WordPress gehackt? Diese 7 Schritte jetzt sofort tun
Wenn deine WordPress-Seite gehackt wurde, zählt die Reihenfolge: Erst den Schaden stoppen, dann bereinigen, dann die Lücke schließen – wer direkt das Backup einspielt, ohne die Ursache zu kennen, ist in drei Tagen wieder infiziert. Hier sind die sieben Schritte in der richtigen Reihenfolge, ohne Panik und ohne Fachchinesisch.
Das Wichtigste in Kürze:
- Sofort: alle Passwörter ändern (WordPress, Hosting, FTP, Datenbank) und den Hoster informieren.
- Nicht einfach das Backup einspielen — erst die Einfallslücke finden, sonst wiederholt sich alles.
- Google Search Console prüfen: Eine Hack-Warnung in den Suchergebnissen kostet dich sonst wochenlang Besucher.
- Bereinigung kostet beim Profi 300–1.500 €. Danach stellt sich die Systemfrage: flicken oder die Angriffsfläche abschaffen?
Schritt 1: Ruhe bewahren – und den Schaden eingrenzen
Ein Hack ist ärgerlich, aber fast nie existenzbedrohend, wenn du jetzt strukturiert vorgehst. Falls deine Seite aktiv Schadsoftware verteilt oder auf Betrugsseiten weiterleitet: Nimm sie vorübergehend vom Netz (Wartungsmodus über den Hoster). Eine Seite, die zwei Tage offline ist, schadet dir weniger als eine, die Kunden infiziert.
Schritt 2: Alle Passwörter ändern – wirklich alle
In dieser Reihenfolge, von einem sauberen Gerät aus:
- Hosting-Kundenkonto
- FTP-/SFTP-Zugänge
- Datenbank-Passwort
- Alle WordPress-Administratoren
- E-Mail-Postfächer, die mit der Website verknüpft sind
Prüfe dabei die WordPress-Benutzerliste auf fremde Admin-Konten — Angreifer legen sich fast immer eine Hintertür in Form eines eigenen Benutzers an. Unbekannte Konten löschen.
Schritt 3: Den Hoster informieren
Dein Hoster hat Werkzeuge und Logs, die du nicht hast — viele erkennen die Infektionsquelle in den Server-Protokollen. Manche Hoster sperren gehackte Seiten auch von sich aus; wer proaktiv anruft, wird schneller wieder freigeschaltet.
Schritt 4: Die Lücke finden, BEVOR du bereinigst
Der Schritt, den fast alle überspringen — und der Grund, warum gehackte Seiten oft mehrfach gehackt werden. Rund 90 % der WordPress-Einbrüche laufen über veraltete oder verwundbare Plugins (Quelle: Wordfence). Prüfe: Welche Plugins/Themes waren zum Zeitpunkt des Hacks nicht aktuell? Gibt es zu einem davon bekannte Sicherheitswarnungen? Ein Malware-Scan (z. B. Wordfence, Sucuri) zeigt zusätzlich infizierte Dateien. Die häufigsten Einfallstore im Überblick.
Schritt 5: Bereinigen – Backup oder Profi
Weg A — sauberes Backup: Wenn du ein Backup von vor der Infektion hast: einspielen, dann sofort alle Updates durchführen und die in Schritt 4 identifizierte Lücke schließen (Plugin aktualisieren oder löschen).
Weg B — Profi-Bereinigung: Ohne sauberes Backup oder bei tiefer Infektion (veränderte Core-Dateien, Hintertüren) führt an professioneller Bereinigung kaum ein Weg vorbei: 300–1.500 € je nach Umfang. Finger weg von „Wir scannen kurz drüber"-Angeboten für 50 € — halbe Bereinigung ist keine.
Schritt 6: Google entwarnen
Prüfe in der Google Search Console, ob unter „Sicherheit & manuelle Maßnahmen" eine Warnung vorliegt. Falls ja: Nach der Bereinigung dort eine Überprüfung beantragen — erst dann verschwindet das „Diese Website wurde möglicherweise gehackt" aus den Suchergebnissen. Ohne diesen Schritt bleibt die Warnung wochenlang stehen und kostet dich fast alle Klicks.
Schritt 7: Dafür sorgen, dass es nie wieder passiert
Jetzt die ehrliche Systemfrage. Du hast zwei Optionen:
Option 1 — das Wettrüsten fortsetzen: Alle Updates ab sofort zeitnah, Plugin-Bestand radikal ausmisten, Zwei-Faktor-Authentifizierung, Security-Plugin, laufende Wartung (30–250 €/Monat oder deine Zeit). Das senkt das Risiko deutlich — auf null bringt es das Risiko nie, weil das System angreifbar bleibt: Datenbank, Login, Plugins.
Option 2 — das Schlachtfeld verlassen: Eine statische Website hat keine Datenbank, kein Login-Backend und keine Plugins. Da ist nichts, das man hacken kann — die Einfallstore existieren nicht. Für Präsentations-Websites (Betrieb, Praxis, Kanzlei) ist das die dauerhaft ruhigere Lösung: Ich baue deine Seite statisch um und betreue sie komplett — inklusive aller Änderungen per Flatrate. Ein gehackter Kunde ist übrigens der häufigste Anlass, aus dem Betriebe zu mir wechseln.
Ein WordPress-Hack ist beherrschbar, wenn du die Reihenfolge einhältst: eingrenzen, Passwörter, Hoster, Lücke finden, bereinigen, Google entwarnen. Die wichtigste Entscheidung kommt danach: zurück ins Wettrüsten — oder raus aus der Angriffsfläche. Wenn du gerade mitten im Notfall steckst oder ihn nie wieder erleben willst: Schreib mir kurz — ich schaue mir deine Situation kostenlos an und sage dir ehrlich, welcher Weg für deinen Fall der richtige ist.
Häufige Fragen
Fremde Inhalte oder Weiterleitungen, Google-Warnung in den Suchergebnissen, unbekannte Admin-Konten, plötzliche Trägheit, Spam von deiner Domain, Hoster-Warnung. Im Zweifel: Malware-Scan.
Professionell 300–1.500 €. Plus indirekte Kosten: Ausfall, verlorene Anfragen, Ranking-Schaden durch die Google-Warnung.
Nur wenn du zusätzlich die Einfallslücke schließt. Backup einspielen ohne Ursachenanalyse führt regelmäßig zur Wieder-Infektion binnen Tagen.
Die Website selbst bietet keine Angriffsfläche (kein Login, keine Datenbank, keine Plugins). Absicherung braucht dann nur noch der Server darunter — ein Bruchteil des Aufwands, den ein CMS erfordert.