Wenn Sie morgens Ihre Website öffnen und plötzlich Spam-Seiten, seltsame Weiterleitungen oder einen Warnhinweis im Browser sehen, ist der Schreck groß. Genau dann stellt sich die Frage: wordpress gehackt was tun – und zwar nicht irgendwann, sondern jetzt. Die gute Nachricht: Mit den richtigen Schritten können Sie den Schaden begrenzen, Beweise sichern und Ihre WordPress-Seite kontrolliert wieder in einen sauberen Zustand bringen.
WordPress gehackt – was tun als Erstes?
Der erste Fehler passiert oft aus Panik. Viele loggen sich hektisch ein, löschen wahllos Plugins oder spielen ohne Prüfung irgendein altes Backup ein. Das kann funktionieren, kann aber auch Spuren verwischen, Daten überschreiben oder die eigentliche Ursache unangetastet lassen.
Wichtiger ist zuerst Ruhe und Reihenfolge. Wenn Ihre Seite geschäftlich genutzt wird, geht es nicht nur um Technik. Es geht um Erreichbarkeit, Vertrauen, Anfragen, Google-Sichtbarkeit und im Zweifel auch um personenbezogene Daten. Behandeln Sie den Vorfall deshalb wie einen echten Notfall.
Als Erstes sollten Sie den Zugriff absichern. Ändern Sie Passwörter für WordPress, Hosting, SFTP, Datenbank, E-Mail-Postfächer und – falls vorhanden – CDN oder DNS-Zugänge. Nutzen Sie dabei nicht nur neue, sondern wirklich starke und einmalige Passwörter. Wenn mehrere Personen Zugriff hatten, müssen alle betroffenen Accounts geprüft werden.
Danach sollten Sie festhalten, was genau auffällig ist. Wird Ihre Startseite umgeleitet? Gibt es neue Admin-Benutzer? Tauchen unbekannte Dateien auf? Versendet die Website Spam? Diese Beobachtungen helfen später bei der Einschätzung, wie tief der Angriff geht.
Die Website nicht einfach blind weiterlaufen lassen
Ob Sie die Seite sofort offline nehmen sollten, hängt vom Schaden ab. Wenn Besucher auf Malware-Seiten weitergeleitet werden, dubiose Inhalte sehen oder Formulare kompromittiert sein könnten, ist ein temporärer Maintenance-Modus meist die bessere Wahl. So verhindern Sie weiteren Schaden für Besucher und Ihr Unternehmen.
Wenn die Seite nur im Backend auffällig ist, aber öffentlich noch sauber wirkt, kann man differenzierter vorgehen. Dann ist es oft sinnvoll, zunächst eine saubere Bestandsaufnahme zu machen, bevor man öffentlich etwas verändert. Hier gibt es kein starres Schema – es hängt davon ab, ob gerade aktiv Schaden entsteht.
Beweise sichern, bevor etwas gelöscht wird
Dieser Schritt wird oft unterschätzt. Bevor Sie Dateien bereinigen oder ein Backup zurückspielen, sollten Sie den aktuellen Zustand sichern. Dazu gehören ein vollständiges Backup der Dateien und der Datenbank sowie möglichst auch Server-Logs, Zugriffsprotokolle und eine Liste aktiver Benutzerkonten.
Warum ist das wichtig? Weil Sie sonst später kaum noch nachvollziehen können, wie der Angriff passiert ist. Dann ist die Website zwar vielleicht kurzfristig wieder online, aber die Hintertür bleibt offen. Genau das ist der Grund, warum manche gehackten WordPress-Seiten nach wenigen Tagen erneut kompromittiert werden.
Typische Anzeichen für einen gehackten WordPress-Auftritt
Nicht jeder Hack sieht spektakulär aus. Manchmal läuft die Website scheinbar normal und nur Google merkt, dass etwas nicht stimmt. In anderen Fällen ist der Schaden sofort sichtbar.
Auffällig sind oft unbekannte Admin-Nutzer, veränderte Inhalte, Spam-Seiten im Index, seltsame Dateien in Upload-Ordnern, manipulierte .htaccess-Dateien oder PHP-Dateien an Stellen, an denen sie nichts zu suchen haben. Auch plötzlich hohe Serverlast, unerklärliche E-Mails vom Hosting-Anbieter oder Sicherheitswarnungen von Browsern sind klare Signale.
Besonders tückisch sind stille Hacks. Dabei wird keine Startseite verunstaltet, sondern im Hintergrund SEO-Spam eingebaut, Schadcode nachgeladen oder ein späterer Zugriff vorbereitet. Wer nur kurz auf die Website schaut und nichts bemerkt, übersieht solche Fälle leicht.
WordPress gehackt was tun bei der Bereinigung?
Jetzt kommt der Teil, bei dem viele Website-Betreiber Zeit verlieren. Die Frage ist nicht nur, wie man Schadcode entfernt. Die eigentliche Frage lautet: Wie bekommt man die Seite sauber zurück, ohne die Ursache zu übersehen?
Am sichersten ist fast immer eine saubere Wiederherstellung aus vertrauenswürdigen Quellen. Das bedeutet: WordPress-Core neu aufsetzen, Themes und Plugins frisch aus seriösen Originalquellen installieren und nur überprüfte Inhalte sowie Medien übernehmen. Ein altes Backup ist nur dann eine gute Lösung, wenn Sie sicher wissen, dass es vor dem Einbruch erstellt wurde. Wenn die Kompromittierung schon Wochen unbemerkt aktiv war, enthält auch das Backup möglicherweise bereits Schadcode.
Die Datenbank muss ebenfalls geprüft werden. Schadcode steckt nicht nur in Dateien, sondern manchmal in Optionen, Widgets, Benutzerkonten oder manipulierten Inhalten. Das ist einer der Gründe, warum eine rein automatische Bereinigung nicht immer reicht. Tools helfen, aber sie ersetzen keine saubere Prüfung.
Wenn Sie technisch nicht täglich mit WordPress-Sicherheit arbeiten, ist genau hier oft der Punkt erreicht, an dem externe Hilfe sinnvoll ist. Nicht weil WordPress zu kompliziert wäre, sondern weil Fehler bei der Bereinigung teuer werden können – für Leads, Reputation und Sichtbarkeit.
Die eigentliche Ursache finden
Ein Hack kommt selten aus dem Nichts. Meist gibt es eine konkrete Eintrittsstelle: ein veraltetes Plugin, ein unsicheres Theme, ein schwaches Passwort, ein ehemaliger Benutzer mit zu vielen Rechten oder ein Server-Setup, das nie richtig abgesichert wurde.
Wenn Sie nur bereinigen, aber die Ursache nicht schließen, haben Sie im besten Fall eine kurze Pause. Darum sollten Sie nach der Wiederherstellung genau prüfen, welche Komponenten veraltet waren, welche Benutzer existieren, ob ungenutzte Plugins installiert sind und ob Dateirechte, PHP-Version und Sicherheitskonfiguration sinnvoll gesetzt sind.
Auch die Frage nach Mehrfachbetroffenheit ist wichtig. Wer mehrere Websites im gleichen Hosting-Paket betreibt, sollte alle Installationen prüfen. Angreifer springen gern von einer verwundbaren Seite zur nächsten. Eine saubere Hauptseite nützt wenig, wenn die zweite Installation daneben weiter offen steht.
Nach dem Hack ist vor dem Vertrauensaufbau
Selbst wenn die Website technisch wieder läuft, ist die Arbeit nicht vorbei. Prüfen Sie, ob Google Warnmeldungen anzeigt, ob Ihre E-Mails noch sauber zugestellt werden und ob Formulare korrekt funktionieren. Wenn Kunden oder Besucher von dem Vorfall betroffen sein könnten, müssen Sie sauber und verantwortungsvoll reagieren.
Je nach Art des Angriffs kann auch Datenschutz ein Thema sein. Wurden Kontaktformulare, Benutzerkonten oder gespeicherte Kundendaten kompromittiert, sollten Sie den Vorfall nicht kleinreden. Hier geht es um Verantwortung, nicht um Image-Kosmetik.
So verhindern Sie den nächsten Vorfall
Viele Unternehmen beschäftigen sich erst mit Wartung, wenn etwas kaputt ist. Das ist verständlich, aber riskant. Eine geschäftlich genutzte WordPress-Seite ist kein Flyer im Netz, den man einmal erstellt und dann vergisst. Sie ist ein laufendes System mit Updates, Abhängigkeiten, Formularen, Benutzerrechten und potenziellen Angriffspunkten.
Gute Prävention besteht deshalb nicht aus einem einzelnen Sicherheits-Plugin. Entscheidend ist das Zusammenspiel aus laufenden Updates, verlässlichen Backups, Monitoring, Sicherheitschecks, sinnvoller Rechtevergabe und einer klaren Zuständigkeit. Genau daran scheitert es in vielen kleinen Unternehmen: Nicht am fehlenden Willen, sondern an Zeit, Routine und Verantwortlichkeit.
Wenn niemand wirklich zuständig ist, bleiben Updates liegen, Warnzeichen werden übersehen und Passwörter werden nie bereinigt. Das Risiko wächst schleichend. Eine feste Betreuung mit klarem Ansprechpartner ist deshalb oft deutlich wertvoller als irgendein Sammelsurium aus Tools. Bei wpbutler ist genau das der Ansatz: nicht anonyme Tickets, sondern direkte Verantwortung für die laufende WordPress-Betreuung.
Wann Sie sofort Hilfe holen sollten
Wenn Ihre Website Besucher aktiv weiterleitet, im Browser als unsicher markiert wird, keinen Admin-Zugriff mehr erlaubt oder Sie nicht sicher beurteilen können, ob Kundendaten betroffen sind, sollten Sie nicht experimentieren. Auch dann nicht, wenn die Seite Ihr wichtigster Vertriebskanal ist und jede Stunde Ausfall bares Geld kostet.
Es gibt Situationen, in denen ein schneller Eingriff wichtiger ist als Selbermachen. Das ist kein Zeichen von Schwäche, sondern gutes Risikomanagement. Vor allem bei Unternehmensseiten zählt nicht, ob Sie theoretisch irgendetwas selbst reparieren könnten. Es zählt, wie schnell die Website sauber, sicher und verlässlich wieder arbeitet.
Eine gehackte WordPress-Seite ist unangenehm, aber selten hoffnungslos. Entscheidend ist, dass Sie nicht in Aktionismus verfallen, sondern strukturiert vorgehen: absichern, sichern, prüfen, bereinigen und die Ursache schließen. Wenn Ihre Website ein geschäftskritischer Kanal ist, darf Sicherheit kein Nebenbei-Thema bleiben – sondern gehört in verlässliche Hände.