WordPress gehackt: Was tun? Erste Hilfe & Schutz (2026)

Kurz durchatmen. Ein gehacktes WordPress ist ärgerlich, aber in den meisten Fällen behebbar. Was jetzt zählt: die richtigen Schritte in der richtigen Reihenfolge.

Dieser Guide führt Dich durch die Sofortmaßnahmen, erklärt wie Hacker reinkommen und wie Du es künftig verhinderst.

Zum Inhaltsverzeichnis
Person analysiert WordPress-Sicherheitswarnung am Laptop
Erschienen am: So., 22. Feb. 2026//Zuletzt aktualisiert Sa., 7. März 2026
Inhaltsverzeichnis
    Die Marketing Nerds Logo

    Woran erkennst Du, dass WordPress gehackt wurde?

    Nicht jeder Hack ist sofort sichtbar. Viele Websites sind kompromittiert, ohne dass der Betreiber es oft wochenlang nicht weiß. Typische Anzeichen:

    • Google warnt vor Deiner Website: “Diese Website könnte gehackt sein” oder rote Warnung im Browser
    • Dein Hosting-Anbieter hat die Website gesperrt: wegen Malware oder Spam-Versand
    • Unbekannte Seiten oder Links tauchen auf: oft auf Chinesisch, Russisch oder mit Casino-/Pharma-Inhalten
    • Weiterleitungen auf fremde Seiten: Besucher landen woanders
    • Admin-Zugang funktioniert nicht mehr: Passwort wurde geändert
    • Unbekannte Admin-Benutzer im Backend
    • Die Website lädt extrem langsam oder ist plötzlich offline
    • Google Search Console meldet Probleme: Malware-Warnungen oder unbekannte URLs

    Selbst wenn nichts davon sichtbar ist: Wenn Dein Hosting-Anbieter oder ein Sicherheits-Tool Alarm schlägt, nimm es ernst.

    Sofortmaßnahmen: Was Du jetzt tun musst

    Schritt 1: Website in Wartungsmodus versetzen oder offline nehmen

    Solange die Website gehackt ist, können Deine Besucher Malware ausgesetzt sein. Sofort offline nehmen! entweder über Deinen Hosting-Anbieter oder mit einem Maintenance-Plugin.

    Schritt 2: Alle Passwörter sofort ändern

    Und zwar alle, nicht nur das WordPress-Admin-Passwort:

    • WordPress Admin-Passwort
    • FTP/SFTP-Zugang
    • Datenbank-Passwort (in wp-config.php)
    • Hosting-Account-Passwort
    • E-Mail-Passwort das mit der Website verknüpft ist

    Verwende für jedes Passwort einen einzigartigen, langen String. Am besten generiert von einem Passwort-Manager.

    Schritt 3: Backup sichern — auch das kompromittierte

    Klingt paradox, ist aber wichtig: Sichere die aktuelle (gehackte) Version als separate Kopie. Falls die Bereinigung etwas Unerwartetes löscht, hast Du noch einen Ausgangspunkt.

    Schritt 4: Malware-Scan durchführen

    Installiere, falls noch nicht vorhanden, ein Sicherheits-Plugin und führe einen vollständigen Scan durch:

    • Wordfence (kostenlose Version reicht für den ersten Scan)
    • Sucuri Security
    • MalCare

    Diese Plugins zeigen Dir infizierte Dateien an und können viele davon automatisch bereinigen.

    Schritt 5: Unbekannte Benutzer entfernen

    Geh zu Benutzer → Alle Benutzer und prüfe ob unbekannte Admin-Accounts vorhanden sind. Sofort löschen.

    Schritt 6: Alle Plugins und Themes aktualisieren

    Veraltete Plugins sind der häufigste Einfallsweg. Nach der Bereinigung: alle Updates durchführen. Deaktiviere oder lösche Plugins die nicht mehr gewartet werden.

    Schritt 7: WordPress-Core neu installieren

    Unter Dashboard → Updates kannst Du WordPress-Core-Dateien neu installieren ohne Deine Inhalte zu verlieren. Das ersetzt manipulierte Core-Dateien durch saubere Versionen.

    Schritt 8: Google informieren

    Sobald die Website bereinigt ist: In der Google Search Console unter Sicherheit & manuelle Maßnahmen → Sicherheitsprobleme eine Überprüfung anfordern. Google hebt die Warnung nach Prüfung auf. Das kann 1–3 Tage dauern.

    Wie kommen Hacker in WordPress rein?

    Die meisten Hacks sind keine gezielten Angriffe, sondern automatisierte Bots die bekannte Sicherheitslücken ausnutzen. Die häufigsten Einfallstore:

    • Veraltete Plugins und Themes: Jede Sicherheitslücke in einem Plugin wird öffentlich bekannt. Bots scannen das Internet rund um die Uhr nach Websites die die betroffene Version noch verwenden.
    • Schwache Passwörter: “admin” als Benutzername und ein einfaches Passwort sind in Minuten geknackt.
    • Nulled Plugins und Themes: Kostenlose Raubkopien von Premium-Plugins enthalten oft eingebaute Backdoors.
    • Unsichere Hosting-Umgebung: Auf Shared Hosting kann eine kompromittierte Nachbar-Website zur Gefahr für Deine werden.
    • Kein SSL: Ohne HTTPS können Login-Daten abgefangen werden.
    • Veralteter WordPress-Core: Sicherheitsupdates für WordPress erscheinen regelmäßig und wer sie ignoriert, ist verwundbar.

    Was ein Hack wirklich kostet

    Die direkten Kosten einer professionellen Bereinigung liegen je nach Ausmaß bei €300–1.000+. Dazu kommen:

    • Umsatzausfall während der Downtime
    • Reputationsschaden wenn Kunden eine kompromittierte Seite sehen
    • Rankingverlust — Google bestraft gehackte Seiten, die Erholung dauert Wochen
    • Zeitaufwand für Bereinigung, Kommunikation, Überprüfung

    Ein professionelles WordPress-Wartungspaket ab €57/Monat ist in fast jedem Fall günstiger als ein einziger Notfall.

    Wie Du Dich künftig schützt

    1. Updates — konsequent und zeitnah

    WordPress-Core, Plugins und Themes müssen regelmäßig aktualisiert werden. Sicherheitsupdates innerhalb weniger Tage, Major-Updates nach ausreichendem Testen.

    2. Starke Passwörter und 2-Faktor-Authentifizierung

    Verwende einen Passwort-Manager und aktiviere 2FA für alle Admin-Accounts. Das allein verhindert einen Großteil aller Brute-Force-Angriffe.

    3. Regelmäßige externe Backups

    Tägliche Backups die extern gespeichert sind, nicht nur auf demselben Server. Im Ernstfall ist ein sauberes Backup das wertvollste was Du haben kannst.

    4. Security-Plugin aktiv halten

    Wordfence, Sucuri oder ein vergleichbares Plugin im Hintergrund laufen lassen. Es scannt, blockiert bekannte Angriffe und warnt Dich bevor ein Problem sichtbar wird.

    5. Managed Hosting statt Shared Hosting

    Auf einem Managed Server bist Du isoliert. Was bei anderen Websites passiert, betrifft Dich nicht. Shared Hosting ist günstiger, aber das Sicherheitsrisiko ist real.

    6. Ungenutzte Plugins und Themes löschen

    Deaktiviert ist nicht gleich sicher. Nicht verwendete Plugins und Themes vollständig entfernen, denn sie können trotzdem als Einfallstor dienen.

    DIY-Bereinigung oder professionelle Hilfe?

    Eine einfache Infektion mit einem bekannten Malware-Typ kannst Du mit einem guten Security-Plugin oft selbst bereinigen. Das funktioniert wenn:

    • Du Zugang zum Backend hast
    • Ein aktuelles sauberes Backup vorhanden ist
    • Der Scan klare infizierte Dateien anzeigt

    Professionelle Hilfe brauchst Du wenn:

    • Der Admin-Zugang gesperrt ist
    • Der Scan nichts findet, die Website aber offensichtlich kompromittiert ist (versteckte Backdoors)
    • Die Infektion immer wieder zurückkommt
    • Du keinen sauberen Backup-Stand hast
    • Kundendaten möglicherweise betroffen sind (DSGVO-Meldepflicht!)

    Website gehackt — und jetzt?

    Wenn Du gerade vor einem kompromittierten WordPress sitzt und nicht weiter weißt: Meld Dich. Wir schauen uns die Situation an und sagen Dir ehrlich was die beste Vorgehensweise ist.

    → Jetzt Kontakt aufnehmen

    Auch interessant: WordPress Betreuung: So verhinderst Du den nächsten Notfall

    Bereit, Deine Online-Präsenz auf das nächste Level zu heben?

    Du hast Fragen oder möchtest mehr erfahren? Dann zögere nicht, uns zu kontaktieren!

    Jetzt Kontakt aufnehmen

    Häufig gestellte Fragen

    In einfachen Fällen ja — mit einem Security-Plugin und einem sauberen Backup. Bei hartnäckigen Infektionen oder wenn Backdoors eingebaut wurden, ist professionelle Hilfe sicherer und meist schneller.

    Mit professioneller Unterstützung: einige Stunden bis zu einem Tag. Im DIY-Versuch ohne Erfahrung: deutlich länger, mit dem Risiko dass nicht alles gefunden wird.

    Wenn personenbezogene Daten (Kundendaten, E-Mail-Adressen etc.) betroffen sein könnten: ja. Die Meldepflicht an die zuständige Datenschutzbehörde gilt innerhalb von 72 Stunden. Im Zweifel einen Anwalt kontaktieren.

    Eine Backdoor ist versteckter Code, der einem Angreifer dauerhaften Zugang zur Website verschafft — auch nach der Bereinigung. Deshalb reicht es oft nicht, nur die sichtbaren Symptome zu entfernen. Eine vollständige Bereinigung sucht gezielt nach Backdoors.

    Nach Einreichung einer Überprüfungsanfrage in der Search Console dauert es meist 1–3 Tage. Voraussetzung: Die Website ist wirklich vollständig bereinigt.

    Ja, wenn das Backup sauber ist und vor der Infektion erstellt wurde. Wichtig: Die Sicherheitslücke, die den Hack ermöglicht hat, danach sofort schließen (Plugin-Update, Passwortänderung etc.). Sonst passiert es wahrscheinlich wieder.

    Der Author

    Portrait von Tom Schuller, dem Eigentümer von "Die Marketing Nerds"

    Tom Schuller

    Digitalagentur-Gründer. WordPress-Nerd. Schreibt worüber er arbeitet.

    Ich beschäftige mich seit Jahren mit WordPress, SEO und dem was Websites wirklich erfolgreich macht. Im Magazin schreib ich über das was ich täglich in der Praxis erlebe – ohne Theorie-Blabla, dafür mit konkreten Tipps die Du direkt umsetzen kannst.

    Logo "Die Marketing Nerds"