Blog

WordPress-Sicherheitslücke entdeckt, was jetzt sofort zu tun ist

Von · 21. Mai 2026 · 8 Minuten Lesezeit

Du bekommst eine Warnung von deinem Hosting-Anbieter, ein Sicherheits-Plugin schlägt Alarm, oder du bemerkst merkwürdige Aktivitäten in deinem WordPress-Backend. Oder schlimmer: Jemand hat dir gesagt, dass deine Website seltsame Inhalte anzeigt. Was jetzt?

Das Wichtigste zuerst: Ruhig bleiben, aber sofort handeln. Jede Stunde, die du wartest, gibt einem möglichen Angreifer mehr Zeit.

Schritt 1: Website in den Wartungsmodus, sofort

Wenn du vermutest, dass deine Website kompromittiert ist, aktiviere den Wartungsmodus. Das verhindert, dass Besucher mit schadhaftem Code in Kontakt kommen, und signalisiert Suchmaschinen, dass die Seite vorübergehend nicht verfügbar ist, was besser ist als eine infizierte Seite.

Wenn du nicht mehr ins Backend kommst, lege per FTP eine Datei .maintenance im Stammverzeichnis an.

Schritt 2: Alle Passwörter sofort ändern

Ändere jetzt alle Passwörter, nicht nur das WordPress-Passwort:

  • WordPress-Admin (alle Nutzer mit Admin-Rolle)
  • Hosting-Panel (cPanel, Plesk oder was dein Anbieter nutzt)
  • FTP/SFTP-Zugangsdaten
  • Datenbank-Passwort (in der wp-config.php und im Hosting-Panel)
  • E-Mail-Konten, die mit WordPress verknüpft sind

Nutze für jedes Passwort eine einzigartige, lange Zeichenkombination. Ein Passwort-Manager wie Bitwarden macht das einfach.

Schritt 3: Alle Updates sofort einspielen

Die meisten WordPress-Hacks nutzen bekannte Sicherheitslücken in veralteten Plugins, Themes oder WordPress selbst aus. Updates schließen diese Lücken. Gehe zu Dashboard > Aktualisierungen und spiele alles ein:

  • WordPress Core
  • Alle Plugins
  • Alle Themes (auch inaktive, sie können Lücken enthalten)

Wenn ein Plugin seit Monaten kein Update hatte und eine bekannte Schwachstelle hat, deinstalliere es vollständig.

Schritt 4: Logs analysieren

Dein Hosting-Anbieter stellt Server-Logs bereit. Schaue darin nach:

  • Ungewöhnlich viele POST-Requests auf /wp-login.php oder /xmlrpc.php
  • Requests auf Dateien, die nicht existieren sollten (z.B. /wp-content/uploads/evil.php)
  • Requests von IPs mit vielen verschiedenen User-Agents in kurzer Zeit
  • Zeitpunkt des ersten verdächtigen Zugriffs, das hilft bei der Schadensanalyse

Das Plugin "WP Security Audit Log" protokolliert alle Backend-Aktivitäten und zeigt, welche Nutzer wann was gemacht haben.

Schritt 5: Schadcode suchen und entfernen

Plugins wie Wordfence Security oder Sucuri SiteCheck scannen alle Dateien auf bekannte Schadcode-Muster. Führe einen vollständigen Scan durch. Wenn Schadcode gefunden wird:

  • Sichere zunächst alle Befunde als Screenshots
  • Ersetze infizierte Dateien durch saubere Originale (aus dem offiziellen WordPress-Repository)
  • Prüfe die Datenbank auf injizierte Links oder Skripte in Beiträgen und Optionen
  • Im Zweifel: Sauberes Backup einspielen und manuell nur die Inhalte (Beiträge, Medien) übernehmen

Schritt 6: Firewall aktivieren

Eine Web Application Firewall (WAF) filtert schadhaften Traffic, bevor er WordPress erreicht. Optionen:

  • Wordfence Free: Plugin-basierte Firewall, gut für Einsteiger
  • Cloudflare Free: CDN mit eingebauter Basis-WAF, zusätzlich schnellere Ladezeiten
  • Sucuri: Spezialisiert auf WordPress-Sicherheit, kostenpflichtig aber umfassend

Eine Firewall auf CDN-Ebene (wie Cloudflare) ist effektiver als eine Plugin-basierte, weil sie Angriffe abwehrt, bevor sie deinen Server überhaupt erreichen. Lies dazu mehr unter Website-Sicherheit für KMU.

Nach dem Angriff: Dauerhaft absichern

Ein Angriff ist auch eine Chance, die Sicherheitsstrategie grundlegend zu verbessern. Nach der Bereinigung solltest du dauerhaft einrichten:

  • Automatische Updates für WordPress Core und vertrauenswürdige Plugins
  • Tägliche Backups an einem externen Speicherort
  • Zwei-Faktor-Authentifizierung für alle Admin-Nutzer
  • Regelmäßige Sicherheitsscans (wöchentlich)
  • Monitoring, das dich bei verdächtigen Aktivitäten sofort benachrichtigt

Genau das richtet rocks.optimize für dich ein. Mit rocks.care pro hast du einen Partner, der nicht nur reagiert wenn etwas passiert, sondern Angriffe erkennt bevor sie Schaden anrichten.

Verwandte Artikel & Lexikon

M

Website-Optimierer und Gründer von rocks.optimize. Hilft KMU dabei, schnellere, sicherere und besser gefundene Websites zu bekommen.

WordPress-Sicherheit proaktiv statt reaktiv

rocks.optimize erkennt Sicherheitslücken und Angriffe, bevor sie Schaden anrichten, und behebt sie sofort.

Erstgespräch buchen RocksCare Pro ansehen

Nützliche Lexikon-Einträge

Bereit, Ihre Website auf Erfolgskurs zu bringen?

Kostenloses Erstgespräch inkl. persönlicher Website-Analyse, unverbindlich & in 30 Minuten.

Jetzt Termin sichern