WordPress gehackt – was tun, wenn der Albtraum wahr wird?

Stell dir vor, du öffnest morgens deine Website – und plötzlich ist alles anders. Die Startseite zeigt kryptische Zeichen, deine Inhalte sind verschwunden oder es prangt eine fremde Botschaft auf deinem Bildschirm. Panik. Verwirrung. Vielleicht auch Wut. „Warum gerade meine Seite?“ – eine berechtigte Frage. Aber viel wichtiger ist jetzt: Was kannst du tun, wenn dein WordPress gehackt wurde?

In diesem Beitrag nehme ich dich mit durch die ersten Schritte nach einem Hack, erkläre dir verständlich, wie du deine Seite wieder sicher machst – und wie du dich in Zukunft besser schützt. Ohne Fachchinesisch, dafür mit echtem Mehrwert.

1. Tief durchatmen: Keine Panik – aber auch keine Zeit verlieren

Ein Hack ist kein Weltuntergang, auch wenn es sich im ersten Moment genau so anfühlt. Wichtig ist: Jetzt zügig, aber besonnen handeln. Jeder Moment zählt, denn Hacker können in kürzester Zeit großen Schaden anrichten. Sie schleusen Malware ein, leiten deine Besucher auf dubiose Seiten oder greifen sensible Daten ab.

Stell es dir vor wie einen Einbruch in deinem Geschäft: Du schließt die Tür ab, sicherst das Inventar und rufst professionelle Hilfe. Genau so gehst du auch hier vor.

2. Erste Hilfe: Was du sofort tun solltest

Schritt 1: Sofort den Zugang sperren

Logge dich ein – wenn möglich – und ändere alle Passwörter: Admin, FTP, Hosting, Datenbank, E-Mail. Besser ein paar Klicks zu viel als einer zu wenig. Kannst du dich nicht mehr einloggen? Dann rufe deinen Hoster an oder nutze ein Backup zur Wiederherstellung. Vergiss nicht, das Datenbankpasswort in der wp-config.php zu aktualisieren.

Schritt 2: WordPress gehackt? Website offline schalten

Viele Hoster bieten die Option, deine Seite vorübergehend auf „Wartungsmodus“ zu setzen. So schützt du deine Besucher und vermeidest weiteren Reputationsschaden. Alternativ kannst du im Root-Verzeichnis eine einfache HTML-Seite platzieren. Auch ein temporärer Passwortschutz per .htaccess kann sinnvoll sein.

Schritt 3: Backup prüfen

Hast du ein aktuelles Backup? Großartig! Falls nicht, erstelle eines, bevor du Änderungen vornimmst. So sicherst du dir eine Rückfallebene, falls etwas schiefgeht. Achte darauf, dass dein Backup nicht bereits infiziert ist. Prüfe das Erstellungsdatum im Vergleich zum vermuteten Zeitpunkt des Hacks.

3. Ursachenforschung: Wie konnte es dazu kommen?

Hacks sind kein Zufall. In den allermeisten Fällen liegt der Ursprung bei:

• Veralteten Plugins oder Themes
• Sicherheitslücken im WordPress-Core
• Schwachen Passwörtern
• Nicht abgesicherten Servern oder fehlenden Firewalls

Häufig reicht schon ein einziges vernachlässigtes Plugin, um einem Angreifer Tür und Tor zu öffnen. Und ja, manchmal genügt auch ein Passwort wie „Sommer2020“ – so einfach wie ein offenes Fenster im Erdgeschoss.

4. Säuberung und Wiederherstellung: Zurück zur sicheren Website

Malware entfernen

Nutze Tools wie Wordfence, Sucuri, MalCare oder das Kontrollpanel deines Hosters, um deine Seite nach Schadcode zu durchsuchen. Häufig befinden sich infizierte Dateien in drei Bereichen: Kerndateien, Plugins und Themes.

• Kerndateien (z. B. in wp-admin oder wp-includes): Mit einer frischen WordPress-Version überschreiben.
• Plugins: Ordner löschen und Plugin im Backend neu installieren.
• Themes: Nicht verwendete Themes komplett entfernen. Bei aktivem Theme vorher ein anderes Theme über die Datenbank aktivieren.

Bereinigen oder Backup einspielen?

Ein sauberes Backup spart dir viel Arbeit. Falls du manuell bereinigst, achte auf versteckte Malware – auch in Datenbankeinträgen oder functions.php. Nutze Online-Vergleichstools und halte Rücksprache mit dem Support oder deiner Webdesign Agentur.

Neue Zugangsdaten vergeben

Alle Passwörter neu setzen – Admin, Datenbank, FTP, API-Keys. Nutze starke, einzigartige Kombinationen und aktiviere wenn möglich Zwei-Faktor-Authentifizierung.

5. Sicherheit stärken: Damit es nicht nochmal passiert

Ein einmaliger Hack ist ärgerlich. Ein zweiter? Katastrophal. Mit diesen Maßnahmen schützt du dich nachhaltig:

• Regelmäßige WordPress Wartung und Updates, Plugins und Themes
• Sichere Passwörter mit Passwortmanager
• Backups automatisieren (z. B. mit UpdraftPlus)
• Sicherheitsplugins installieren – z. B. iThemes Security oder Wordfence
• Verzicht auf unnötige Plugins/Themes
• Benutzerkonten prüfen – keine unbekannten Accounts dulden
• Dateiberechtigungen korrekt setzen (z. B. 644 für Dateien, 755 für Ordner)
• SSL-Zertifikat aktivieren – sichert Daten und stärkt Vertrauen

Zusatztipp: Nutze Monitoring-Tools, um bei verdächtigen Aktivitäten automatisch benachrichtigt zu werden.

6. Kommunikation: Offenheit zahlt sich aus

Viele Betroffene möchten am liebsten niemandem vom Hack erzählen. Doch Transparenz schafft Vertrauen. Informiere deine Kunden oder Nutzer offen über den Vorfall – besonders wenn persönliche Daten betroffen waren. Das wirkt professionell und zeigt, dass du Verantwortung übernimmst.

Eine kurze Mitteilung auf der Website oder per E-Mail reicht oft schon. Wichtig: Keine Schuldzuweisungen, sondern klare Kommunikation und ein Fokus auf die Lösung.

7. WordPress gehackt. Wann du Hilfe holen solltest

Nicht jeder ist IT-Profi – und das musst du auch nicht sein. Wenn du dir unsicher bist, wie du den Hack bereinigen oder deine Seite absichern kannst, zögere nicht, Unterstützung zu holen. Es geht um deine Sichtbarkeit, deine Daten – und letztlich dein Geschäft.

Profis wie wir von wolpersweb helfen dir schnell, diskret und nachhaltig. Von der Malware-Entfernung über Sicherheits-Check bis zur langfristigen Absicherung.

Fazit: WordPress gehackt? Kein Grund zum Verzweifeln.

Ein Website-Hack ist unangenehm – keine Frage. Aber mit den richtigen Maßnahmen kannst du den Schaden begrenzen, deine Seite sichern und langfristig sogar gestärkt daraus hervorgehen.

Lass dich nicht entmutigen. Du bist nicht allein – und es gibt Lösungen.

Wir helfen dir schnell, sicher und zuverlässig weiter.