WordPress-Website gehackt, was tun?

Vitali Lutz
Vitali Lutz
Fachwissen für einfache Komplexität
Aktualisiert am 02. Juni 2026
Alarm 6:25 Minuten Lesezeit
Titelbild: WordPress-Website gehackt, was tun?

Eine der unangenehmsten Situationen für Betreiber von WordPress-Websites:

  • Beim Besuch der Website stellt man fest, dass Inhalte veröffentlicht wurden, die man dort nicht veröffentlicht hatte.
  • Beim Anklicken von Links findet eine unvorhersehbare Umleitung auf eine unbekannte Website statt.
  • Der Browser zeigt eine Betrugswarnung an, sobald man seine Website betreten möchte.

Dies sind häufige Anzeichen dafür, dass eine Website kompromittiert wurde. Jährlich werden Millionen von WordPress-Websites gehackt und zu unterschiedlichen Zwecken missbraucht.

Ist die eigene Website betroffen, sollte besonnen und strukturiert vorgegangen werden. Auch wenn die Situation zunächst schwerwiegend erscheint, ist ein ruhiges und systematisches Vorgehen entscheidend.

Wie wird eine WordPress-Website gehackt?

Es gibt viele Wege, wie eine WordPress-Website gehackt werden kann, und oft nutzen Angreifer Sicherheitslücken, ungesicherte Einstellungen oder menschliches Verhalten aus.

1. Exploit von Sicherheitslücken

WordPress selbst, Themes oder Plugins können Schwachstellen aufweisen. Das passiert sehr häufig, wenn WordPress-Updates nicht regelmäßig durchgeführt werden.

  • Veraltete WordPress-Versionen: Hacker nutzen bekannte Sicherheitslücken aus, die in älteren Versionen bestehen
  • Unsichere Plugins/Themes: Plugins mit schlecht programmiertem Code können Einfallstore für SQL-Injections, Remote Code Execution oder Cross-Site Scripting (XSS) sein
  • Zero-Day-Lücken: Neue, noch nicht gepatchte Sicherheitslücken werden gezielt ausgenutzt

2. Brute-Force-Angriffe

Angreifer versuchen, das Admin-Passwort zu erraten. Das kann bereits deutlich erschwert werden, indem man eine sichere Kombination aus Benutzername und Passwort verwendet.

  • Standard-Benutzernamen wie "admin" erleichtern den Zugriff
  • Schwache Passwörter werden automatisiert ausprobiert
  • Tools wie Hydra oder WPScan werden dafür häufig eingesetzt

3. Malware & Hintertüren

Hintertüren im WordPress-Ökosystem werden gezielt ausgenutzt, um Schadcode auf der Website einzuschleusen. Ist die Malware erst einmal eingeschleust, kann sie auf der Website Schäden verursachen.

  • Backdoors ermöglichen dauerhaften Zugriff, selbst nach Updates
  • Drive-by-Downloads infizieren Besucher der Website mit Viren
  • Spam-Injektionen nutzen die Seite zum Versand von Spam-Mails oder zur SEO-Manipulation

4. Server- und Hosting-Schwachstellen

Nicht nur WordPress selbst kann Ziel sein.

Das Hacking kann auch aufgrund fehlhaft konfigurierter Server oder Sicherheitsmängel auf dem Server verursacht werden. In diesem Fall müssen die Angreifer nicht einmal WordPress hacken, sondern greifen direkt die darunterliegende technische Basis an.

  • FTP/SSH-Zugang mit schwachen Passwörtern kann missbraucht werden
  • Fehlkonfigurierte Server oder veraltete PHP-Versionen öffnen Angreifern Tür und Tor
  • Lücke in PHP oder im Webserver kann den Zugriff auf die Serverdaten ermöglichen.

Eine gehackte WordPress-Website entsteht meist durch die Kombination aus veralteter Software, schwachen Passwörtern, unsicheren Plugins und menschlichen Fehlern. Manchmal ist auch ein Server die Ursache, der nicht richtig konfiguriert ist oder nicht regelmäßig aktualisiert wird.

WordPress nach einem Hacking-Angriff bereinigen

In den meisten Fällen lässt sich feststellen, dass eine Sicherheitslücke in WordPress selbst, einem Plugin oder einem Theme ausgenutzt wurde, um Zugriff auf die Website zu erlangen. Dabei werden häufig Dateien mit Schadcode versehen, der unterschiedliche Funktionen erfüllen kann, beispielsweise:

  • Hintertüren installieren, um den Angreifern dauerhaften Zugriff zu ermöglichen
  • Datenbanken manipulieren oder auslesen
  • Spam oder bösartige Inhalte verbreiten
  • Besucher auf andere, gefährliche Seiten weiterleiten

Darüber hinaus können gehackte Dateien die Website verlangsamen, Suchmaschinenrankings beeinträchtigen oder sogar dazu führen, dass die Seite von Sicherheitsdiensten als unsicher markiert wird (Browserwarnung). Daher ist es wichtig, nach einem Angriff schnell zu reagieren, die betroffenen Dateien zu identifizieren und Sicherheitslücken zu schließen.

An dieser Stelle wird klar, dass ein ernstzunehmendes Problem vorliegt. Dennoch besteht kein Grund zur Panik: WordPress kann wiederhergestellt und der unbefugte Zugriff wirksam unterbunden werden.

Es muss eine Reinigung stattfinden.

Der Angreifer hat mit Sicherheit irgendwo einen Schadcode versteckt. Bei jedem Aufruf der Seite wird dieser Schadcode ausgeführt, um noch mehr Schaden anzurichten.

Es ist erforderlich, den Schadcode vollständig zu identifizieren und zu entfernen.

Ohne eine vollständige Überprüfung sämtlicher Dateien der Website lässt sich in der Regel nicht zuverlässig feststellen, welche Inhalte betroffen sind. Ein umfassender Malware- oder Virenscan steht jedoch nicht bei jedem Hosting-Angebot zur Verfügung und ist häufig nur in erweiterten Tarifen oder speziellen Sicherheitslösungen enthalten.

Ich nutze All-Inkl.com als Webhoster, der seine Server täglich auf Schadsoftware überprüft. Diese zusätzliche Sicherheitsmaßnahme erleichtert die frühzeitige Erkennung und Bereinigung von Schadcode auf Websites. Weitere Informationen und Erfahrungen mit dem Hosting-Angebot sind im verlinkten Erfahrungsbericht zu finden.

Für die Bereinigung der WordPress-Website stehen grundsätzlich zwei Vorgehensweisen zur Verfügung:

  1. Die Website wird mithilfe des aktuellsten Backups auf einen früheren, sauberen Zustand zurückgesetzt. Dabei ist sicherzustellen, dass die wiederhergestellte Version frei von Schadcode ist. Dieser Weg stellt die schnellste und einfachste Methode dar; in vielen Fällen genügt ein Backup, das etwa eine Woche alt ist.
  2. Die Bereinigung muss manuell erfolgen. Dieser Prozess ist zwar aufwendig, stellt jedoch in vielen Fällen die einzige Möglichkeit dar, die Website vollständig zu säubern und wieder in einen funktionsfähigen Zustand zu versetzen.

Wenn möglich, sollte die Website sofort deaktiviert oder in den Wartungsmodus versetzt werden. Anschließend sind die folgenden Schritte in der angegebenen Reihenfolge durchzuführen:

  1. Zunächst die Datenbank der Website sichern
  2. Per FTP auf den Webspace zugreifen und den gesamten Ordner "wp-content" sichern. Dort befinden sich alle Plugins, Themes sowie sämtliche selbst hochgeladenen Dateien
  3. Falls Backups vom Webhoster oder selbst vorhanden sind, diese umgehend wiederherstellen. Vorab ist sorgfältig zu prüfen, ob diese Versionen frei von Schadcode sind und keine wichtigen aktuellen Inhalte verloren gehen
  4. Falls keine Backups verfügbar sind, sollten sämtliche WordPress-Dateien gelöscht werden, da eine Infektion einzelner oder mehrerer Dateien nicht ausgeschlossen werden kann
  5. Eine frische WordPress-Installation auf den Webspace hochladen
  6. Website wieder aktivieren bzw. Wartungsmodus deaktivieren
  7. Die Domain aufrufen und die Installation durchführen. Dabei die korrekten Datenbankzugangsdaten eingeben und neue, sichere Administrator-Zugangsdaten vergeben
  8. Nach der Installation prüfen, ob die Website fehlerfrei funktioniert
  9. Inhalte aus dem Ordner "wp-content" schrittweise und nach vorheriger Sichtprüfung wiederherstellen, um eine erneute Einschleusung von Schadcode zu vermeiden
  10. Abschließend sollte die Website zur Sicherheit von einer fachkundigen Stelle auf Schadcode überprüft werden

Wenn diese Schritte in der angegebenen Reihenfolge durchgeführt werden, sollte eine neu installierte WordPress-Website entstehen, die weiterhin die bestehende Datenbank verwendet.

Im Erfolgsfall ist umgehend der Adminbereich aufzurufen und die Zugangsdaten sind unverzüglich zu ändern.

Wenn die Bereinigung keinen Erfolg gebracht hat und weiterhin erkennbar ist, dass unbefugte Zugriffe stattfinden, kann es sinnvoll sein, den Webhoster zu kontaktieren. Alternativ kann auch fachkundige Unterstützung hinzugezogen werden, um die Ursache zu analysieren und den unbefugten Zugriff zu unterbinden.

Schutzmaßnahmen, um WordPress-Hacking zu erschweren

Sobald die Website wieder sicher ist, sollten präventive Maßnahmen umgesetzt werden, um zukünftige Sicherheitsvorfälle zu minimieren:

  1. WordPress, Themes und Plugins immer aktuell halten
    Regelmäßige Updates schließen bekannte Sicherheitslücken. Auch veraltete Plugins oder Themes können Einfallstore für Hacker sein.
  2. Starke Passwörter verwenden
    Für alle Benutzerkonten sollten komplexe, eindeutige Passwörter genutzt werden. Zusätzlich empfiehlt sich die Aktivierung einer Zwei-Faktor-Authentifizierung (2FA), um den Zugang weiter abzusichern.
  3. Backups regelmäßig erstellen
    Automatische Backups sichern die Website-Daten und die Datenbank. Im Notfall kann die Website schnell wiederhergestellt werden.
  4. Nur vertrauenswürdige Plugins und Themes nutzen
    Plugins und Themes sollten ausschließlich aus offiziellen Quellen oder von vertrauenswürdigen Entwicklern installiert werden. Nicht verwendete Erweiterungen sollten entfernt werden, um potenzielle Sicherheitsrisiken zu reduzieren.
  5. Sicherheits-Plugins installieren
    Plugins wie Firewall-Schutz, Malware-Scanner oder Login-Schutz helfen, Angriffe frühzeitig zu erkennen und zu blockieren.
  6. Datei- und Serverberechtigungen korrekt setzen
    Nur notwendige Dateien sollten Schreibrechte haben. Zu offene Berechtigungen erleichtern Angreifern das Einschleusen von Schadcode.
  7. SSL/TLS aktivieren
    HTTPS schützt die Datenübertragung zwischen Website und Besuchern und erhöht das Vertrauen in die Seite. Das ist zwar Standard, aber erstaunlicherweise gibt es immer noch Websites, die über unverschlüsselte Verbindungen erreichbar sind.
  8. Datenbank absichern
    Das Standard-Präfix der Datenbanktabellen sollte angepasst werden. Zudem sollten starke Datenbankpasswörter verwendet und der Zugriff auf vertrauenswürdige IP-Adressen beschränkt werden.
  9. Überwachung und Protokollierung
    Login-Versuche, Dateiänderungen und weitere Systemaktivitäten sollten protokolliert werden. Dadurch lassen sich verdächtige Vorgänge frühzeitig erkennen und analysieren.
  10. Regelmäßig auf Sicherheitslücken prüfen
    Regelmäßige Sicherheitsüberprüfungen und Malware-Scans sollten durchgeführt werden, um Schwachstellen frühzeitig zu erkennen und deren Ausnutzung durch Angreifer zu verhindern.

Von all den oben genannten Maßnahmen sind das Erstellen kompletter und regelmäßiger Backups sowie eine regelmäßige Sichtprüfung der Website die Basis. Diese helfen im Notfall, die Website sofort zu bereinigen und in erster Linie schnell einen Angriff auf die Website zu erkennen.

Die regelmäßige Aktualisierung von WordPress sowie aller Plugins und Themes zählt zu den wichtigsten Maßnahmen der laufenden Wartung. Zusätzlich sollte regelmäßig überprüft werden, ob ungenutzte Plugins installiert sind. Diese sollten deaktiviert oder entfernt werden, da sie potenzielle Sicherheitsrisiken darstellen und die Angriffsfläche erhöhen können.

Fazit

Obwohl man darauf hofft, niemals Ziel eines Hackerangriffs auf die eigene WordPress-Website zu werden, kommt es immer wieder vor. In einem solchen Fall ist ein systematisches Vorgehen erforderlich: Die Ursache des Angriffs muss identifiziert und gleichzeitig eine wirksame Lösung umgesetzt werden, um die Website wieder vollständig abzusichern.

Die überwiegende Mehrheit der Sicherheitsprobleme resultiert aus unzureichender Wartung der Website. Je länger eine Website nicht aktiv gewartet und gepflegt wird, desto höher ist das Risiko für Fehler und Sicherheitsvorfälle, einschließlich einer möglichen Kompromittierung der Website.

Fehlt die notwendige Zeit oder das erforderliche Fachwissen, sollte ein professioneller Wartungsservice in Anspruch genommen werden. Die Sicherheit einer Website ist nicht optional, sondern sowohl eine Verantwortung als auch ein grundlegendes Erfordernis.

All-Inklusive WordPress-Betreuung

Mit der All-Inklusive Betreuung bleibt Ihre Website technisch auf dem neuesten Stand, wird inhaltlich gepflegt und kontinuierlich optimiert — ganz ohne Aufwand für Sie.

Technische Wartung & Sicherheitsupdates
Inhaltspflege & Funktionserweiterungen
Persönlicher technischer Ansprechpartner

Weiterleitung läuft... 5

Du wirst auf die Zielseite weitergeleitet, bitte warte...