WordPress gehackt: Soforthilfe in 7 Schritten

13.000 gehackte Sites pro Tag, 5 Stunden bis zum Massenangriff, 450–2.800 EUR Bereinigungskosten. Sieben Sofortmaßnahmen – von Site offline nehmen bis Neuinstallation – die du jetzt abarbeiten kannst.

Deine WordPress-Seite leitet auf eine Spam-Seite weiter. Oder du findest japanische Keywords im Google-Index. Oder dein Hoster hat die Site gesperrt. Egal, welches Symptom dich hergeführt hat: Du brauchst jetzt einen Plan, keine Panik. Dieser Artikel gibt dir sieben Schritte, die du sofort abarbeiten kannst, um deinen Hack zu bereinigen, deine Daten zu sichern und deine Site wieder online zu bringen.

Die Reihenfolge ist wichtig. Wer zuerst die Malware löscht, aber die Passwörter nicht ändert, wird innerhalb von Stunden erneut kompromittiert. Wer die Backdoor übersieht, kann den Core dreimal neu installieren und wird trotzdem wieder gehackt. Arbeite die Schritte der Reihe nach durch. Wenn du professionelle Hilfe brauchst, bieten wir WordPress-Reparatur und Malware-Bereinigung als Service an.

Wie erkennst du, dass deine Site gehackt wurde?

Nicht jeder Hack ist offensichtlich. Manche Angreifer wollen gerade nicht auffallen und nutzen deine Site monatelang für SEO-Spam oder als Malware-Verteiler, ohne dass du es merkst. Hier sind die häufigsten Symptome:

• Unerwartete Redirects. Besucher landen auf Pharma-, Casino- oder Spam-Sites statt auf deiner Seite. Oft nur auf Mobilgeräten oder nur bei Besuchern, die über Google kommen.
• SEO-Spam im Google-Index. Japanische oder pharmazeutische Keywords tauchen in deinen Suchergebnissen auf. Prüfe mit site:deinedomain.de in Google.
• Google-Warnung. "Diese Website wurde möglicherweise gehackt" oder "Diese Website kann deinen Computer beschädigen" in den Suchergebnissen.
• Unbekannte Admin-Benutzer. Neue Administratoren im WordPress-Dashboard, die niemand aus deinem Team angelegt hat.
• Defaced Startseite. Deine Startseite wurde durch eine Hacker-Botschaft ersetzt.
• Unbekannte Dateien. PHP-Dateien in /wp-content/uploads/, die dort nicht hingehören. Dateinamen wie wp-tmp.php, db_cache.php oder zufällige Zeichenketten.
• Geänderter .htaccess-Code. Weiterleitungsregeln oder Base64-kodierte Blöcke, die du nicht eingefügt hast.
• Verlangsamte Performance. Dein Server ist spürbar langsamer, weil im Hintergrund Spam versendet oder Krypto gemined wird.

Wenn eines oder mehrere dieser Symptome zutreffen, gehe davon aus, dass deine Site kompromittiert ist. Die folgenden sieben Schritte zeigen dir, was du jetzt tust.

Schritt 1: Site sofort offline nehmen

Deine gehackte Site verteilt möglicherweise Malware an Besucher, verschickt Spam-E-Mails oder schadet deinem SEO-Ranking mit jeder Minute, die sie online bleibt. Der erste Schritt ist deshalb, den Schaden zu begrenzen.

Du hast drei Optionen:

• Maintenance-Mode-Plugin. Falls du noch ins Dashboard kommst: Aktiviere ein Plugin wie "WP Maintenance Mode" oder "Coming Soon Page". Das zeigt Besuchern eine Wartungsseite und blockiert den Zugriff auf die kompromittierten Inhalte.
• .htaccess-Sperre. Wenn du FTP/SFTP-Zugang hast, aber nicht mehr ins Dashboard kommst, füge diese Zeilen an den Anfang deiner .htaccess ein:

Order Deny,Allow
Deny from all
Allow from DEINE.IP.ADRESSE

• Hoster kontaktieren. Dein Hoster kann die Site serverseitig sperren. Das ist die sicherste Option, weil sie auch funktioniert, wenn der Angreifer deine .htaccess-Datei manipuliert hat.

Mache vorher ein vollständiges Backup der kompromittierten Site (Dateien + Datenbank). Du brauchst es später für die Analyse. Lösche nichts, bevor du nicht weißt, wie der Angreifer reingekommen ist.

Schritt 2: Alle Passwörter ändern

Ein Hack bedeutet, dass mindestens ein Zugang kompromittiert ist. Du weißt nicht welcher. Also änderst du alle. 65 Millionen Brute-Force-Versuche pro Tag treffen WordPress-Sites, 97 % davon automatisiert. Wenn dein Passwort schwach war, war das möglicherweise das Einfallstor.

Diese Zugänge musst du sofort ändern:

• Alle WordPress-Admin-Accounts. Nicht nur deinen eigenen. Jeden Account mit Administrator- oder Editor-Rechten.
• FTP/SFTP-Passwort. Der Angreifer hat möglicherweise Dateien direkt auf dem Server manipuliert.
• Datenbank-Passwort. Ändere es im Hosting-Panel und aktualisiere anschließend die wp-config.php.
• Hosting-Panel-Passwort. cPanel, Plesk oder was auch immer dein Hoster nutzt.
• E-Mail-Accounts. Wenn deine E-Mail-Adresse auf derselben Domain liegt, ist sie möglicherweise ebenfalls betroffen.

Jedes neue Passwort: mindestens 16 Zeichen, zufällig generiert, keine Wiederverwendung. Ein Passwort-Manager wie Bitwarden oder 1Password ist dafür der richtige Ort. Warum schwache Zugangsdaten und fehlende Updates zu den häufigsten Einfallstoren gehören, haben wir im Detail in unserem Artikel über die Kosten ignorierter Updates aufgeschlüsselt.

Setze außerdem die WordPress Security Salts in der wp-config.php zurück. Das invalidiert alle bestehenden Login-Sessions und zwingt jeden (inklusive des Angreifers) zum erneuten Login. Neue Salts generierst du unter api.wordpress.org/secret-key/1.1/salt/.

Schritt 3: Hoster kontaktieren

Dein Hosting-Provider hat Informationen, an die du alleine nicht rankommst. Kontaktiere den Support und bitte um Folgendes:

• Server-Logs. Access-Logs und Error-Logs der letzten 30 Tage. Sie zeigen dir, welche Dateien aufgerufen wurden, welche IP-Adressen beteiligt waren und wann der Angriff begonnen hat.
• Account-Isolierung. Wenn du auf Shared Hosting bist, kann ein Hack auf einer anderen Site auf dem gleichen Server deine betreffen. Bitte den Hoster, deinen Account zu isolieren.
• Malware-Scan auf Server-Ebene. Viele Hoster haben eigene Scanner (ClamAV, Imunify360), die Malware finden, die WordPress-Plugins übersehen.
• Sauberes Backup. Frage, ob es ein Backup von vor dem Hack-Zeitpunkt gibt. Wenn ja, ist das dein Rettungsanker.

Gute Managed-WordPress-Hoster wie Raidboxes, Cloudways oder Kinsta haben Incident-Response-Prozesse und helfen aktiv bei der Bereinigung. Bei günstigem Shared Hosting bekommst du eher eine automatische Sperrung und den Hinweis, das Problem selbst zu lösen.

Schritt 4: Malware scannen

Jetzt geht es an die Analyse. Du brauchst ein klares Bild davon, was kompromittiert wurde. Nutze mindestens zwei verschiedene Tools, weil keines alle Malware-Varianten erkennt.

Empfohlene Scanner:

• Wordfence (Plugin). Scannt Core-Dateien, Themes und Plugins gegen die offiziellen Repositories. Findet modifizierte Dateien, Backdoors und bekannte Malware-Signaturen. Die kostenlose Version reicht für den Scan.
• Sucuri SiteCheck (online, kostenlos). Prüft deine Site von außen auf Blacklisting, Malware-Injections und Spam. Nützlich als Schnellcheck, findet aber keine Backdoors in nicht-öffentlichen Dateien.
• MalCare (Plugin). Cloud-basierter Scan, der deinen Server nicht belastet. Gute Erkennungsrate bei obfuskiertem Code.

Dokumentiere alles, was die Scanner finden. Dateinamen, Pfade, Zeitstempel. Du brauchst diese Liste für die nächsten Schritte.

Schritt 5: Backdoors finden und entfernen

Malware löschen reicht nicht. Angreifer platzieren Backdoors, über die sie nach einer Bereinigung wieder reinkommen. Das ist der Grund, warum 42 % der Sites, die älter als 3 Jahre sind, erneut gehackt werden: Die Backdoor wurde beim ersten Mal übersehen.

Typische Verstecke für Backdoors:

• PHP-Dateien in /wp-content/uploads/. In diesem Verzeichnis sollten nur Mediendateien liegen (Bilder, PDFs, Videos). Jede PHP-Datei hier ist verdächtig.
• Obfuskierter Code in functions.php. Suche nach base64_decode, eval(), str_rot13, gzinflate oder langen Zeichenketten aus scheinbar zufälligen Zeichen. Legitime Themes verwenden diese Funktionen selten.
• Unbekannte Plugins. Plugins, die nicht im offiziellen Repository zu finden sind, mit generischen Namen wie "WP Security Helper" oder einzelnen PHP-Dateien statt einer Ordnerstruktur.
• wp-config.php. Prüfe die Datei auf eingefügten Code oberhalb oder unterhalb des regulären Inhalts. Angreifer fügen dort gerne require- oder include-Anweisungen ein.
• Cronjobs. Prüfe die WordPress-Cronjobs mit dem Plugin "WP Crontrol". Angreifer registrieren Cronjobs, die ihre Backdoor regelmäßig neu erstellen.

Wenn du dir nicht sicher bist, ob eine Datei legitim ist: Vergleiche sie mit der originalen Version aus dem WordPress-Repository oder dem Theme-/Plugin-Anbieter. Jede Abweichung ist verdächtig.

Schritt 6: Core und Datenbank prüfen

WordPress-Core-Dateien sollten exakte Kopien der offiziellen Distribution sein. Wenn sie das nicht sind, wurden sie manipuliert.

Core-Dateien mit WP-CLI prüfen:

wp core verify-checksums

Dieser Befehl vergleicht jede Datei in wp-admin/ und wp-includes/ mit den offiziellen Checksummen von wordpress.org. Abweichungen werden gemeldet. Falls WP-CLI nicht verfügbar ist, lade die passende WordPress-Version von wordpress.org herunter und vergleiche die Verzeichnisse manuell per Diff-Tool.

Bei Abweichungen: Ersetze die betroffenen Core-Verzeichnisse wp-admin/ und wp-includes/ komplett durch frische Kopien. Deine Inhalte und Einstellungen liegen in wp-content/ und wp-config.php und werden davon nicht berührt.

Datenbank auf Injections prüfen:

Angreifer injizieren häufig Spam-Links, Redirects oder verschlüsselten JavaScript-Code in die Datenbank. Die häufigsten Ziele:

• wp_posts – Spam-Inhalte in bestehende Beiträge und Seiten eingefügt
• wp_options – Manipulierte siteurl, home oder Widget-Einstellungen
• wp_users – Unbekannte Admin-Accounts

Durchsuche die Datenbank nach verdächtigen Strings: <script, eval(, base64_decode, <iframe, .ru/, .cn/. Nutze phpMyAdmin oder ein Datenbank-Tool deiner Wahl. Lösche nur das, was eindeutig nicht dorthin gehört. Eine ausführliche Analyse der aktuellen Angriffsvektoren findest du in unserem WordPress-Sicherheitsguide 2026.

Schritt 7: Neuinstallation und Härtung

Wenn die Bereinigung abgeschlossen ist, installierst du WordPress frisch und baust die Site kontrolliert wieder auf. Das klingt nach viel Arbeit, ist aber der einzige Weg, um sicherzustellen, dass keine Reste der Kompromittierung übrig bleiben.

Neuinstallation:

• Lade einen frischen WordPress-Core von wordpress.org herunter und ersetze alle Core-Dateien.
• Installiere jedes Plugin und Theme einzeln neu aus dem offiziellen Repository. Übernimm keine Dateien aus dem kompromittierten Backup.
• Prüfe jedes Plugin: Wird es noch aktiv gepflegt? Wann war das letzte Update? 91 % aller WordPress-Schwachstellen stammen aus Plugins. Ein Plugin, das seit einem Jahr kein Update hatte, ist ein Risiko.
• Lösche alle Plugins und Themes, die du nicht aktiv nutzt. Auch deaktivierte Plugins sind angreifbar.

Härtung:

• Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Accounts. Plugins wie "WP 2FA" oder "Two Factor Authentication" machen das in 5 Minuten.
• Web Application Firewall (WAF). Cloudflare (kostenlos), Sucuri Firewall oder Wordfence Premium filtern bösartigen Traffic, bevor er deinen Server erreicht.
• Automatische Updates für Minor-Releases und Sicherheitspatches aktivieren. Die Zeitspanne zwischen Schwachstellen-Disclosure und Massenangriff beträgt im Median 5 Stunden. Manuelles Updaten ist zu langsam.
• Dateirechte einschränken. wp-config.php auf 400 oder 440, Verzeichnisse auf 755, Dateien auf 644. PHP-Ausführung in /wp-content/uploads/ per .htaccess blockieren.
• Login-Schutz. Login-URL ändern, Login-Versuche limitieren, XML-RPC deaktivieren (falls nicht benötigt).

Für fortlaufende Sicherheit lohnt sich ein professioneller Wartungsservice, der Updates, Backups und Monitoring automatisiert.

Was kostet die Bereinigung?

Die Kosten hängen davon ab, wie tief der Angriff geht und ob du die Bereinigung selbst durchführst oder Profis beauftragst.

Leistung	Kosten	Zeitrahmen
DIY-Bereinigung	0 EUR (deine Zeit)	4–16 Stunden
Festpreis-Anbieter (DACH)	ab 299 EUR	24–48 Stunden
Standard-Bereinigung (Agentur)	450–750 EUR	1–3 Tage
Schwerer Befall + Härtung	1.400–2.800+ EUR	3–7 Tage
Agentur-Stundensatz (DACH)	80–150 EUR/Std.	variabel

Die versteckten Kosten sind höher als die Bereinigung selbst. Der durchschnittliche Gesamtschaden für KMU liegt bei über 25.000 USD, wenn du Downtime, entgangenen Umsatz, Reputationsschaden und SEO-Verluste einrechnest. Eine schnelle, gründliche Bereinigung ist deshalb immer billiger als Abwarten.

Wenn du Hilfe bei der Bereinigung brauchst, bieten wir Website-Reparatur zum Festpreis an.

Google-Blacklisting entfernen

Wenn Google deine Site als kompromittiert eingestuft hat, erscheint in den Suchergebnissen eine Warnung. Das kostet dich 90 % oder mehr deines organischen Traffics. Nach der Bereinigung musst du Google aktiv mitteilen, dass die Site sauber ist.

So gehst du vor:

1. Öffne die Google Search Console und navigiere zu "Sicherheitsprobleme".
2. Überprüfe die gelisteten Probleme. Stelle sicher, dass du alle genannten Issues behoben hast.
3. Klicke auf "Überprüfung anfordern" und beschreibe kurz, welche Maßnahmen du ergriffen hast.
4. Warte 24–72 Stunden auf das Ergebnis.

Wichtig: Google erlaubt nur eine Überprüfung pro 30 Tage. Wenn du zu früh anfragst und die Site noch nicht sauber ist, verlierst du einen Monat. Stelle also sicher, dass die Bereinigung komplett abgeschlossen ist, bevor du den Review-Request absendest.

Nach einem positiven Review erholt sich dein Ranking in der Regel innerhalb von 24–72 Stunden. Die Warnung verschwindet aus den Suchergebnissen und dein Traffic normalisiert sich.

Damit es nicht nochmal passiert

Die Bereinigung ist erledigt, die Site läuft wieder. Jetzt geht es darum, dass du in drei Monaten nicht wieder hier landest. 2025 wurden 11.334 neue WordPress-Schwachstellen veröffentlicht, 42 % mehr als im Vorjahr. 46 % davon hatten bei Veröffentlichung keinen Patch. Die Bedrohungslage wird nicht besser, sondern schlechter.

Die wichtigsten Einfallstore und wie du sie schließt:

91 % der Schwachstellen stecken in Plugins. Die effektivste Prävention ist deshalb, nur Plugins zu verwenden, die du wirklich brauchst, sie aktuell zu halten und nicht vertrauenswürdige Plugins sofort zu entfernen. Wie du deine gesamte WordPress-Sicherheit systematisch aufstellst, erfährst du in unserem WordPress-Sicherheitsguide 2026. Was passiert, wenn Updates dauerhaft ignoriert werden, zeigt unser Artikel zu den Kosten veralteter WordPress-Installationen.