieren. Du kannst den Wartungsmodus über ein Plugin wie „WP Maintenance Mode“ einschalten oder eine einfache .maintenance-Datei im WordPress-Root-Verzeichnis hochladen.

Informiere deinen Hoster. Viele Hosting-Anbieter wie IONOS oder HostPress bieten spezielle Hilfe bei gehackten WordPress-Seiten an. Sie können oft schnell erkennen, wie umfangreich der Schaden ist.

Tipp: Mach keine voreiligen Änderungen an deiner Website, bevor du nicht genau weißt, was passiert ist. Sonst könntest du wichtige Spuren verwischen.

Schritt 2: Alle Passwörter sofort ändern

Hacker nutzen oft gestohlene oder schwache Passwörter, um in WordPress einzudringen. Deshalb ist dieser Schritt absolut kritisch.

Diese Passwörter musst du ändern

  • WordPress Admin-Passwörter: Für alle Benutzer mit Administrator-Rechten
  • Datenbank-Passwort: Findest du in der wp-config.php-Datei
  • FTP/SFTP-Zugänge: Damit Hacker nicht weiter über Dateizugriff agieren können
  • Hosting-Control-Panel: Wie cPanel, Plesk oder das Interface deines Hosters

Nutze für neue Passwörter einen Passwort-Generator und wähle mindestens 16 Zeichen mit Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen. Speichere sie sicher in einem Passwort-Manager.

Schritt 3: Malware aufspüren und entfernen

Jetzt wird’s technisch – aber keine Angst, es gibt gute Tools, die dir helfen.

Automatische Malware-Scanner nutzen

Plugins wie Wordfence Security oder Sucuri Security scannen deine WordPress-Installation auf bekannte Malware, verdächtige Dateien und Backdoors. Sie zeigen dir genau, welche Dateien infiziert sind.

Alternativ bieten spezialisierte Dienste wie wir professionelle Malware-Entfernung an, falls du dir unsicher bist oder der Befall sehr hartnäckig ist.

Manuelle Überprüfung kritischer Dateien

Hacker verstecken gerne Schadcode in diesen Dateien:

  • wp-config.php – Zentrale Konfigurationsdatei
  • .htaccess – Steuert Weiterleitungen und Zugriffsrechte
  • functions.php in deinem Theme-Ordner
  • Dateien mit verdächtigen Namen wie wp-content.php oder kryptischen Zeichen

Vergleiche diese Dateien mit einer frischen WordPress-Installation oder einem sauberen Backup. Alles, was nicht hingehört, muss raus.

Schritt 4: WordPress, Themes und Plugins aktualisieren

Veraltete Software ist das Einfallstor Nummer 1 für Hacker. Nach der Bereinigung musst du alles auf den neuesten Stand bringen.

So gehst du vor

  1. Lösche alle inaktiven Plugins und Themes. Auch wenn sie nicht aktiv sind, können sie Sicherheitslücken enthalten.
  2. Aktualisiere WordPress Core auf die neueste Version.
  3. Update alle aktiven Plugins und Themes. Prüfe dabei, ob Updates verfügbar sind und installiere sie sofort.
  4. Entferne Nulled Themes oder Plugins. Raubkopierte Premium-Plugins sind oft mit Malware verseucht.

Schritt 5: Sicherheitsmaßnahmen für die Zukunft einrichten

Deine Website ist jetzt sauber – aber wie verhinderst du, dass es wieder passiert?

Diese Schutzmaßnahmen sind unverzichtbar

  • Installiere ein Sicherheits-Plugin wie Wordfence, iThemes Security oder Sucuri. Sie bieten Firewall, Login-Schutz und kontinuierliche Überwachung.
  • Aktiviere die Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Accounts. Das macht es Hackern extrem schwer, sich einzuloggen.
  • Richte automatische Backups ein. Mit Plugins wie UpdraftPlus oder BackWPup kannst du täglich Sicherungen erstellen – am besten auf externen Speichern wie Dropbox oder Google Drive.
  • Ändere die Standard-Login-URL. Statt /wp-admin nutzt du eine individuelle URL, die Bots nicht so leicht finden.
  • Begrenze Login-Versuche. Plugins wie „Limit Login Attempts Reloaded“ sperren IPs nach mehreren fehlgeschlagenen Anmeldeversuchen.

Regelmäßige Wartung ist das A und O

Eine einmalige Bereinigung reicht nicht. WordPress-Sicherheit ist ein fortlaufender Prozess. Prüfe regelmäßig:

  • Ob alle Updates installiert sind
  • Ob verdächtige Benutzer-Accounts existieren
  • Ob deine Backups funktionieren
  • Ob Security-Scans sauber durchlaufen

Wenn dir das zu aufwendig ist, kannst du auch professionelle WordPress-Wartung beauftragen. Die Profis kümmern sich dann um Updates, Sicherheit und Backups.

Was tun, wenn der Hack zu komplex ist?

Manchmal ist der Befall so massiv oder versteckt, dass eine manuelle Bereinigung zu riskant oder zeitaufwendig wird. In diesem Fall gibt es zwei Optionen:

Option 1: Professionelle Hilfe holen

Spezialisierte Dienstleister wie WordPress-Hilfe bieten Soforthilfe bei gehackten Websites. Sie analysieren den Schaden, entfernen Malware professionell und härten deine Seite gegen neue Angriffe ab.

Option 2: WordPress neu aufsetzen

Wenn alle Stricke reißen, bleibt nur noch die Komplett-Neuinstallation. Dabei gehst du so vor:

  1. Sichere deine Datenbank und Uploads (Bilder, Dokumente)
  2. Installiere WordPress komplett neu
  3. Spiele ein sauberes Backup ein oder importiere nur die Inhalte (Posts, Seiten)
  4. Installiere Themes und Plugins frisch aus vertrauenswürdigen Quellen

Das ist zwar aufwendig, garantiert aber eine 100% saubere Installation.

Häufige Fragen zu gehackten WordPress-Seiten

Wie lange dauert die Bereinigung einer gehackten WordPress-Seite?

Das hängt vom Umfang des Hacks ab. Einfache Malware-Infektionen lassen sich oft in 2-4 Stunden bereinigen. Bei komplexen Backdoors oder massivem Spam kann es auch 1-2 Tage dauern. Professionelle Dienstleister wie Hostinger bieten oft Express-Services an.

Kann ich meine Website selbst bereinigen oder brauche ich Hilfe?

Mit technischem Grundwissen und den richtigen Tools kannst du viele Hacks selbst beheben. Wenn du dir aber unsicher bist oder keine Zeit hast, ist professionelle WordPress-Hilfe die sicherere Wahl. Fehler bei der Bereinigung können die Situation verschlimmern.

Wie kann ich verhindern, dass meine WordPress-Seite erneut gehackt wird?

Die wichtigsten Maßnahmen sind: starke Passwörter, regelmäßige Updates, ein gutes Security-Plugin, automatische Backups und die Zwei-Faktor-Authentifizierung. Wenn du auf Nummer sicher gehen willst, buche eine professionelle WordPress-Wartung.

Fazit: Schnell handeln, langfristig schützen

Eine gehackte WordPress-Seite ist ärgerlich, aber kein Weltuntergang. Mit diesem 5-Schritte-Notfallplan bekommst du deine Website schnell wieder sicher:

  1. Ruhe bewahren und Website offline nehmen
  2. Alle Passwörter sofort ändern
  3. Malware aufspüren und entfernen
  4. WordPress, Themes und Plugins aktualisieren
  5. Sicherheitsmaßnahmen für die Zukunft einrichten

Das Wichtigste nach einem Hack: Zieh die richtigen Lehren daraus. Investiere in Sicherheit und regelmäßige Wartung, damit du nie wieder in diese Situation kommst.

Brauchst du Soforthilfe? Wenn deine WordPress-Seite gerade gehackt wurde und du schnelle professionelle Unterstützung brauchst, schau dir unsere WordPress-Hilfe an. Wir helfen dir, deine Website schnell und sicher wieder online zu bringen.

Das könnte dich auch interessieren

  • Grundlagen der Bildoptimierung für SEO in WordPress: Techniken und Tipps

  • Screenshot der WordPress-Themes-Übersicht mit beliebten kostenlosen Designs wie Hello, Astra und Blog

    Welche WordPress-Funktionen du niemals in einem Theme programmieren solltest

  • Illustration eines WordPress Dashboards mit geplanten Cronjobs und Performance- sowie SEO-Diagrammen

    WordPress-Cronjobs verstehen und optimieren: So vermeidest du SEO- und Performance-Probleme

Tim Ehling

Tim Ehling

WordPress & SEO-Experte

Technisches SEO, Wartung, Barrierefreiheit, Hilfe, Schulungen

Seit 2006 mit WordPress unterwegs. Ich mache komplexe WP-Themen greifbar, sichere Websites ab und optimiere Performance & SEO – pragmatisch statt Agentur-Blabla.

Alle Beiträge von Tim Ehling ansehen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert