WordPress gehackt — was tun?

Woran erkennst du, dass deine WordPress-Seite gehackt wurde?

Nicht jeder Hack ist sofort sichtbar. Manchmal arbeitet eingeschleuster Schadcode im Verborgenen. Achte auf folgende Anzeichen:

• Deine Website leitet Besucher auf fremde Seiten weiter (Spam, Werbung, Phishing)
• Du kannst dich nicht mehr im WordPress-Dashboard anmelden
• Google zeigt eine Warnung ("Diese Website ist unsicher") bei deiner Seite an
• Es tauchen Inhalte oder Benutzerkonten auf, die du nicht erstellt hast
• Dein Hoster hat deine Seite wegen Malware gesperrt
• Die Seite ist plötzlich deutlich langsamer als üblich
• In den Server-Logs findest du massenhaft Login-Versuche oder unbekannte Dateizugriffe

Sofortmaßnahmen: Die ersten 30 Minuten

1. Website offline nehmen

Schalte deine Website sofort in den Wartungsmodus oder nimm sie komplett offline. Damit verhinderst du, dass Besucher auf Schadseiten weitergeleitet werden oder sich Malware auf deren Geräten verbreitet. Dein Hoster kann dir dabei helfen, wenn du keinen Dashboard-Zugang mehr hast.

2. Backup sichern

Sichere den aktuellen Stand deiner Website, auch wenn sie infiziert ist. Du brauchst diese Kopie möglicherweise später für die Analyse, welche Dateien betroffen sind. Lade Dateien und Datenbank separat herunter.

3. Alle Passwörter ändern

Ändere sofort alle Zugangsdaten: WordPress-Admin-Konten, FTP/SFTP, Datenbank (MySQL), Hosting-Panel und E-Mail-Konten. Verwende für jedes Konto ein einzigartiges, starkes Passwort. Wenn du nicht sicher bist welches Konto kompromittiert wurde, ändere alle.

4. Eigenen Rechner prüfen

Führe einen vollständigen Virenscan auf deinem Computer durch. Wenn dein Rechner mit einem Trojaner infiziert ist, könnte der Angreifer deine gespeicherten Passwörter ausgelesen haben. In dem Fall hilft auch ein neues Passwort nicht, solange der Trojaner noch aktiv ist.

Bereinigung: Schadcode entfernen

5. WordPress-Core neu installieren

Lösche die Ordner wp-admin/ und wp-includes/ komplett und ersetze sie durch eine frische WordPress-Installation von wordpress.org. Die wp-config.php und den wp-content/-Ordner behältst du, aber prüfe beide sorgfältig.

6. Plugins und Themes ersetzen

Lösche alle Plugin-Ordner in wp-content/plugins/ und installiere sie frisch aus der offiziellen Quelle. Dasselbe gilt für dein Theme. Verwende niemals die Dateien aus dem Backup. Ein einziger übersehener Backdoor reicht aus, um erneut kompromittiert zu werden.

7. Uploads-Ordner prüfen

Suche im Ordner wp-content/uploads/ nach PHP-Dateien, dort haben sie nichts zu suchen. Hacker platzieren dort häufig Backdoors mit unauffälligen Namen. Lösche alle PHP-Dateien in diesem Verzeichnis.

8. Unbekannte Benutzerkonten entfernen

Prüfe unter "Benutzer" im Dashboard, ob unbekannte Administrator-Konten angelegt wurden. Hacker erstellen häufig eigene Admin-Accounts, um auch nach der Bereinigung noch Zugang zu haben.

Absicherung: Zukünftige Angriffe verhindern

9. Alles aktualisieren

Bringe WordPress-Core, alle Plugins und dein Theme auf die neueste Version. Lösche Plugins und Themes, die du nicht verwendest, auch deaktivierte. Jedes Plugin ist ein potenzielles Einfallstor.

10. Security Headers konfigurieren

Ergänze die wichtigsten HTTP Security Headers in deiner Server-Konfiguration: mindestens Strict-Transport-Security (HSTS) und X-Frame-Options. ThreatPulse prüft 7 relevante Header und zeigt dir genau, welche fehlen.

11. Zwei-Faktor-Authentifizierung aktivieren

Richte 2FA für alle Admin-Konten ein. Selbst wenn ein Angreifer dein Passwort kennt, kommt er ohne den zweiten Faktor nicht rein. Plugins wie WP 2FA oder Google Authenticator machen die Einrichtung einfach.

12. Google über die Bereinigung informieren

Wenn Google deine Seite als gehackt markiert hat, gehe in die Google Search Console unter "Sicherheitsprobleme" und beantrage eine erneute Überprüfung. Beschreibe konkret, welche Schritte du unternommen hast. Die Überprüfung kann einige Stunden bis Tage dauern.