Weiterleitung auf Viagra-Spam, im Quelltext fremde Links, und Google warnt Besucher mit einem roten Sperrbildschirm — Ihre WordPress-Seite ist gehackt. Das ist ein Schock, aber kein Grund zur Panik: In den allermeisten Fällen lässt sich ein gehacktes WordPress vollständig bereinigen. Dieser Notfallplan führt Sie in acht klaren Schritten von der ersten Sofortmaßnahme bis zur dauerhaften Absicherung.
Schnellüberblick: Die 8 Sofortmaßnahmen
- Ruhe bewahren und die Seite in den Wartungsmodus setzen oder offline nehmen.
- Alle Passwörter ändern — WordPress, FTP/SFTP, Datenbank, Hosting-Account.
- Backup des infizierten Stands sichern (für Forensik und als Beweis).
- Malware-Scan durchführen — serverseitig und im WordPress.
- Schadcode finden und entfernen — verdächtige Dateien, wp-config.php, .htaccess, fremde Admin-User.
- Alles aktualisieren — Core, Themes, Plugins, PHP-Version.
- Google-Re-Check beantragen, wenn ein Sicherheitsproblem gemeldet wurde.
- Für die Zukunft absichern — Firewall, Updates, Backups, laufende Wartung.
Ein gehacktes WordPress fühlt sich an wie ein Einbruch — und genau das ist es auch. Jemand hat sich Zugang zu Ihrer Website verschafft und nutzt sie für seine Zwecke: Spam versenden, Besucher umleiten, Schadsoftware verteilen oder Ihre Server-Ressourcen kapern. Die gute Nachricht: WordPress-Hacks folgen meist bekannten Mustern. Wer systematisch vorgeht, bekommt die Seite in der Regel sauber zurück. Die schlechte Nachricht: Jede Stunde zählt. Je länger der Schadcode aktiv ist, desto mehr Schaden entsteht — bei Ihren Besuchern, bei Ihrem Google-Ranking und bei Ihrer Reputation.
Diese Anleitung richtet sich an Website-Betreiber, die ihren Hack selbst angehen wollen. Wir sagen Ihnen auch ehrlich, wann Sie besser professionelle Hilfe holen — denn manche Infektionen sind hartnäckiger, als sie aussehen.
Woran erkenne ich, dass WordPress gehackt wurde?
Nicht jeder Hack ist sofort sichtbar. Manche Angreifer wollen entdeckt werden (Defacement, Erpressung), andere arbeiten im Verborgenen, um möglichst lange Spam zu versenden oder Daten abzugreifen. Diese Warnzeichen sollten Sie alarmieren:
- Unbekannte Admin-Benutzer: Unter Benutzer → Alle Benutzer taucht ein Konto auf, das Sie nie angelegt haben — oft mit kryptischem Namen oder einer fremden E-Mail-Adresse.
- Fremde Dateien im Verzeichnis: PHP-Dateien mit zufälligen Namen wie
wp-x7f2.phpoderradio.phpim Stammverzeichnis, inwp-content/uploads/oder versteckt in Theme-Ordnern. - Spam-Links im Quelltext: Sie sehen unsichtbare Links zu Pharma-, Glücksspiel- oder Replica-Seiten, wenn Sie die Seite mit Rechtsklick → „Seitenquelltext anzeigen“ prüfen — für Besucher unsichtbar, für Google aber lesbar.
- Google-Warnung: In den Suchergebnissen steht „Diese Website wurde möglicherweise gehackt“ oder Besucher bekommen einen roten Safe-Browsing-Sperrbildschirm.
- Unerklärliche Weiterleitungen: Die Seite leitet Besucher (oft nur über Smartphones oder nur aus Google) auf dubiose Drittseiten um.
- Plötzlicher Performance-Einbruch: Die Seite wird langsam, die Server-Last steigt, das Hosting meldet ungewöhnlichen Traffic oder Massenmails-Versand.
- Warnungen vom Hoster: Ihr Hosting-Provider sperrt das Postfach oder weist auf verdächtige Aktivität hin.
Die folgende Tabelle hilft Ihnen, ein Symptom richtig einzuordnen und die Dringlichkeit einzuschätzen:
| Symptom | Was es bedeutet | Dringlichkeit |
|---|---|---|
| Weiterleitung auf Spam-Seiten | Aktiver Schadcode in Dateien oder Datenbank, oft in .htaccess oder wp-config.php | Sehr hoch — Seite sofort offline |
| Roter Google-Sperrbildschirm | Google Safe Browsing hat Malware erkannt — Reichweite bricht sofort ein | Sehr hoch |
| Unbekannter Admin-User | Angreifer hat dauerhaften Zugang, kann jederzeit neuen Code einschleusen | Hoch |
| Spam-Links im Quelltext | SEO-Spam-Injection, schädigt mittelfristig das Ranking | Hoch |
| Massenhafter Mailversand | Server als Spam-Schleuder missbraucht, IP-Blacklisting droht | Hoch |
| Plötzlicher Performance-Einbruch | Kryptomining oder Botnet-Aktivität möglich | Mittel bis hoch |
| Defacement (verändertes Layout) | Sichtbarer Angriff, aber meist oberflächlich | Mittel |
Wenn Sie eines oder mehrere dieser Symptome erkennen, gehen Sie jetzt Schritt für Schritt vor. Arbeiten Sie die Schritte in der Reihenfolge ab — sie bauen aufeinander auf.
1. Ruhe bewahren und die Seite in den Wartungsmodus setzen
Der erste Reflex vieler Betreiber ist, planlos Dateien zu löschen. Das ist ein Fehler. Bevor Sie irgendetwas verändern, nehmen Sie die Seite vom Netz — entweder über einen Wartungsmodus oder, bei aktivem Schadcode, komplett offline. So schützen Sie Ihre Besucher (die sonst Malware abbekommen) und verhindern, dass Google die Infektion erneut crawlt und die Seite tiefer abstraft.
So gehen Sie vor: Aktivieren Sie einen Wartungsmodus über ein Plugin oder, sicherer, indem Sie im Stammverzeichnis eine .maintenance-Datei anlegen. Bei massivem Befall mit aktiver Weiterleitung setzen Sie die Domain über den Hosting-Account ganz auf „offline“ oder leiten sie temporär auf eine statische Wartungsseite. Notieren Sie ab jetzt jeden Schritt, den Sie unternehmen — das hilft bei der Fehlersuche und später beim Absichern.
Warnsignal: Wenn sich die Seite selbst nach dem Offline-Schalten über zwischengespeicherte Versionen oder eine zweite Domain weiter ausliefert, sitzt der Schadcode tiefer (z. B. in der Datenbank oder serverweit). Das ist ein Hinweis, dass professionelle Hilfe sinnvoll ist.
2. Alle Passwörter ändern — WordPress, FTP, Datenbank, Hosting
Solange der Angreifer Zugangsdaten besitzt, ist jede Bereinigung sinnlos — er kommt einfach zurück. Ändern Sie deshalb alle Passwörter, nicht nur das WordPress-Login:
- WordPress-Admin: Alle Benutzer mit Admin-Rechten bekommen neue, starke Passwörter. Verdächtige Konten erstmal nicht löschen (das machen wir in Schritt 5 bewusst), aber sperren.
- FTP/SFTP: Über den Hosting-Account das FTP-Passwort neu setzen. FTP ist das häufigste Einfallstor.
- Datenbank: Das MySQL-Passwort ändern und parallel in der
wp-config.phpanpassen, sonst funktioniert die Seite nicht mehr. - Hosting/Plesk/cPanel: Das Login zum Hosting-Panel selbst — oft vergessen, aber kritisch.
Setzen Sie zusätzlich die WordPress-Security-Keys (Salts) in der wp-config.php neu. Das macht alle aktiven Sitzungen ungültig und wirft eingeloggte Angreifer raus. Einen frischen Satz Keys generieren Sie über den offiziellen WordPress-Salt-Generator.
Warnsignal: Tauchen nach dem Passwortwechsel binnen Minuten wieder neue Admin-User auf, hat der Angreifer noch eine Hintertür im Code (Backdoor) — weiter mit Schritt 5, besonders gründlich.
3. Backup des aktuellen (infizierten) Stands sichern
Das klingt widersinnig — warum den Müll sichern? Drei Gründe: Erstens brauchen Sie den Stand für die Forensik (woher kam der Hack?). Zweitens dient er als Beweis, falls Daten abgeflossen sind und Sie eine Meldung nach DSGVO machen müssen. Drittens: Falls bei der Bereinigung etwas schiefgeht, können Sie zurück.
So gehen Sie vor: Laden Sie per SFTP das komplette Verzeichnis herunter und exportieren Sie die Datenbank (z. B. über phpMyAdmin als SQL-Dump). Benennen Sie das Backup eindeutig, etwa INFIZIERT-2026-06-15, und lagern Sie es getrennt von Ihren sauberen Backups. Öffnen Sie heruntergeladene PHP-Dateien nicht doppelklickend auf dem Server, sondern nur lokal in einem Texteditor.
WichtigStellen Sie diesen infizierten Stand niemals als „Lösung“ wieder her. Er ist nur Archiv. Wenn Sie ein sauberes Backup aus der Zeit vor dem Hack haben, ist das oft der schnellste Weg zurück — vorausgesetzt, Sie kennen den Infektionszeitpunkt genau.
4. Malware-Scan durchführen
Jetzt verschaffen Sie sich einen Überblick, wie tief die Infektion reicht. Ein guter Scan kombiniert mehrere Ebenen:
- Serverseitiger Scan: Viele Hoster bieten ImunifyAV oder einen ClamAV-Scan im Panel. Das ist die zuverlässigste Ebene, weil sie alle Dateien erfasst — auch die, die WordPress selbst nicht sieht.
- WordPress-Sicherheitsplugin: Ein Scanner wie Wordfence oder Sucuri prüft Core-Dateien gegen die Originale und schlägt bei Abweichungen Alarm.
- Externer Remote-Scan: Tools wie der kostenlose Sucuri SiteCheck prüfen die Seite von außen und zeigen, was Google sieht.
Worauf Sie achten: Der Scan listet veränderte Core-Dateien, eingeschleuste Dateien und verdächtige Code-Muster (häufig base64_decode, eval, gzinflate in Kombination). Notieren Sie jede gemeldete Datei — diese Liste ist Ihre Arbeitsgrundlage für den nächsten Schritt.
Warnsignal: Wenn der Scanner hunderte infizierte Dateien quer durch alle Verzeichnisse meldet, ist eine manuelle Bereinigung kaum noch wirtschaftlich. Dann ist ein Komplett-Neuaufbau aus sauberen Quellen meist sicherer und schneller.
5. Schadcode finden und entfernen
Das ist der Kern der Bereinigung — und der Schritt, der Erfahrung verlangt. Gehen Sie diese Stellen systematisch durch:
WordPress-Core, Themes und Plugins
Der sicherste Weg: Löschen Sie den kompletten Core (alles außer wp-content und wp-config.php) und spielen Sie eine frische WordPress-Version aus der offiziellen Quelle ein. Themes und Plugins ebenfalls löschen und sauber neu installieren — nicht überschreiben, sondern wirklich löschen. So verschwinden eingeschleuste Dateien zuverlässig.
wp-config.php
Prüfen Sie diese Datei Zeile für Zeile. Angreifer fügen hier gern include-Befehle auf fremde Dateien oder verschleierten Code am Anfang oder Ende ein. Alles, was nicht zur Standard-Konfiguration gehört, ist verdächtig.
.htaccess
Eine der häufigsten Verstecke für Weiterleitungs-Hacks. Suchen Sie nach RewriteRule-Einträgen, die auf fremde Domains zeigen, oder nach Codeblöcken, die Sie nicht selbst angelegt haben. Im Zweifel auf die WordPress-Standard-.htaccess zurücksetzen.
wp-content/uploads
Hier gehören nur Mediendateien hin — keine PHP-Dateien. Jede .php in den Upload-Ordnern ist hochverdächtig und gehört geprüft.
Fremde Admin-User und Datenbank
Löschen Sie jetzt die in Schritt 2 gesperrten unbekannten Admin-Konten. Prüfen Sie die Tabellen wp_options (Felder siteurl und home müssen Ihre Domain zeigen) und wp_users. Achten Sie auf eingeschleuste Skripte in Beiträgen oder Widgets.
Warnsignal: Wenn nach gründlicher Bereinigung erneut Schadcode auftaucht, existiert irgendwo noch eine Backdoor, die Sie übersehen haben. Backdoors sind oft winzig und in legitime Dateien eingebettet. Spätestens hier sollten Sie an professionelle Bereinigung und laufende Wartung denken — denn eine übersehene Hintertür macht die ganze Arbeit zunichte.
6. Alles aktualisieren
Die meisten Hacks nutzen bekannte Sicherheitslücken in veralteten Plugins, Themes oder im Core. Nach der Bereinigung bringen Sie deshalb alles auf den aktuellen Stand:
- WordPress-Core auf die neueste Version.
- Alle Themes und Plugins aktualisieren — und alles deinstallieren, was Sie nicht aktiv brauchen.
- Aufgegebene, nicht mehr gepflegte Plugins ersetzen. Ein Plugin, das seit Jahren kein Update bekommen hat, ist ein Risiko.
- Die PHP-Version im Hosting auf einen aktuell unterstützten Stand heben.
Updates sind kein Selbstläufer — manchmal kollidieren sie mit Themes oder anderen Plugins. Wie Sie damit umgehen, ohne die Seite zu zerschießen, lesen Sie in unserem Beitrag zu typischen WordPress-Update-Problemen und ihren Lösungen.
Warnsignal: Bricht die Seite nach einem Update, niemals den alten, anfälligen Zustand wiederherstellen. Lösen Sie das Konflikt-Problem stattdessen sauber — der Sicherheits-Patch ist wichtiger.
7. Bei Google den Re-Check beantragen
Hat Google Ihre Seite als „gehackt“ oder als Malware-Schleuder markiert, bleibt die Warnung bestehen, bis Sie aktiv eine Überprüfung anfordern — selbst wenn die Seite längst sauber ist.
So gehen Sie vor: Melden Sie sich in der Google Search Console an und öffnen Sie den Bereich Sicherheitsprobleme. Dort sehen Sie, was Google bemängelt. Nachdem Sie die Seite bereinigt haben, klicken Sie auf „Überprüfung beantragen“ und beschreiben kurz, welche Schritte Sie unternommen haben. Die Freigabe dauert in der Regel ein bis mehrere Tage.
Warnsignal: Wird der Re-Check abgelehnt, ist die Seite noch nicht sauber — Google hat Reste gefunden. Dann zurück zu Schritt 4 und 5. Reichen Sie keinen Antrag ein, solange Sie nicht sicher sind, dass alles entfernt ist; abgelehnte Anträge verzögern die Freigabe zusätzlich.
8. Für die Zukunft absichern
Eine bereinigte Seite ist nur die halbe Miete. Wer nichts ändert, wird oft binnen Wochen erneut gehackt — meist über dieselbe Lücke. So bauen Sie nachhaltigen Schutz auf:
- Web Application Firewall (WAF): Eine Firewall filtert Angriffe ab, bevor sie WordPress erreichen. Sie blockiert bekannte Exploit-Muster und Brute-Force-Versuche.
- Regelmäßige, automatisierte Updates: Core, Themes und Plugins aktuell zu halten, schließt die häufigste Einfallstür.
- Externe, versionierte Backups: Tägliche Backups, getrennt vom Server gelagert, sind Ihre Lebensversicherung. Im Ernstfall sind Sie in Minuten wieder online.
- Malware-Scan und Monitoring: Ein laufender Scan meldet Veränderungen, bevor Google oder Ihre Besucher sie bemerken.
- Starke Logins: Zwei-Faktor-Authentifizierung und Begrenzung der Login-Versuche.
Genau diese Punkte deckt ein professioneller Wartungsservice dauerhaft ab. Bei der Marke WordPress Wartung betreuen wir seit 2014 über 299 Websites — mit Paketen ab 23,50 € im Monat, und in den Pro- und Prime-Paketen mit integrierter Firewall und kontinuierlichem Malware-Scan. Was so ein Schutz konkret kostet und welches Paket zu Ihrer Seite passt, sehen Sie transparent auf unserer Seite zu den Kosten der WordPress-Wartung.
Häufige Fragen
Kann ich einen WordPress-Hack selbst entfernen?
Bei einem oberflächlichen Befall — etwa einer einzelnen eingeschleusten Datei oder einem fremden Admin-User — ist die Selbst-Bereinigung mit dieser Anleitung gut machbar. Schwierig wird es bei tief sitzenden Backdoors, hunderten infizierten Dateien oder Schadcode in der Datenbank. Das Risiko bei der Eigenbereinigung: Wenn Sie eine einzige Hintertür übersehen, kommt der Hack zurück. Wenn Sie unsicher sind oder der Hack nach der Bereinigung wiederkehrt, lohnt sich professionelle Hilfe.
Was kostet die professionelle Bereinigung?
Die Kosten hängen vom Umfang der Infektion ab — eine einzelne Spam-Injection ist schnell behoben, ein flächendeckender Befall mit mehreren Backdoors deutlich aufwändiger. Wichtiger als die einmalige Bereinigung ist oft die laufende Absicherung: Mit einem Wartungspaket ab 23,50 € im Monat ist der Schutz vor erneuten Hacks meist günstiger als eine einzelne Notfall-Bereinigung. Eine konkrete Einschätzung erhalten Sie über eine kurze Anfrage.
Wie lange dauert die Bereinigung?
Ein klar abgegrenzter Hack ist oft innerhalb weniger Stunden bereinigt. Hinzu kommt die Zeit für den Google-Re-Check, der je nach Auslastung ein bis mehrere Tage in Anspruch nimmt. Bei komplexen Infektionen mit mehreren Einfallstoren kann die vollständige Bereinigung länger dauern, weil jede Backdoor einzeln gefunden werden muss.
Wie verhindere ich künftige Hacks?
Die wirksamste Kombination: aktuelle Software (Core, Themes, Plugins), eine Web Application Firewall, regelmäßige externe Backups, Malware-Monitoring und starke Logins mit Zwei-Faktor-Authentifizierung. Das meiste davon lässt sich automatisieren. Wer das nicht selbst im Blick behalten möchte, übergibt es an eine laufende professionelle WordPress-Wartung, die genau diese Schutzebenen dauerhaft pflegt.
Sind meine Kundendaten beim Hack abgeflossen?
Das hängt vom Hack-Typ ab. SEO-Spam und Weiterleitungen zielen meist nicht auf Daten ab; bei Backdoors mit Datenbank-Zugriff oder kompromittierten Formularen ist ein Datenabfluss aber möglich. Wenn personenbezogene Daten betroffen sein könnten, greift unter Umständen die Meldepflicht nach DSGVO innerhalb von 72 Stunden. Genau dafür ist das Backup des infizierten Stands aus Schritt 3 wichtig — es erlaubt die forensische Klärung.
Hilft es, einfach ein altes Backup einzuspielen?
Manchmal ja — wenn Sie ein sauberes Backup aus der Zeit vor der Infektion haben und den Infektionszeitpunkt genau kennen. Der Haken: Wenn der Hack schon länger zurückliegt, spielen Sie womöglich den Schadcode gleich mit zurück. Außerdem bleibt die ursprüngliche Sicherheitslücke offen, wenn Sie nicht zusätzlich aktualisieren und absichern. Ein Backup ist ein guter Startpunkt, ersetzt aber nicht die Schritte 6 bis 8.
Ihre nächsten Schritte: drei Maßnahmen gegen den nächsten Hack
Wenn Ihre Seite wieder läuft, sorgen Sie dafür, dass es kein zweites Mal passiert. Setzen Sie diese drei Dinge noch heute um:
- Aktivieren Sie automatische, externe Backups — täglich und getrennt vom Server gelagert.
- Installieren Sie eine Firewall plus Malware-Scan, damit Angriffe abgefangen und Veränderungen früh erkannt werden.
- Halten Sie Core, Themes und Plugins konsequent aktuell — oder lagern Sie diese Pflichtaufgabe aus.
Sie wollen sich nicht selbst um Firewall, Updates und Monitoring kümmern? Wir übernehmen das. Schildern Sie uns kurz Ihre Situation über unsere Schnellanfrage oder schreiben Sie an info@wordpresswartung.com — wir melden uns mit einer ehrlichen Einschätzung, ob und wie wir Ihre Seite bereinigen und dauerhaft absichern.