WordPress gehackt? 7 Sofortmaßnahmen Schritt für Schritt
Ihre Website ist WordPress gehackt worden – und jetzt? Erst der Schock: fremde Werbung auf der Startseite, Weiterleitungen auf dubiose Seiten, eine Warnung von Google oder schlicht eine weiße Seite. Der Moment, in dem man merkt, dass die eigene WordPress-Website gehackt wurde, ist unangenehm – aber kein Grund zur Panik. Mit einem klaren Vorgehen lässt sich der Schaden fast immer begrenzen und die Seite retten. Dieser Artikel führt Sie in sieben Schritten durch den Notfall – ruhig, geordnet und ohne den Fehler, überstürzt das Falsche zu tun.
![]()
Woran Sie erkennen, dass WordPress gehackt wurde
Nicht jeder Hack ist auf den ersten Blick sichtbar. Typische Anzeichen: unerwünschte Weiterleitungen, fremde Inhalte oder Pop-ups, eine Google-Warnung „Diese Seite kann Ihren Computer schädigen“, plötzlicher Einbruch der Rankings, unbekannte Admin-Benutzer, verdächtige Dateien oder eine ungewöhnlich langsame Website. Manchmal meldet auch der Hoster verdächtigen Traffic. Je früher Sie erkennen, dass WordPress gehackt wurde, desto kleiner der Schaden. Die folgenden Schritte gelten für jede Website, die WordPress gehackt wurde.
WordPress gehackt: Schritt 1 – Ruhe bewahren und nichts überstürzen
Der erste Impuls – „schnell alles löschen“ – ist oft der schlechteste. Unüberlegtes Löschen vernichtet Spuren, die zur Ursache führen, und im Zweifel auch rettbare Inhalte. Nehmen Sie sich zwei Minuten, um systematisch vorzugehen, statt hektisch zu reagieren.
WordPress gehackt: Schritt 2 – Website offline nehmen
Solange die Seite kompromittiert ist, kann sie Besucher gefährden und Ihrem Ruf schaden. Nehmen Sie die Website vom Netz oder in einen Wartungsmodus – so verhindern Sie, dass Schadcode weiterverbreitet wird und Google die Seite noch tiefer abstraft. Bei einem aktiven Hack zählt jede Stunde.
Schritt 3: Passwörter ändern – alle
Ändern Sie umgehend die Zugangsdaten: WordPress-Administratoren, FTP/SFTP, Datenbank, Hosting-Panel und das E-Mail-Konto dahinter. Verwenden Sie starke, einzigartige Passwörter. Prüfen Sie außerdem die Benutzerliste auf unbekannte Admin-Konten – ein häufiges Hintertürchen nach einem Angriff.
Schritt 4: Ein sauberes Backup finden
Wenn Sie über regelmäßige Backups verfügen, suchen Sie die letzte nachweislich saubere Version – also von vor dem Angriff. Genau hier zahlt sich eine funktionierende Backup-Strategie aus. Wer keine Backups hat, lernt in diesem Moment die härteste Lektion: Deshalb gehört ein automatisches Backup-System zu jeder WordPress-Wartung.
Schritt 5: Schadcode und Ursache finden
Jetzt geht es an die eigentliche Bereinigung: das Aufspüren von Malware, manipulierten Dateien und der Einfallstür. Fast immer war die Ursache eine bekannte Sicherheitslücke in einem veralteten Plugin, Theme oder der WordPress-Kernsoftware. Das reine Entfernen der sichtbaren Symptome reicht nicht – wird die Lücke nicht geschlossen, ist die Seite in Tagen erneut infiziert. Wie eine gründliche Bereinigung abläuft, beschreibt unser Artikel WordPress Malware entfernen.
Schritt 6: Bereinigen, aktualisieren, absichern
Nach dem Fund folgt die Säuberung: infizierte Dateien ersetzen, Schadcode entfernen, alle Komponenten auf den aktuellen Stand bringen und Sicherheitsmaßnahmen einrichten. Danach prüfen Sie, ob die Seite wirklich sauber ist – ein einziges übersehenes Schadskript genügt für einen Rückfall. Bei diesem Schritt ist Gründlichkeit wichtiger als Tempo.
Schritt 7: Bei Google entwarnen und wieder online gehen
Hat Google Ihre Seite auf eine Warnliste gesetzt, beantragen Sie nach der Bereinigung über die Google Search Console eine erneute Überprüfung. Erst dann verschwindet die Warnung. Anschließend geht die Seite kontrolliert wieder online – und Sie beobachten die kommenden Tage aufmerksam, ob alles stabil bleibt.
Wann Sie Profis holen sollten
Ehrlich gesagt: Wenn Sie diesen Artikel lesen, weil es gerade brennt, und Sie sich technisch unsicher fühlen, holen Sie Hilfe – schnell. Ein unsauber bereinigter Hack kommt zurück, und jede Stunde offline kostet Umsatz und Vertrauen. Wer merkt, dass WordPress gehackt wurde, sollte im Zweifel sofort Fachleute einschalten. Die Homepage-Soforthilfe ist genau auf solche Notfälle spezialisiert: Bereinigung gehackter WordPress-Websites, Ursachenanalyse und Absicherung – oft am selben Tag. Das ist in einer akuten Lage die schnellste und sicherste Lösung.
Damit es nicht wieder passiert
Ist der Notfall überstanden, beginnt die Vorbeugung. Die allermeisten Angriffe nutzen bekannte, längst geschlossene Lücken – regelmäßige Updates, automatische Backups, ein Sicherheits-Monitoring und ordentliche Zugangsdaten verhindern die überwiegende Mehrheit aller Hacks. Wie ein solides Schutzkonzept aussieht, zeigt unser Artikel zur WordPress-Wartung. Und wer ohnehin einen Website-Relaunch plant, sollte Sicherheit von Grund auf mitdenken.
Fazit: Geordnet handeln schlägt Panik
Eine gehackte WordPress-Website ist ein Ärgernis, aber selten eine Katastrophe – wenn Sie systematisch vorgehen: offline nehmen, Passwörter ändern, sauberes Backup finden, Ursache schließen, gründlich bereinigen, bei Google entwarnen. Im Zweifel und unter Zeitdruck ist professionelle Soforthilfe die beste Investition. Und danach sorgt konsequente Wartung dafür, dass sich der Schreck nicht wiederholt.
Ihre Website ist gehackt und Sie brauchen schnelle Hilfe? Die Homepage-Soforthilfe bereinigt gehackte WordPress-Websites professionell – schnell, gründlich und mit Absicherung gegen den nächsten Angriff. [Jetzt Soforthilfe anfragen.]
FAQ – Häufige Fragen, wenn WordPress gehackt wurde
Kann ich einen WordPress-Hack selbst beheben?
Bei kleineren Infektionen und etwas technischem Wissen ja – mit sauberem Backup und geschlossener Sicherheitslücke. Bei tiefsitzender Malware oder Unsicherheit ist professionelle Hilfe schneller und verhindert den Rückfall.
Wie lange dauert die Bereinigung?
Von wenigen Stunden bei klaren Fällen bis zu mehreren Tagen bei hartnäckigen Infektionen. Entscheidend ist, ob ein sauberes Backup existiert und wie tief der Schadcode sitzt.
Sind meine Kundendaten in Gefahr?
Möglicherweise. Wurden personenbezogene Daten kompromittiert, können Meldepflichten nach DSGVO greifen. Dokumentieren Sie den Vorfall und holen Sie im Zweifel rechtlichen Rat ein.
Wie verhindere ich, dass WordPress erneut gehackt wird?
Durch konsequente Vorbeugung: regelmäßige Updates, automatische Backups, starke Passwörter, Zwei-Faktor-Authentifizierung und ein Sicherheits-Monitoring – gebündelt in einem Wartungskonzept.