WordPress-Website gehackt, was tun?

Vitali Lutz
Vitali Lutz
Expertise für einfache Perfektion
Aktualisiert am 13. Februar 2026
Alarm 6:08 Minuten Lesezeit
Titelbild: WordPress-Website gehackt, was tun?

Ein Alptraum für jeden Website-Betreiber, der WordPress als CMS verwendet:

  • Beim Besuch der Website stellt man fest, dass Inhalte veröffentlicht wurden, die man dort nicht veröffentlicht hatte.
  • Beim Anklicken von Links findet eine unvorhersehbare Umleitung auf eine unbekannte Website statt.
  • Der Browser zeigt eine Betrugswarnung an, sobald man seine Website betreten möchte.

All dies sind oft Hinweise darauf, dass die Website gehackt wurde. Millionen WordPress-Websites werden jährlich gehackt und für unterschiedliche Zwecke missbraucht.

Wenn es einen selbst betrifft, gilt nur eines: Ruhe bewahren und mit kühlem Kopf handeln, auch wenn es auf den ersten Blick unmöglich scheint.

Wie wird eine WordPress-Website gehackt?

Es gibt viele Wege, wie eine WordPress-Website gehackt werden kann, und oft nutzen Angreifer Sicherheitslücken, ungesicherte Einstellungen oder menschliches Verhalten aus.

1. Exploit von Sicherheitslücken

WordPress selbst, Themes oder Plugins können Schwachstellen aufweisen. Das passiert sehr häufig, wenn WordPress-Updates nicht regelmäßig durchgeführt werden.

  • Veraltete WordPress-Versionen: Hacker nutzen bekannte Sicherheitslücken aus, die in älteren Versionen bestehen
  • Unsichere Plugins/Themes: Plugins mit schlecht programmiertem Code können Einfallstore für SQL-Injections, Remote Code Execution oder Cross-Site Scripting (XSS) sein
  • Zero-Day-Lücken: Neue, noch nicht gepatchte Sicherheitslücken werden gezielt ausgenutzt

2. Brute-Force-Angriffe

Angreifer versuchen, das Admin-Passwort zu erraten. Das kann bereits deutlich erschwert werden, indem man eine sichere Kombination aus Benutzername und Passwort verwendet.

  • Standard-Benutzernamen wie "admin" erleichtern den Zugriff
  • Schwache Passwörter werden automatisiert ausprobiert
  • Tools wie Hydra oder WPScan werden dafür häufig eingesetzt

3. Malware & Hintertüren

Hintertüren im WordPress-Ökosystem werden gezielt ausgenutzt, um Schadcode auf der Website einzuschleusen. Ist die Malware erst einmal eingeschleust, kann sie auf der Website Schäden verursachen.

  • Backdoors ermöglichen dauerhaften Zugriff, selbst nach Updates
  • Drive-by-Downloads infizieren Besucher der Website mit Viren.
  • Spam-Injektionen nutzen die Seite zum Versand von Spam-Mails oder zur SEO-Manipulation

4. Server- und Hosting-Schwachstellen

Nicht nur WordPress selbst kann Ziel sein.

Das Hacking kann auch aufgrund fehlhaft konfigurierter Server oder Sicherheitsmängel auf dem Server verursacht werden. In diesem Fall müssen die Angreifer nicht einmal WordPress hacken, sondern greifen direkt die darunterliegende technische Basis an.

  • FTP/SSH-Zugang mit schwachen Passwörtern kann missbraucht werden
  • Fehlkonfigurierte Server oder veraltete PHP-Versionen öffnen Angreifern Tür und Tor
  • Lücke in PHP oder im Webserver kann den Zugriff auf die Serverdaten ermöglichen.

Eine gehackte WordPress-Website entsteht meist durch die Kombination aus veralteter Software, schwachen Passwörtern, unsicheren Plugins und menschlichen Fehlern. Manchmal ist auch ein Server die Ursache, der nicht richtig konfiguriert ist oder nicht regelmäßig aktualisiert wird.

WordPress nach einem Hacking-Angriff bereinigen

In den meisten Fällen gehen wir davon aus, dass eine Sicherheitslücke in WordPress selbst, einem Plugin oder einem Theme ausgenutzt wurde, um Zugriff auf die Website zu erhalten. In einem solchen Fall werden häufig Dateien mit Schadcode versehen, der verschiedene Funktionen erfüllen kann, zum Beispiel:

  • Hintertüren installieren, um den Angreifern dauerhaften Zugriff zu ermöglichen
  • Datenbanken manipulieren oder auslesen
  • Spam oder bösartige Inhalte verbreiten
  • Besucher auf andere, gefährliche Seiten weiterleiten

Darüber hinaus können gehackte Dateien die Website verlangsamen, Suchmaschinenrankings beeinträchtigen oder sogar dazu führen, dass die Seite von Sicherheitsdiensten als unsicher markiert wird (Browserwarnung). Daher ist es wichtig, nach einem Angriff schnell zu reagieren, die betroffenen Dateien zu identifizieren und Sicherheitslücken zu schließen.

An dieser Stelle wird deutlich, dass wir ein ernstzunehmendes Problem haben. Aber keine Panik! Wir werden WordPress nicht nur wieder zum Laufen bringen, sondern auch den Angreifer aussperren.

Es muss eine Reinigung stattfinden.

Der Angreifer hat mit Sicherheit irgendwo einen Schadcode versteckt. Bei jedem Aufruf der Seite wird dieser Schadcode ausgeführt, um noch mehr Schaden anzurichten.

Wir müssen diesen Schadcode entfernen.

Leider können wir nicht wissen, welche Dateien genau betroffen sind, solange wir keinen kompletten Virenscan aller Inhalte der Website durchführen. Das ist ein Luxus, den nur sehr wenige Hosting-Kunden direkt nutzen können.

Ich nutze All-Inkl.com als Webhoster, der täglich eine Virenprüfung auf seinen Servern durchführt. Das ist ein zusätzlicher Sicherheitslevel, mit dem sich Schadcode auf der Website schneller erkennen und bereinigen lässt. Du findest meinen Erfahrungsbericht zu All-Inkl.com hier.

Für uns bleiben zwei Optionen der Reinigung der WordPress-Website:

  1. Wir spielen das aktuellste Backup der Website ein, um einen früheren Stand der Website wiederherzustellen. Dabei müssen wir darauf achten, dass wir eine saubere Kopie aufspielen, bevor die Website gehackt wurde. Das ist der einfachste und schnellste Weg. Ein Backup von vor einer Woche sollte in vielen Fällen sicher sein.
  2. Wir müssen die Reinigung manuell durchführen, was zwar sehr aufwendig ist, aber in den meisten Fällen die einzige Lösung ist, um die Website wieder sauber und lauffähig zu machen.

Wenn du Backups deiner Website hast, super!

Du hattest Glück und kannst die älteren Backups aufspielen und überprüfen, ob sie frei von Schadcode sind und die Website wie üblich funktioniert.

Wenn keine Backup-Datei verfügbar ist, wirst du dir die Hände ein bisschen schmutzig machen müssen, um eine saubere Website frei von Malware zu bekommen. Folge dazu der Reihe nach den folgenden Schritten:

  1. Wenn es die Möglichkeit gibt, die Website zu deaktivieren oder in den Wartungsmodus zu versetzen, dann tue es sofort
  2. Sichere zunächst die Datenbank deiner Website
  3. Logge dich per FTP in den Webspace deiner Website ein und sichere den gesamten Ordner "wp-content". Dort befinden sich alle Plugins, Themes sowie sämtliche Dateien, die du selbst auf deine Website hochgeladen hast
  4. Wenn du oder dein Webhoster Backups der Website habt, stelle das Backup umgehend wieder her. Prüfe jedoch vorher sorgfältig, ob alle bisherigen Daten der Website vollständig gesichert wurden, damit keine aktuellen Inhalte oder wichtigen Änderungen verloren gehen
  5. Wenn keine Backups vorhanden sind, solltest du alle WordPress-Dateien von der Website löschen, da Angreifer jede Datei (von hunderten) infiziert haben könnten
  6. Lade eine frische Kopie von WordPress per FTP auf den Webspeicher/Website hoch
  7. Aktiviere die Website oder deaktiviere den Wartungsmodus
  8. Rufe die Webadresse deiner Website auf. Der Installationsassistent von WordPress sollte automatisch starten. Gib während der Installation die korrekten Datenbankzugangsdaten ein und vergebe insbesondere neue, sichere Admin-Zugangsdaten.
  9. Überprüfe, ob die Website nach der Installation fehlerfrei läuft
  10. Stelle die Dateien der Reihe nach und nur nach einer Sichtprüfung aus dem Ordner "wp-content" auf der Website wieder her. Auf keinen Fall alles auf einmal und ohne Sichtprüfung, sonst könntest du den Schadcode wieder auf die Website zurückholen!
  11. Lass die Website zur Sicherheit von einem Experten auf Schadcode überprüfen

Wenn du diese Schritte nacheinander ausführst, sollte eine WordPress-Website entstehen, die komplett neu installiert ist und die gleiche Datenbank nutzt wie vorher. Im Erfolgsfall logge dich sofort in den Adminbereich ein und ändere die Zugangsdaten!

Wenn die Reinigung nichts gebracht hat und du klar erkennen kannst, dass weiterhin Unbefugte darauf zugegriffen haben, kann es sinnvoll sein, den Webhoster um Hilfe zu bitten. Alternativ kannst du dich auch an mich per E-Mail wenden, damit ich dich dabei unterstützen kann, den Hacker zu verweisen.

Schutzmaßnahmen, um WordPress-Hacking zu erschweren

Sobald die Website wieder sicher ist, müssen einige praktische Maßnahmen ergriffen werden, damit ein WordPress-Hacking nicht so schnell erneut passieren kann:

  1. WordPress, Themes und Plugins immer aktuell halten
    Regelmäßige Updates schließen bekannte Sicherheitslücken. Auch veraltete Plugins oder Themes können Einfallstore für Hacker sein.
  2. Sichere Passwörter verwenden
    Verwende für alle Benutzerkonten starke, einzigartige Passwörter und aktiviere nach Möglichkeit Zwei-Faktor-Authentifizierung (2FA).
  3. Backups regelmäßig erstellen
    Automatische Backups sichern die Website-Daten und die Datenbank. Im Notfall kann die Website schnell wiederhergestellt werden.
  4. Nur vertrauenswürdige Plugins und Themes nutzen
    Installiere Plugins und Themes ausschließlich aus offiziellen Quellen oder von vertrauenswürdigen Entwicklern. Lösche ungenutzte Erweiterungen.
  5. Sicherheits-Plugins installieren
    Plugins wie Firewall-Schutz, Malware-Scanner oder Login-Schutz helfen, Angriffe frühzeitig zu erkennen und zu blockieren.
  6. Datei- und Serverberechtigungen korrekt setzen
    Nur notwendige Dateien sollten Schreibrechte haben. Zu offene Berechtigungen erleichtern Angreifern das Einschleusen von Schadcode.
  7. SSL/TLS aktivieren
    HTTPS schützt die Datenübertragung zwischen Website und Besuchern und erhöht das Vertrauen in die Seite. Das ist zwar Standard, aber erstaunlicherweise gibt es immer noch Websites, die über unverschlüsselte Verbindungen erreichbar sind.
  8. Datenbank absichern
    Ändere das Standard-Präfix der Datenbanktabellen, nutze starke Datenbankpasswörter und beschränke den Zugriff auf vertrauenswürdige IPs.
  9. Überwachung und Protokollierung
    Protokolliere Login-Versuche, Änderungen an Dateien und andere Aktivitäten. So erkennst du verdächtige Vorgänge frühzeitig.
  10. Regelmäßig auf Sicherheitslücken prüfen
    Führe regelmäßige Sicherheitschecks und Malware-Scans durch, um potenzielle Schwachstellen zu erkennen, bevor Hacker sie ausnutzen.

Von all den oben genannten Maßnahmen sind das Erstellen kompletter und regelmäßiger Backups sowie eine regelmäßige Sichtprüfung der Website die Basis. Diese helfen im Notfall, die Website sofort zu bereinigen und in erster Linie schnell einen Angriff auf die Website zu erkennen.

Die Aktualisierung von WordPress und allen Plugins und Themes ist das Wichtigste, was du regelmäßig tun solltest. Außerdem solltest du regelmäßig kontrollieren, ob du Plugins nutzt, die du nicht brauchst. Diese sollten sofort deaktiviert oder gelöscht werden, da sie das Risiko eines erfolgreichen Hackerangriffs erhöhen.

Fazit

Auch wenn man hofft, niemals Opfer eines Hackerangriffs auf die eigene WordPress-Website zu werden, passiert dies immer wieder. Sobald dieser Fall eintritt, ist es wichtig, Schritt für Schritt vorzugehen: Nicht nur die Ursache des Angriffs muss ermittelt werden, sondern es muss auch eine effektive Lösung entwickelt werden, um die Website wieder sicherzumachen.

Die meisten Sicherheitsprobleme entstehen durch mangelhafte Wartung der Website. Wer selbst nicht die Zeit oder das Fachwissen dafür hat, sollte unbedingt einen professionellen Wartungsservice in Anspruch nehmen. Die Sicherheit einer Website ist keine Option, sie ist ein Privileg und eine Pflicht zugleich.

Umleitung läuft... 5

Du wirst zur Zielseite weitergeleitet, bitte warten.