Was tun, wenn deine WordPress-Website gehackt wurde?

Ursachen: Warum deine WordPress Website gehackt wird

Wenn deine WordPress Website gehackt wurde, stellt sich früher oder später die Frage:

Wie konnte das passieren?

Die schlechte Nachricht: WordPress-Seiten bieten oft viele potenzielle Schwachstellen, besonders, wenn sie nicht regelmässig gepflegt werden.

Die gute Nachricht: Wenn du die Ursachen kennst, kannst du dich künftig besser schützen.

1. Veraltete WordPress-Versionen, Plugins und Themes

Der mit Abstand häufigste Grund, warum eine WordPress Seite gehackt wird: veraltete Software.

Egal, ob Core-System, Plugins oder Themes, jede veraltete Komponente kann bekannte Sicherheitslücken enthalten.

Diese Lücken sind oft öffentlich dokumentiert, z. B. in Sicherheitsdatenbanken.

Script Kiddies, also weniger erfahrene Angreifer, nutzen automatisierte Tools, um Webseiten mit genau diesen Schwachstellen massenhaft anzugreifen.

Wenn du deine Themes und Plugins nicht regelmässig aktualisierst, läufst du also Gefahr, ungeschützt zu sein, selbst ohne aktives Zutun.

2. Unsichere Zugangsdaten & schwache Passwörter

Ein weiteres riesiges Problem sind einfache oder wiederverwendete Passwörter.

Viele Angriffe starten mit sogenannten Brute Force Angriffen: automatisierte Systeme testen Millionen von Passwort-Kombinationen, bis sie Zugriff auf dein WordPress Backend bekommen.

Noch gefährlicher wird’s, wenn:

• Passwörter mehrfach verwendet werden (z. B. auch für Hosting oder E-Mail)
• du Login-Namen wie „admin“ verwendest
• keine Zwei-Faktor-Authentifizierung aktiviert ist

Auch FTP-Zugänge oder Datenbank-Zugangsdaten, die in unsicheren Umgebungen gespeichert werden, sind ein leichtes Ziel für Hacker.

3. Schwachstellen in Plugins und Themes

Nicht nur veraltete Plugins sind ein Risiko, auch fehlerhaft programmierte oder unsauber gewartete Erweiterungen sind oft der direkte Weg für Angreifer.

Ein prominentes Beispiel war das Forminator-Plugin, das es Hackern erlaubte, sich Admin-Zugänge zu verschaffen.

Die Realität: Viele kostenlose Plugins im WordPress-Repository oder auf Drittanbieter-Websites enthalten Sicherheitslücken, die es Hackern ermöglichen:

• schädlichen Code einzuschleusen (z. B. JavaScript, PHP oder SQL)
• Dateien hochzuladen
• das komplette System zu kompromittieren

Vor allem Plugins mit wenig aktiver Wartung oder wenigen Bewertungen solltest du vermeiden.

Nutze nur Tools von vertrauenswürdigen Anbietern.

4. SQL-Injections, XSS & andere technische Lücken

Viele Hacker nutzen technische Exploits, um direkt auf die Datenbank oder das System zuzugreifen.

Die bekanntesten Methoden:

• SQL-Injections: Angreifer schleusen Datenbankbefehle in Formulare oder URLs ein. Damit können sie Daten auslesen, löschen oder manipulieren.
• XSS (Cross-Site Scripting): Schädlicher Code wird in Inhalte eingebettet, der z. B. Passwörter ausliest oder Besucher auf andere Seiten weiterleitet.

Solche Lücken entstehen häufig durch schlecht programmierte Plugins, Themes oder Formulare ohne ausreichende Sicherheitsabfragen.

5. Kompromittierte Drittanbieter: Supply Chain Attacks

In den letzten Jahren haben sogenannte Supply-Chain-Angriffe stark zugenommen.

Dabei werden nicht deine Seite direkt, sondern Drittanbieter kompromittiert, etwa Entwickler von Plugins oder Content Delivery Networks (CDNs).

Wenn ein Plugin-Entwickler gehackt wird, können Angreifer über automatische Updates verseuchte Dateien auf Tausende von WordPress Seiten verteilen, ganz ohne Zutun der Website-Betreiber.

Auch eingebundene externe Skripte (z. B. für Analyse-Tools, Fonts oder Werbeanzeigen) können Backdoors enthalten, wenn sie über manipulierte Quellen geladen werden.

6. SEO-Spam, Weiterleitungen & Schadcode

Ein besonders heimtückischer Angriff ist sogenannter SEO-Spam:

Dabei fügen Angreifer deiner WordPress Website versteckte Seiten, Weiterleitungen oder JavaScript-Code hinzu, um Traffic auf betrügerische Seiten zu leiten.

Diese Schadcodes sind oft in Themes, Plugins oder direkt in der Datenbank versteckt, z. B. in der functions.php, .htaccess oder Base64-codiert in Seiteninhalten.

Die Ziele:

• Weiterleitungen zu Affiliate-Spam, Porno- oder Medikamenten-Seiten
• Blackhat-SEO zur Manipulation von Google-Rankings
• Missbrauch deines Traffics oder deiner Domain-Reputation

Erst wenn Google oder Browser wie Chrome dich warnen, merkst du, dass deine Website infiziert ist.

Dann ist der Schaden oft schon da, inklusive Ranking-Verlust, Besuchereinbruch oder gesperrtem E-Mail-Versand durch deinen Hosting Anbieter.

Warum kommt es zu all dem?

Die kurze Antwort: Weil viele Seitenbetreiber sich um Sicherheit erst kümmern, wenn es zu spät ist.

• Regelmässige Updates? Werden oft vergessen.
• Sichere Passwörter? Zu kompliziert.
• Sicherheits-Plugins? „Macht schon der Hoster.“
• Backups? „Läuft eh alles.“

Dabei ist WordPress an sich nicht unsicher, aber wie du es nutzt, entscheidet über deine Angriffsfläche.

Jeder vernachlässigte Login, jedes veraltete Plugin, jede ungesicherte Datei kann das Einfallstor für einen Angriff sein.

Hacker müssen nur eine Schwachstelle finden.

Demnach musst du alle schliessen.

Woran erkennst du, dass deine WordPress‑Website gehackt wurde?

Wenn WordPress Websites gehackt werden, gibt es oft klare Anzeichen.

Manche sind offensichtlich, andere sind eher versteckt.

Die häufigsten Hinweise sind die Folgenden:

• Plötzlich ist deine Seite leer oder zeigt nur noch eine weisse Fläche, das sogenannte „White Screen of Death“.
• Fehlermeldungen im Frontend oder kaputte Layouts können ebenfalls ein Zeichen für manipulierte Dateien oder Schadcode sein.
• Deine Website leitet plötzlich auf dubiose Seiten weiter, z. B. zu Medikamenten, Pornografie oder angeblichen Gewinnspielen.
• Browserwarnungen wie „Diese Website könnte Malware enthalten“ oder Hinweise von Virenscannern schlagen Alarm.
• Unbekannte Admin-Konten tauchen im Backend auf, die du nie selbst angelegt hast. Das ist ein klares Zeichen für einen Angriff.
• Neue Seiten oder Beiträge, die du nicht erstellt hast, erscheinen plötzlich auf deiner Website.
• Verdächtige Besucherstatistiken: Deine Seite rankt plötzlich für seltsame Keywords oder bekommt Traffic aus ungewöhnlichen Ländern.
• Unerklärliche JavaScript-Dateien oder Backdoors wie z. B. cdn.csyndication.com sind im Quellcode eingebaut. Oft sind sie gut versteckt in Themes oder Plugins.

Wenn du eines oder mehrere dieser Anzeichen entdeckst, besteht dringender Handlungsbedarf.

Ein Hack ist kein Zufall und oft ist mehr betroffen, als man auf den ersten Blick sieht.

Erstmassnahmen: Was tun, wenn deine WordPress Website gehackt wurde?

Wenn du den Verdacht hast, dass deine Website auf WordPress gehackt wurde, dann zählt jede Minute.

Das Wichtigste ist aber: keine Panik.

Auch wenn der erste Schock tief sitzt, kannst du noch viel retten.

Und ich erkläre dir in den nachfolgenden Abschnitten Schritt für Schritt, wie du vorgehen kannst.

1. Ruhe bewahren

Wenn deine WordPress Seite gehackt wurde, ist der erste Impuls oft:

„Alles löschen und neu machen.“

Aber genau das kann das Problem verschlimmern.

Viele wichtige Hinweise auf den Hackerangriff, die Schadsoftware (Malware), versteckte Dateien oder Sicherheitslücken würden damit verschwinden ohne, dass du den wahren Grund für den Angriff kennst.

Mein Tipp:

Notiere dir erste Anzeichen, Login-Versuche, Weiterleitungen oder komisches Verhalten der Website.

Das hilft später bei der Analyse.

2. Website offline nehmen

Setze deine Webseite sofort auf Wartungsmodus oder blockiere sie mit einer .htaccess-Sperre für externe Besucher.

So verhinderst du, dass der Schaden grösser wird, z. B. durch gestohlene Daten, infizierte Inhalte oder negative SEO-Signale.

Wenn deine WordPress Website persönliche Daten verarbeitet oder einen Shop enthält, ist es besonders wichtig, keine Zugriffe mehr zuzulassen.

Auch Browser-Warnungen, blockierte Domains und E-Mails vom Hosting-Anbieter lassen sich so frühzeitig verhindern.

3. Passwörter sofort ändern

Ändere alle Passwörter, am besten in dieser Reihenfolge:

• WordPress-Login (Admin-Benutzer & Mitautoren)
• Hosting-Zugang
• FTP-Zugang / SFTP-Zugang
• Datenbank-Passwort (ggf. auch in der wp-config.php aktualisieren)
• E-Mail-Zugänge, falls sie mit dem WordPress-System verbunden sind

Achte auf starke Passwörter mit Sonderzeichen, Zahlen und Gross-/Kleinschreibung und aktiviere idealerweise gleich Zwei-Faktor-Authentifizierung.

Übrigens:

Viele Hacker nutzen Brute-Force-Angriffe, um einfache Zugangsdaten zu knacken.

Sichere Passwörter sind also dein wichtigster Schutz.

4. Backups prüfen und nutzen

Wenn du regelmässig Backups deiner WordPress Seite erstellt hast: Glück gehabt.

Suche dir ein Backup, das vor dem Hack liegt, also einen Zeitpunkt, an dem deine Website noch in Ordnung war.

Nutze dieses Backup, um:

• eine saubere Version deiner Seite wiederherzustellen
• die manipulierten Dateien zu überschreiben
• zu prüfen, ob Inhalte oder Einstellungen verändert wurden

Du hast kein Backup?

Dann notiere dir das unbedingt als Lernpunkt.

Automatische Backups sind Pflicht für jede Website.

5. Hilfe holen

Nicht jeder hat das technische Know-how, um einen Hack vollständig zu beheben.

Und das ist auch okay.

Bei einem ernsthaften Hackerangriff, bei infizierten Dateien oder unklaren Ursachen solltest du dir professionelle Hilfe holen.

Dienstleister mit Erfahrung wissen genau, wie man Schadcode entfernt, FTP-Dateien überprüft, Datenbanken säubert und Sicherheitslücken in Themes und Plugins schliesst.

Auch bei Anzeichen wie:

• unbekannten Admin-Konten
• eingeschleusten Weiterleitungen
• veränderten E-Mail-Adressen oder Login-Daten
• kompromittierten Themes oder Plugins

… lohnt es sich, Profis mit ins Boot zu holen.

Das spart nicht nur Zeit, sondern bewahrt dich vor Folgeproblemen mit Google, Kunden oder deinem Hosting-Anbieter.

Was du auf keinen Fall tun solltest:

• Keine panischen Löschaktionen das macht alles nur schlimmer
• Nicht blind Plugins installieren, die angeblich Malware entfernen
• Keine fremden ZIP-Dateien aus Foren hochladen
• Nicht warten, bis dein Hosting Provider dich sperrt

Schadcode-Bereinigung & Wiederherstellung

Wenn Webseiten gehackt wurde, reicht es nicht, nur die Symptome zu beheben.

Es braucht eine gründliche Bereinigung aller Dateien, sonst kehrt der Schadcode oft schnell zurück.

Die gute Nachricht: Es gibt spezialisierte Anbieter, die genau dafür ein strukturiertes Vorgehen entwickelt haben.

Professionelle Hilfe: Schnell, zuverlässig & sicher

Dienstleister wie WP-Wartung24, Die Nervenretter oder Leuchter.ORG bieten eine komplette Bereinigung deiner Website zum Festpreis oder als Rundum-Sorglos-Paket an.

Dabei bekommst du nicht nur eine schnelle Lösung, sondern oft auch eine Sicherheits-Garantie, die dich vor weiteren Hackerangriffen schützt.

Gerade wenn du kein technisches Know-how hast oder keine Zeit für stundenlange Fehlersuche, ist das eine sinnvolle Investition, vor allem, wenn Kundendaten, Umsätze oder SEO-Rankings auf dem Spiel stehen.

Der Ablauf: So läuft eine professionelle Bereinigung ab

Eine saubere Wiederherstellung deiner WordPress Seite erfolgt meist in diesen Schritten:

1) Vollständige Analyse deines Servers und der WordPress-Installation

Alle Dateien, Datenbankeinträge, Plugins und Themes werden auf Auffälligkeiten untersucht.

2) Erkennung und Entfernung des Schadcodes

Dazu gehören z. B.:

• Backdoors (Zugangsschleusen für Hacker)
• manipulierte functions.php-Dateien
• eingefügte Weiterleitungen oder JavaScript-Codes
• versteckte Malware in Themes oder Plugins

3) Wiederherstellung der betroffenen Dateien

Wenn möglich, werden Originaldateien ersetzt oder repariert, z. B. durch Kopien aus einem sauberen Backup.

4) Prüfung der Datenbank

Auch hier verstecken sich oft Spuren des Angriffs, etwa manipulierte Optionen, Spam-Seiten oder versteckte Admin-Konten.

5) Finale Sicherheitsprüfung und Test der Website

Die Seite wird nach der Reinigung umfassend getestet, um sicherzustellen, dass keine Lücken mehr bestehen.

Absicherung nach dem Angriff

Nach der Bereinigung ist die Arbeit noch nicht vorbei, im Gegenteil.

Jetzt geht es darum, deine WordPress Website langfristig zu schützen.

Die meisten Anbieter übernehmen auch diese Schritte:

• Installation eines Sicherheits-Plugin (z. B. Wordfence, Sucuri, iThemes Security)
• Aktivierung von Firewalls und Login-Schutzfunktionen
• Regelmässige Updates für WordPress, Plugins und Themes
• Austausch aller Passwörter inkl. FTP, Datenbank und Hosting-Zugänge
• Monitoring und Überwachung der Seite auf neue Hackerangriffe
• Sicherstellung der DSGVO-Konformität, z. B. durch die Meldung eines Sicherheitsvorfalls (wenn personenbezogene Daten betroffen sind)
• Optional: zwei Faktor Authentifizierung für zusätzliche Absicherung

Wenn du diesen Prozess professionell durchführen lässt, ist deine Website im Idealfall besser abgesichert als je zuvor.

Viele Seiten, die einmal Opfer eines Hackerangriffs waren, profitieren von der gründlichen Analyse und den Sicherheitsmassnahmen, die im Anschluss greifen.

Denn: Die meisten Hacks passieren, weil über Monate keine Updates gemacht wurden, Passwörter zu einfach waren oder Plugins mit Sicherheitslücken genutzt wurden.

All das lässt sich mit einem soliden Sicherheitskonzept vermeiden.

Prävention: So schützt du deine WordPress‑Website langfristig

Ein Hackerangriff auf deine WordPress Website ist nicht nur ärgerlich, sondern oft auch teuer.

Ob SEO-Verlust, Kundendaten in falschen Händen oder Downtime, der Schaden kann enorm sein.

Umso wichtiger ist es, dass du deine Seite nachhaltig absicherst, bevor überhaupt etwas passiert.

Wir zeigen dir deshalb im nachfolgenden Abschnitt, wie du deine WordPress Website mit konkreten Massnahmen, Tools und Routinen zuverlässig schützt.

1. Halte WordPress, Plugins und Themes aktuell

Die wichtigste Massnahme überhaupt:

Updates installieren und zwar regelmässig.

Das gilt für:

• den WordPress Core
• alle installierten Plugins
• dein aktives Theme (und alle anderen Themes, die du nicht mehr brauchst, solltest du löschen)

Hinter jedem Update steckt meist ein Bugfix oder ein Sicherheits-Patch.

Wenn du wochen- oder monatelang nicht aktualisierst, laufen Hacker-Tools schon auf Hochtouren, um genau diese Lücke zu finden und auszunutzen.

Mein Tipp:

Nutze automatische Updates oder setze auf einen Wartungsvertrag, wenn du es nicht selbst machen willst.

2. Nutze ein sicheres Hosting

Nicht jeder Hosting Anbieter ist gleich.

Achte bei der Wahl deines Providers auf folgende Punkte:

• Aktive Firewall auf Serverebene
• Malware-Scanner & Intrusion Detection Systeme
• Tägliche oder stündliche Backups, am besten extern gespeichert
• Schneller & kompetenter Support bei Sicherheitsvorfällen
• Option für automatisches Patch-Management

Ein billiger Shared-Hoster ohne Sicherheitsmassnahmen spart kurzfristig Geld, aber langfristig kostet er Nerven, Daten und Rankings.

3. Schütze den Zugang zur Website

Viele Angriffe beginnen nicht mit Code, sondern mit einem Login-Feld.

Diese Massnahmen helfen:

• Starke, einzigartige Passwörter für alle Benutzer:innen
• Zwei-Faktor-Authentifizierung (2FA) mit Apps wie Google Authenticator oder Authy
• Login-Versuche begrenzen (z. B. mit dem Plugin «Limit Login Attempts Reloaded»)
• Benutzername „admin“ vermeiden, ist das erste Ziel von Brute Force Angriffen
• Unnötige Admin-Benutzer entfernen (weniger Ziele = mehr Sicherheit)

Diese Massnahmen lassen sich oft mit einem guten Sicherheits-Plugin schnell umsetzen.

4. Setze ein bewährtes Security-Plugin ein

Ein leistungsstarkes Sicherheits-Plugin bildet ein gutes Sicherheitsnetz für deine WordPress Seite.

Empfohlene Tools:

Wordfence: Dieses Plugin ist sehr beliebt, mit Firewall & Login-Schutz

Sucuri: Cloud-basiert, ideal für zusätzlichen DDoS-Schutz

iThemes Security: Bietet viele Optionen für Einsteiger:innen

MalCare: Schnelle Malware-Scans ohne Server-Last

Alle diese Plugins bieten unter anderem:

• Malware-Scans
• Firewall-Regeln
• Monitoring verdächtiger Aktivitäten
• Schutz vor SQL-Injections, XSS & Co.

5. WordPress „härten“ (Hardening)

Sogenannte Hardening-Massnahmen schützen deine Seite an sensiblen Stellen im System.

Hardening Massnahmen sind die Folgenden:

1) Datei-Editor im Dashboard deaktivieren

define( ‚DISALLOW_FILE_EDIT‘, true ); in der wp-config.php

2) PHP-Ausführung in Uploads verhindern

Zum Beispiel durch .htaccess-Regeln in /wp-content/uploads/

3) Datenbank-Prefix ändern

Statt wp_ z. B. xyz_, um SQL-Injection-Angriffe zu erschweren

4) Directory Indexing deaktivieren

So werden keine Verzeichnisinhalte angezeigt, wenn keine index.php vorhanden ist

Diese Einstellungen kosten kaum Zeit, erhöhen aber massiv die Sicherheit.

6. Backups regelmässig machen und extern speichern

Ohne Backup ist jede Website ein Risiko.

Mach regelmässige Backups und speichere sie nicht auf dem gleichen Server, der auch deine Website hostet.

Besser ist es, die Backups in einem der nachfolgenden Optionen zu speichern:

• Dropbox
• Google Drive
• externer Speicher beim Hoster
• dedizierter Backup-Dienst wie BlogVault

Im Idealfall gibt es ein tägliches Backup, mindestens ein wöchentliches Backup ist Pflicht.

7. Überwache & protokolliere deine Website

Behalte den Überblick, was auf deiner WordPress Seite passiert.

Gute Massnahmen sind:

• Aktivitätsprotokolle für Logins, Seitenänderungen, Plugin-Installationen
• E-Mail-Benachrichtigungen bei verdächtigen Zugriffen
• Scanner für veränderte Dateien
• Uptime-Monitoring, z. B. via UptimeRobot oder Jetpack

So kannst du frühzeitig auf ungewöhnliche Aktivitäten reagieren, bevor deine Seite kompromittiert wird.

8. Wartungsvertrag vs. Ad-hoc-Wartung

Viele denken:

„Ich kümmere mich darum, wenn was passiert.“

Das ist genau der Fehler, der vielen WordPress Seiten zum Verhängnis wird.

Wartungsverträge bieten dir:

• kontinuierliche Updates & Sicherheitspatches
• regelmässige Backups
• sofortige Reaktion im Notfall
• technische Betreuung durch Profis

Ad-hoc-Massnahmen sind teurer, nervenaufreibend und kommen oft zu spät.

Fazit

Eine gehackte WordPress Website ist mehr als nur ein technisches Problem.

Sie kann echten Schaden anrichten.

Für dich als Betreiber:in bedeutet das im schlimmsten Fall Datenverlust, Rufschädigung, Umsatzeinbussen oder sogar rechtliche Konsequenzen, etwa bei Verstössen gegen die DSGVO, wenn personenbezogene Daten betroffen sind.

Auch für Besucher:innen kann eine infizierte Webseite riskant sein durch Weiterleitungen, Malware oder Phishing.

Deshalb ist Tempo entscheidend:

Sobald du erste Anzeichen eines Hacks bemerkst, kommt es auf schnelles, aber überlegtes Handeln an.

Die richtige Soforthilfe, eine saubere Schadcode-Bereinigung und eine konsequente Wiederherstellung der Sicherheit sind die drei zentralen Schritte, um weiteren Schaden zu verhindern.

Doch damit endet es nicht.

Denn: Prävention ist immer besser als Reaktion.

Nur mit regelmässigen Updates, sicheren Zugangsdaten, einem professionellen Sicherheits-Plugin, automatisierten Backups und, idealerweise, einem Wartungsvertrag kannst du deine Website dauerhaft vor Hackerangriffen schützen.

Viele WordPress Hacks wären vermeidbar, mit etwas Aufmerksamkeit, etwas Technikverständnis und ein paar festen Routinen.

Wenn du das nicht allein stemmen willst:

Wir bei Beyondweb unterstützen dich mit professioneller WordPress Wartung, regelmässigen Sicherheitschecks, Updates, Backups und persönlichem Support.

So bleibt deine Website nicht nur stabil, sondern auch sicher.

Denn am Ende zählt vor allem eines:

Dass deine Website sicher läuft.