StartBlog › WordPress gehackt? Die Soforthilfe-Checkliste in 10 Schritten

WordPress gehackt? Die Soforthilfe-Checkliste in 10 Schritten

Veröffentlicht: 11. April 2026
Deine WordPress-Seite zeigt fremde Inhalte, leitet weiter oder ist gesperrt? Ruhig bleiben. Diese 10 Schritte bringen deine Seite sauber zurück.
Beitragsbild: WordPress gehackt – Soforthilfe-Checkliste in 10 Schritten

Du rufst deine Website auf und etwas stimmt nicht: fremde Werbung, seltsame Weiterleitungen auf dubiose Seiten, eine Warnung von Google, oder die Seite ist ganz weg. Der erste Impuls ist Panik. Der zweite sollte ein klarer Plan sein.

Ein gehacktes WordPress ist unangenehm, aber in den meisten Fällen reparierbar. Diese Checkliste führt dich durch die wichtigsten Schritte. Wenn du dir unsicher bist oder es um eine geschäftskritische Seite geht, hol dir Hilfe – ein übersehener Rest von Schadcode bringt das Problem sonst zurück.

1. Ruhe bewahren und nichts überstürzen

Lösch nicht panisch wahllos Dateien. Unüberlegte Aktionen machen die Wiederherstellung oft schwerer. Verschaff dir erst einen Überblick, was überhaupt passiert ist.

2. Seite in den Wartungsmodus oder offline nehmen

Solange die Seite kompromittiert ist, kann sie Besucher gefährden und deinem Ruf schaden. Nimm sie vom Netz oder in den Wartungsmodus, bis sie sauber ist. Das schützt deine Besucher und stoppt eine mögliche Weiterverbreitung.

3. Alle Passwörter ändern

Und zwar alle: WordPress-Admin, Hosting, FTP/SFTP, Datenbank und das zugehörige E-Mail-Konto. Nutze neue, starke und einzigartige Passwörter. Ändere sie von einem Gerät aus, von dem du sicher bist, dass es nicht selbst infiziert ist.

4. Hosting-Anbieter informieren

Dein Hoster hat oft zusätzliche Informationen – Server-Logs, Hinweise auf den Einfallsweg, manchmal eigene Schutzmechanismen. Viele Hoster unterstützen aktiv und können dir sagen, wann und worüber der Angriff lief.

5. Das Ausmaß einschätzen

Verschaff dir ein Bild: Sind nur einzelne Dateien betroffen oder das ganze System? Gibt es unbekannte Admin-Benutzer? Wurden Dateien verändert? Ein Security-Plugin mit Malware-Scan hilft, verdächtige Dateien aufzuspüren. Auch Google Search Console zeigt an, ob deine Seite als kompromittiert markiert wurde.

6. Sauberes Backup einspielen

Wenn du ein Backup aus der Zeit vor dem Angriff hast, ist das der schnellste Weg zurück. Wichtig: Es muss garantiert sauber sein, also von vor dem Befall. Spiel es ein und prüfe danach, ob die Lücke, durch die der Angriff kam, geschlossen ist – sonst passiert es gleich wieder.

7. Kein sauberes Backup? Gründlich bereinigen

Ohne sauberes Backup wird es aufwendiger. Dann müssen die WordPress-Kerndateien durch frische Originale ersetzt, alle Plugins und Themes überprüft, Schadcode entfernt und die Datenbank auf manipulierte Einträge kontrolliert werden. Das ist Detailarbeit, bei der Erfahrung den Unterschied macht – hier ist professionelle Hilfe oft die schnellere und sicherere Wahl.

8. Alles aktualisieren

Veraltete Software ist die häufigste Ursache. Bring WordPress-Core, alle Plugins, Themes und nach Möglichkeit auch PHP auf den aktuellen Stand. Entferne alles, was du nicht brauchst – jedes ungenutzte Plugin ist eine potenzielle Lücke.

9. Die Ursache finden und schließen

Eine Seite zu säubern reicht nicht, wenn die Tür offen bleibt. War es ein veraltetes Plugin, ein schwaches Passwort, ein unsicherer Server? Diese Ursache muss gefunden und behoben werden. Sonst ist der nächste Angriff nur eine Frage der Zeit.

10. Bei Google um Überprüfung bitten

Wenn Google deine Seite als unsicher markiert hat, beantragst du nach der Bereinigung über die Search Console eine erneute Überprüfung. Erst danach verschwindet die Warnung im Browser und in den Suchergebnissen.

Wie du den nächsten Hack verhinderst

Nach dem Aufräumen kommt die wichtigste Frage: Wie verhindere ich das künftig? Die Antwort ist unspektakulär, aber wirksam: regelmäßige Updates, starke Logins mit Zwei-Faktor-Authentifizierung, automatische und ausgelagerte Backups, ein Security-Plugin und vor allem laufende Wartung. Die meisten gehackten Seiten, die ich sehe, eint eines: Nach dem Launch hat sich nie wieder jemand darum gekümmert.

FAQ

Wie lange dauert die Bereinigung?
Mit sauberem Backup oft wenige Stunden. Ohne Backup, bei tief sitzendem Schadcode, kann es deutlich länger dauern. Geschwindigkeit hängt stark davon ab, wie gut die Seite vorbereitet war.

Sind meine Kundendaten in Gefahr?
Je nach Angriff möglich. Wenn personenbezogene Daten betroffen sein könnten, gibt es unter Umständen Meldepflichten nach DSGVO. Das solltest du ernst nehmen und im Zweifel rechtlich prüfen lassen.

Kann ich die Seite einfach neu aufsetzen?
Manchmal ist ein sauberer Neuaufbau auf frischer Basis der ehrlichste Weg, besonders bei alten, ungepflegten Seiten. Inhalte lassen sich dabei oft retten.

Warum gerade ich? Ich bin doch nur ein kleiner Betrieb.
Die meisten Angriffe sind nicht persönlich, sondern automatisiert. Bots suchen das ganze Netz nach verwundbaren Seiten ab – Größe spielt keine Rolle. Genau deshalb trifft es so viele kleine Unternehmen.

Dein nächster Schritt

Wenn deine Seite gerade betroffen ist und du nicht selbst herumdoktern willst: Ich helfe schnell und bringe sie sauber zurück – inklusive Ursachenanalyse, damit es nicht wieder passiert. Und wenn du noch nicht betroffen bist: Lass es gar nicht so weit kommen – mit regelmäßiger Wartung und Absicherung.

Inhalt

Keine Lust auf Selbermachen?

Ich richte deine WordPress-Seite sicher ein — inkl. DSGVO-Check.
Erstgespräch buchen

Geschrieben von Christoph Purin

Webentwickler & CPWA-zertifizierter Accessibility-Experte aus Vorarlberg. WordPress seit 2005. Jeder Beitrag basiert auf echten Projekten — alles selbst getestet.
Mehr über mich →

Sprich mit mir über dein Projekt.

30 Minuten, kostenlos, unverbindlich. Du bekommst meine ehrliche Einschätzung — auch wenn sie lautet: „Dafür brauchst du mich nicht.“
Erstgespräch buchen
Antwort innerhalb von 48 Stunden · hallo@purin.at · +43 660 744 13 58