WordPress-Fehler & Wartung9 Min. Lesezeit05. Juli 2026
WordPress-Wartung · Tag 5: WordPress gehackt — erkennen & bereinigen
Kurz gesagt
Eine gehackte WordPress-Seite erkennt man an Warnungen von Google oder Hoster, unbekannten Admin-Konten, fremden Dateien, Spam-Weiterleitungen oder Traffic-Einbrüchen. Die Bereinigung folgt einer festen Reihenfolge: isolieren, Ursache finden, sauber aus Backup wiederherstellen, Lücke schließen — nicht nur Symptome löschen.
Willkommen zu Tag 5 unserer Serie WordPress-Wartung & Betrieb. Die erste Hälfte hat vorgebeugt — jetzt geht es um den Ernstfall. Denn selbst bei guter Wartung gilt: Hundertprozentige Sicherheit gibt es nicht. Was den Unterschied macht, ist nicht, ob etwas passieren kann, sondern ob man vorbereitet ist, wenn es passiert. Diese Folge zeigt, wie man einen Einbruch erkennt und ihn richtig bereinigt — statt nur das Sichtbare wegzuwischen und die Ursache offen zu lassen.
Woran erkenne ich, dass WordPress gehackt wurde?
Manche Angriffe sind laut, die meisten sind leise. Zu den deutlichen Zeichen gehören: eine Warnung von Google („Diese Website kann Ihrem Computer schaden") oder eine Sperrmeldung des Hosters, Weiterleitungen auf fremde, oft dubiose Seiten, plötzlich auftauchende Werbung oder Spam-Inhalte, sowie E-Mails, die von der Domain versendet wurden, ohne dass jemand sie geschrieben hat.
Die leisen Zeichen erfordern Hinsehen: unbekannte Benutzerkonten mit Adminrechten, geänderte oder neu angelegte Dateien mit kryptischen Namen, ein unerklärlicher Traffic-Einbruch (weil Google die Seite abgestuft hat), oder ungewöhnliche Server-Last durch Skripte, die im Hintergrund laufen. Für einen ersten schnellen Selbst-Check haben wir ein kostenloses Werkzeug: den WordPress-gehackt-Check. Er ersetzt keine gründliche Analyse, gibt aber eine erste Orientierung.
Was tun im ersten Moment — und was auf keinen Fall?
Der häufigste Fehler nach der Entdeckung ist Aktionismus: wild Dateien löschen, das eine verdächtige Plugin entfernen, die Seite „schnell sauber machen". Das Problem: Damit zerstört man oft die Spuren, die zeigen, wie der Angreifer hereinkam — und ohne diese Ursache schließt man das Loch nicht, durch das er beim nächsten Mal wieder spaziert. Genauso falsch ist es, in Panik das aktuelle (mögicherweise bereits kompromittierte) System über das letzte saubere Backup zu spielen, ohne zu wissen, wann die Infektion begann.
Der richtige erste Schritt ist Ruhe und Isolation: die Seite in einen Wartungsmodus nehmen oder offline schalten, damit sie keine Besucher gefährdet und nicht weiter als Schleuder missbraucht wird. Danach Beweise sichern, statt sie zu vernichten — der Zustand der Seite ist die Grundlage der Ursachenanalyse.
Die richtige Reihenfolge einer Bereinigung
Eine saubere Hack-Bereinigung folgt einem festen Ablauf. Abkürzungen rächen sich, weil sie fast immer die Ursache übersehen.
- Isolieren. Seite offline/Wartungsmodus, Zugänge einschränken, ein vollständiges forensisches Abbild des aktuellen Zustands sichern.
- Analysieren. Was wurde verändert, wann, und über welchen Einstiegspunkt? Logs, Dateiänderungsdaten und verdächtige Konten geben Aufschluss. Ziel ist, den Zeitpunkt und den Weg des Einbruchs zu kennen.
- Sauber wiederherstellen. Der verlässlichste Weg zurück ist ein bekannt sauberes Backup von vor der Infektion — genau deshalb war Tag 3 dieser Serie so wichtig. Wo kein sauberer Stand existiert, muss das System kontrolliert neu aufgebaut werden: frische WordPress-Installation, geprüfte Plugins/Themes, nur die Inhalte und die Datenbank sorgfältig übernommen.
- Lücke schließen. Der entscheidende Schritt, den Schnellreparaturen auslassen: die eigentliche Schwachstelle beheben — das veraltete Plugin ersetzen, die Rechte korrigieren, kompromittierte Passwörter und Schlüssel alle erneuern.
- Nachsorgen. Alle Zugangsdaten neu setzen, Sitzungen invalidieren, die Seite überwachen, und bei Google über die Search Console eine erneute Überprüfung beantragen, damit die Warnung verschwindet.
Warum „nur die Schaddatei löschen" nicht reicht
Angreifer legen selten nur eine Datei ab. Typisch sind mehrere versteckte Hintertüren an unterschiedlichen Stellen, damit der Zugang auch nach einer oberflächlichen Reinigung bestehen bleibt. Wer eine sichtbare Schaddatei entfernt, aber die Hintertür übersieht, hat die Seite nicht bereinigt, sondern nur kurz aufgeräumt — die Re-Infektion folgt oft binnen Tagen. Deshalb ist die vollständige Ursachenanalyse plus sauberer Wiederaufbau kein Perfektionismus, sondern der einzige Weg, der wirklich hält. Wie so eine professionelle Bereinigung abläuft, beschreiben wir auf unserer Seite WordPress gehackt.
Fazit
Ein Hack ist kein Grund für Panik, aber für Methode. Erkennen heißt, auf laute wie leise Zeichen zu achten; richtig reagieren heißt, zuerst zu isolieren und Spuren zu sichern, statt loszulöschen. Die Bereinigung folgt der Reihenfolge isolieren, analysieren, sauber wiederherstellen, Lücke schließen, nachsorgen — und ihr wichtigster Schritt ist der, den Schnellreparaturen auslassen: die Ursache zu beheben, nicht nur das Symptom. Wer vorher getestete Backups hatte, ist in einer Stunde wieder online; wer keine hatte, lernt an diesem Tag, warum Tag 3 dieser Serie so wichtig war.
Das war Tag 5. Morgen wird es freundlicher: Wir kümmern uns darum, dass die Seite nicht nur sicher, sondern auch schnell bleibt — Performance und Core Web Vitals im laufenden Betrieb. Alle Folgen in der Serien-Übersicht. Wenn es akut brennt oder du den Ernstfall gar nicht erst allein bewältigen willst, ist die Hack-Bereinigung Teil unserer WordPress-Wartung & Security — melde dich, die Erst-Analyse ist kostenlos.