WordPress gehackt: Was tun in den ersten 24 Stunden?

Du öffnest deine WordPress-Website und siehst fremde Inhalte, eine Weiterleitungsschleife oder eine Warnung im Browser. Oder Google Search Console meldet "Diese Website wurde möglicherweise gehackt". In diesem Moment zählt jede Minute, denn eine kompromittierte Website schadet nicht nur dir, sondern auch deinen Besuchern.

Schritt 1: Website sofort offline nehmen

Der erste Reflex vieler Website-Besitzer ist es, die Seite zu lassen wie sie ist, um nichts zu verschlimmern. Das Gegenteil ist richtig: Nimm die Website sofort offline. So verhinderst du, dass Besucher auf Malware stoßen oder deine Seite weitere Schadsoftware verbreitet.

• Aktiviere den Wartungsmodus über dein Hosting-Panel
• Oder bennene die index.php vorübergehend um (via FTP/SFTP)
• Manche Hoster bieten eine "Website sperren"-Funktion direkt im Panel an

Informiere auch dein Hosting-Unternehmen sofort. Gute Hoster haben ein eigenes Sicherheitsteam und können dir helfen, den Angriffsvektor einzugrenzen.

Schritt 2: Malware scannen und lokalisieren

Bevor du irgendetwas bereinigst, musst du wissen, was genau befallen ist. Hier helfen spezialisierte Scanner:

• Sucuri SiteCheck: Kostenloser externer Scan, erkennt bekannte Malware-Signaturen
• Wordfence: WordPress-Plugin mit tiefem Scan aller Dateien, vergleicht mit Original-Dateien aus dem WordPress-Repository
• MalCare: Findet auch gut versteckte Backdoors in verschleierten PHP-Dateien

Notiere dir alle verdächtigen Dateien und deren Pfade, bevor du sie löschst. Das hilft dir, den Angriffsvektor zu verstehen und zu schließen.

Schritt 3: Sauberes Backup einspielen

Wenn du regelmäßige Backups hast, ist das jetzt Gold wert. Spiel das letzte saubere Backup ein, also das Backup von vor dem Hack. Wie erkennst du, wann der Hack stattgefunden hat? Schaue dir die Änderungsdaten der WordPress-Kerndateien an oder prüfe deine Server-Logs.

Kein Backup vorhanden? Dann muss die manuelle Bereinigung her:

• WordPress-Kern komplett neu installieren (Dateien ersetzen, nicht löschen)
• Alle Themes und Plugins frisch aus offiziellen Quellen installieren
• Datenbank auf verdächtige Einträge prüfen (besonders wp_options und wp_users)
• Alle PHP-Dateien in wp-content/uploads prüfen und entfernen

Für regelmäßige automatische Backups empfiehlt sich ein Wartungspaket, das diese Aufgabe ohne dein Zutun erledigt. Lies mehr dazu unter Website-Pflege und Wartung.

Schritt 4: Alle Passwörter ändern

Ändere nach der Bereinigung konsequent alle Passwörter, die mit deiner Website in Verbindung stehen:

• Alle WordPress-Admin-Accounts, auch angelegte Testaccounts
• FTP/SFTP-Zugangsdaten
• Datenbank-Passwort (und entsprechend wp-config.php anpassen)
• Hosting-Panel-Passwort
• E-Mail-Adressen, die für den WordPress-Login verwendet werden

Nutze einen Passwort-Manager und generiere mindestens 20 Zeichen lange zufällige Passwörter. Aktiviere außerdem Zwei-Faktor-Authentifizierung für alle Admin-Accounts.

Schritt 5: Einfallstor schließen

Der Hack kommt nicht von allein. Die häufigsten Einfallstore sind:

• Veraltete Plugins oder Themes mit bekannten Sicherheitslücken
• Schwache oder wiederverwendete Passwörter
• Kompromittierte lokale Entwicklungsumgebung
• Unsichere File-Upload-Funktionen
• Shared Hosting ohne ausreichende Prozess-Isolation

Schritt 6: Google informieren und Blacklist prüfen

Wenn Google deine Website bereits als gefährlich markiert hat, musst du aktiv werden:

• Prüfe die Search Console unter "Sicherheitsprobleme"
• Fordere nach der Bereinigung eine manuelle Überprüfung an
• Prüfe deinen Status auch unter Google Safe Browsing

Die Überprüfung kann einige Tage dauern. In der Zwischenzeit ist deine Website weiterhin als unsicher markiert, was Besucher und Rankings kostet.

Wer langfristig auf der sicheren Seite sein will, braucht mehr als nur eine Notfallreparatur. Bei rocks.optimize Sicherheitspaket für KMU übernehmen wir das laufende Monitoring, automatische Updates und regelmäßige Backups, damit ein Hack erst gar nicht passiert.