Wartungsfuchs Logo

Was tun, wenn deine WordPress-Seite gehackt wurde? [Notfall-Anleitung]

Plötzlich ist deine Website offline oder zeigt dubiose Inhalte? Wenn deine WordPress-Seite gehackt wurde, zählt jede Minute. In diesem Artikel zeige ich dir, was du jetzt tun musst – Schritt für Schritt, verständlich erklärt.

1. Ruhe bewahren – aber nicht abwarten

Ein Hack ist kein Grund zur Panik – aber ein echter Notfall. Je schneller du reagierst, desto geringer ist der Schaden. Wenn du Wartungsfuchs.de kennst: Genau für solche Fälle sind wir da. Aber hier erfährst du zuerst, was du selbst tun kannst.

2. Website offline nehmen (Wartungsmodus aktivieren)

Deine Seite könnte Schadcode verbreiten oder Nutzerdaten kompromittieren. Nutze ein Plugin wie WP Maintenance Mode oder deaktiviere den Webzugriff temporär über dein Hosting.

So geht’s:

  • In dein Hosting einloggen (z. B. IONOS, All-Inkl, etc.)
  • Per Dateimanager oder FTP auf wp-content/plugins zugreifen
  • „maintenance“-Plugin aktivieren oder Zugriff via .htaccess sperren

3. Login sichern: Admin-Zugang ändern

Ändere sofort alle Zugangsdaten: WordPress-Login, FTP, Hosting, Datenbank. Nutze starke Passwörter mit Sonderzeichen und vermeide „admin“ als Benutzername.

4. Malware-Scan durchführen

  • Wordfence Security: Sehr zuverlässig, kostenlose Version
  • iThemes Security: Alternative mit Fokus auf Login-Schutz
  • Sucuri: Online-Scanner unter sitecheck.sucuri.net

Ein vollständiger Scan zeigt dir kompromittierte Dateien und Angriffsvektoren.

5. Infizierte Dateien bereinigen – oder ein sauberes Backup einspielen

Wenn deine Website gehackt wurde, musst du alle Spuren des Angriffs entfernen – gründlich und konsequent. Dabei hast du zwei Möglichkeiten: den schwierigen Weg der manuellen Bereinigung oder die schnelle Wiederherstellung aus einem sauberen Backup.

Option 1: Manuelle Bereinigung (für erfahrene Nutzer)

Du kennst dich mit Code aus, weißt, wie eine functions.php oder .htaccess aussieht, und hast Zugriff auf FTP oder SSH? Dann kannst du den Schadcode theoretisch selbst entfernen.

  • Verdächtige Dateien identifizieren (häufig in wp-content/uploads oder wp-includes)
  • PHP-Dateien auf obfuskierten oder fremden Code prüfen
  • Datenbank auf eingefügte Skripte untersuchen (z. B. in wp_options oder Beiträgen)

Achtung: Ein kleiner Fehler kann deine Website beschädigen oder neue Sicherheitslücken hinterlassen.

Option 2: Backup einspielen (empfohlen)

Der sicherste und schnellste Weg: Du stellst ein sauberes Backup wieder her – idealerweise eines, das vor dem Angriff erstellt wurde. Viele Hosting-Anbieter wie All-Inkl, Raidboxes oder Kinsta bieten automatische tägliche Backups, die du mit wenigen Klicks aktivieren kannst.

  • Backup über das Hosting-Panel oder Plugin wiederherstellen
  • Website im Anschluss auf Malware scannen
  • Alle Passwörter nachträglich ändern

Du hast kein Backup? Keine Sorge – wir sind für dich da. Melde dich bei uns, und wir analysieren den Schaden und helfen dir bei der Wiederherstellung.

6. Sicherheitslücken schließen – dauerhaft sicher bleiben

Ein erfolgreicher Angriff auf deine WordPress-Seite ist oft kein Zufall – sondern das Ergebnis von offenen Türen, die nie geschlossen wurden. Wenn du nicht möchtest, dass sich so etwas wiederholt, musst du die häufigsten Schwachstellen kennen – und gezielt eliminieren.

Die größten Sicherheitsrisiken im Überblick:

  • Veraltete Plugins oder Themes: Alte Erweiterungen sind ein gefundenes Fressen für Hacker – oft mit bekannten Schwachstellen.
  • Schwache oder wiederverwendete Passwörter: Einfache Kennwörter wie „123456“ oder „admin“ werden binnen Sekunden geknackt.
  • Ungepatchte WordPress-Version: Auch das System selbst ist anfällig – wenn es nicht regelmäßig aktualisiert wird.

Diese Maßnahmen solltest du sofort umsetzen:

  • Alle Plugins und Themes auf den neuesten Stand bringen: Aktiviere automatische Updates oder prüfe manuell – mindestens einmal pro Woche.
  • Unnötige Erweiterungen löschen: Je weniger Plugins, desto geringer die Angriffsfläche. Deaktivieren reicht nicht – lösche sie vollständig.
  • Starke Zugangsdaten nutzen: Verwende ein Passwort mit mindestens 12 Zeichen, Sonderzeichen und Zwei-Faktor-Authentifizierung (2FA).
  • WordPress-Core aktuell halten: Jede neue Version schließt bekannte Sicherheitslücken – ein Update schützt dich in Sekunden.
  • Sicherheits-Plugin aktivieren: Tools wie Wordfence, iThemes Security oder Sucuri überwachen deine Website rund um die Uhr.

Wenn du dir bei der technischen Umsetzung unsicher bist oder einfach keine Zeit dafür hast: Wartungsfuchs übernimmt das für dich. Wir kümmern uns um Updates, Scans, Sicherungen und reagieren sofort, wenn etwas aus dem Ruder läuft.

7. Google informieren & Reputationsverlust stoppen

Falls Google deine Website als „unsicher“ markiert hat: Nutze die Google Search Console und reiche nach der Bereinigung einen „Request for Review“ ein.

8. Dauerhaft schützen: Wartung abgeben

Ein Hack kostet Zeit, Nerven und oft Geld. Entlaste dich mit professioneller Wartung:

Wartungsfuchs.de schützt deine WordPress-Seite dauerhaft: Updates, Backups, Malware-Scans & schneller Support im Notfall – alles inklusive.

Jetzt kostenlose Ersteinschätzung anfordern

Häufige Fragen (FAQ)

Wie erkenne ich, dass meine Website gehackt wurde?

Typische Anzeichen: Spam-Weiterleitungen, Login-Probleme, Warnmeldungen im Browser.

Muss ich die Polizei informieren?

Wenn personenbezogene Daten betroffen sind, ja. Laut DSGVO Art. 33 ggf. auch die Datenschutzbehörde.

Wie verhindere ich zukünftige Angriffe?

Regelmäßige Wartung, sichere Passwörter, Firewall-Plugins und sicheres Hosting – oder ein Wartungsplan von Wartungsfuchs.