Zum Inhalt springen
22+ Projekte erfolgreich umgesetzt 5,0★ Google Bewertung · Norddeutschland Kostenlose Erstberatung →
WordPress Sicherheit Malware Astro Wartung

WordPress gehackt? Soforthilfe + Malware entfernen

WordPress gehackt — Weiterleitungen, Spam, Warnung von Google? Die Schritte zur Soforthilfe, zum Entfernen der Malware und zum Absichern.

Ronni Wordel
6 Min. Lesezeit

Deine Seite leitet plötzlich auf eine fremde Glücksspiel-Domain um. Oder Google zeigt Besuchern eine rote Warnseite: „Die Website enthält Schadsoftware.” Oder es tauchen Spam-Seiten mit Pillen und Sneakers auf, die du nie angelegt hast. Das alles bedeutet dasselbe: Jemand hat dein WordPress übernommen. Kein Grund zur Panik — aber Grund zum Handeln, und zwar in der richtigen Reihenfolge. Hier ist sie.

Soforthilfe

Bevor du anfängst zu suchen, schließ erst mal die Tür:

  1. Seite offline nehmen. Schalt einen Wartungsmodus ein oder lass den Hoster die Seite kurz sperren. Solange sie online ist, infiziert sie Besucher weiter und Google verschärft die Warnung.
  2. Alle Passwörter ändern — und zwar wirklich alle: WP-Admin, FTP/SFTP, Datenbank-Nutzer (in der wp-config.php) und der Hosting-Account selbst. Ein gestohlenes Passwort ist die häufigste Eintrittstür. Nutze für jedes ein neues, langes Passwort.
  3. Ein Backup vom aktuellen (infizierten) Stand ziehen. Klingt komisch, ist aber wichtig: So hast du Beweise und kannst notfalls etwas zurückholen, das du sonst überschreibst.

Anzeichen erkennen: Bist du wirklich gehackt?

Nicht jeder Aussetzer ist ein Hack. Typische Symptome einer Kompromittierung:

  • Fremde Weiterleitungen: Besucher landen auf Seiten, die du nie verlinkt hast — oft nur vom Smartphone oder nur aus der Google-Suche, damit du es selbst kaum mitbekommst.
  • Spam-Seiten und -Inhalte: In Google tauchen Hunderte Unterseiten deiner Domain mit japanischen Schriftzeichen oder Medikamenten-Werbung auf (sogenanntes „Japanese Keyword Hacking”).
  • Google-Safe-Browsing-Warnung oder eine Meldung in der Search Console unter „Sicherheitsprobleme”.
  • Unbekannte Admin-Nutzer unter Benutzer → Alle Benutzer. Lösch sie noch nicht — notiere sie erst, sie sind eine Spur.
  • Plötzlicher Performance-Einbruch, weil dein Server für Spam-Versand oder Krypto-Mining missbraucht wird.

Triff mindestens eines davon zu, gehst du von einer Infektion aus.

Scannen: das Ausmaß feststellen

Bevor du blind Dateien löschst, verschaff dir ein Bild. Zwei Wege, am besten beide:

  • Hoster-seitiger Malware-Scan. Viele Hoster (Plesk/cPanel) haben einen Scanner wie ImunifyAV im Panel. Der läuft außerhalb von WordPress und sieht auch Dateien, die ein gekapertes WordPress dir verstecken würde.
  • Sicherheits-Plugin wie Wordfence oder Sucuri. Es vergleicht deine Core-Dateien mit den Originalen und meldet veränderte oder fremde Dateien. Installier es frisch — ein bereits vorhandenes Plugin könnte manipuliert sein.

Notiere dir die als verdächtig gemeldeten Pfade. Die brauchst du gleich.

Der sicherste Weg: sauberes Backup vor der Infektion

Wenn du ein Backup hast, das nachweislich vor dem Hack entstanden ist, ist die Wiederherstellung der mit Abstand sauberste Weg. Ein bereinigter Hack lässt fast immer Reste zurück; ein sauberes Backup nicht.

So gehst du vor: Stell das alte Backup auf einer Staging-Umgebung wieder her, prüf es auf die oben genannten Symptome, ändere danach erneut alle Passwörter und spiel dann alle Updates ein (siehe unten). Wichtig: Inhalte, die nach dem Hack-Datum entstanden sind, musst du sauber nachpflegen — nicht aus dem infizierten Stand kopieren.

Hast du kein sauberes Backup, geht es ans manuelle Bereinigen.

Malware manuell finden und entfernen

Das ist Detailarbeit. Arbeite über FTP/SFTP oder den Dateimanager, nicht nur über das WP-Backend.

1. WordPress-Core neu einspielen. Lade WordPress in exakt deiner Version von wordpress.org herunter und überschreibe per FTP die Ordner wp-admin und wp-includes komplett. Das ersetzt manipulierte Core-Dateien durch Originale. Fass wp-content dabei nicht an — dort liegen deine Themes, Plugins und Uploads.

2. Fremde Dateien und Backdoors suchen. Backdoors sind kleine PHP-Dateien, die dem Angreifer den Wiedereinstieg erlauben — auch nachdem du gesäubert hast. Sortier den Dateimanager nach Änderungsdatum: Alles, was rund um den Hack-Zeitpunkt verändert wurde und nicht von dir stammt, ist verdächtig. Häufige Verstecke sind merkwürdig benannte .php-Dateien im Uploads-Ordner (wp-content/uploads enthält normalerweise keine PHP-Dateien) oder im Theme-Ordner.

3. wp-config.php und .htaccess prüfen. Beide werden gern für injizierten Code missbraucht. Öffne sie und vergleiche mit dem Original. In der .htaccess haben fremde RewriteRule-Zeilen oder auto_prepend_file-Einträge nichts verloren. Die wp-config.php sollte am Ende nur die Standard-Konstanten enthalten — kein base64_decode, kein eval, keine kryptischen Code-Blöcke:

// Saubere wp-config.php endet etwa hier — nichts dahinter:
define( 'WP_DEBUG', false );

/* Das war's. Bearbeite nichts unterhalb dieser Zeile. */
require_once ABSPATH . 'wp-settings.php';

Findest du Zeilen mit eval(base64_decode(...)), gzinflate oder langen Buchstaben-Zahlen-Ketten — raus damit, aber notiere vorher, was du entfernst.

4. Datenbank prüfen. Spam wird oft direkt in die Tabellen wp_posts und wp_options geschrieben. Such in der Datenbank (z. B. per phpMyAdmin) nach verdächtigen <script>-Tags oder fremden URLs.

Nach der Bereinigung: absichern und Google informieren

Sauber heißt noch nicht sicher. Jetzt schließt du die Lücke, durch die der Angreifer kam:

  • Alles updaten: WordPress-Core, alle Themes, alle Plugins. Veraltete Plugins sind das mit Abstand häufigste Einfallstor.
  • Ungenutzte Plugins und Themes löschen — nicht nur deaktivieren. Inaktiver Code kann trotzdem angegriffen werden.
  • Zwei-Faktor-Authentifizierung für alle Admin-Logins aktivieren.
  • Datei-Editor im Backend abschalten, damit ein gekapertes Login nicht direkt Code ändern kann — in der wp-config.php: define('DISALLOW_FILE_EDIT', true);.
  • Bei Google entwarnen: Ist deine Seite in der Search Console unter „Sicherheitsprobleme” markiert, beantragst du dort nach der Bereinigung eine Überprüfung. Erst danach verschwindet die rote Warnung.

Wann du besser zum Profi gehst

Wenn die Seite Umsatz bringt, wenn der Hack tief sitzt (Reinfektion nach jedem Säubern), oder wenn du dir bei wp-config.php und Datenbank unsicher bist: Lass jemanden ran, der das täglich macht. Ein übersehener Backdoor bringt die Infektion in Tagen zurück — dann fängst du von vorn an.

Warum trifft es so oft WordPress?

WordPress läuft auf rund 43 % aller Websites — das macht es zum lohnendsten Ziel für automatisierte Angriffe. Der eigentliche Grund ist aber die Bauweise: Eine WordPress-Seite besteht aus einem PHP-Kern plus oft Dutzenden Plugins von Dritt-Anbietern, jedes mit eigenem Code und eigener Update-Disziplin. Jedes dieser Plugins ist eine mögliche Lücke. Diese große Angriffsfläche — nicht eine Schwäche von WordPress selbst — ist der Hauptweg, über den Seiten kompromittiert werden.

So vermeidest du das künftig

  • Updates zeitnah einspielen, am besten automatisiert für Sicherheits-Releases. Die meisten Hacks nutzen Lücken, für die längst ein Patch existiert.
  • Plugin-Diät: Je weniger Plugins, desto kleiner die Angriffsfläche. Lösch alles, was du nicht aktiv brauchst.
  • Tägliche, externe Backups — auf einem Speicher, den ein gekaperter Server nicht löschen kann.
  • Starke Passwörter plus 2FA und einen Login-Schutz gegen automatisiertes Durchprobieren.
  • Ein Monitoring, das dich beim ersten Anzeichen warnt — nicht erst, wenn der Kunde anruft.

Oder: Schluss mit WordPress-Bränden

Sei ehrlich zu dir: Hack, Bereinigung, Absicherung, der nächste Hack — das ist ein Kreislauf, solange die Angriffsfläche dieselbe bleibt. Und die hängt an der Bauweise. Eine mit Astro gebaute Seite hat schlicht keine: kein PHP, keine Plugins, keine Live-Datenbank und kein Login-Backend, das im Frontend erreichbar wäre. Die Seite wird als fertiges HTML ausgeliefert — es gibt keinen Code-Ausführungspunkt, über den sich Malware injizieren ließe. Genau der Mechanismus, über den WordPress fast immer kompromittiert wird, existiert dort nicht. Wenn du genug davon hast, deine Website abzusichern statt sie zu nutzen: webAION migriert WordPress zu Astro zum Festpreis und übernimmt deine Inhalte → WordPress zu Astro migrieren. Und wenn du gerade einen ganz anderen WordPress-Brand löschst, findest du hier alle WordPress-Fehler im Überblick.

Neue Website geplant?

Eigener Astro-Code statt Baukasten — mieten ab 79 €/Monat oder kaufen ab 1.990 €. Hosting, Wartung und DSGVO inklusive.

Website mieten ab 79 €/Mo Webdesign-Pakete
ROI-Check

Was kostet Sie eine schlechte Website?

Schlechtes Design kostet Vertrauen – und damit Umsatz. Berechnen Sie Ihr Potenzial.

1,000
2.0%

Typisch sind 1% - 3%.

Ihr ungenutztes Potenzial

+0 €

pro Monat durch 30% UX-Optimierung

  • Mehr Anfragen durch klare Call-to-Actions
  • Höhere Sichtbarkeit durch Google-Optimierung
Potenzial heben

Das könnte Sie auch interessieren

WordPress 500 Internal Server Error beheben

HTTP 500 / Interner Serverfehler in WordPress? Die häufigsten serverseitigen Ursachen und ihre Lösung — von .htaccess bis PHP-Version.

Mehr lesen

WordPress: Fehler beim Aufbau der Datenbankverbindung

WordPress meldet „Error establishing a database connection”? Die echten Ursachen und die Schritt-für-Schritt-Lösung — von wp-config bis Datenbank-Reparatur.

Mehr lesen

WordPress kritischer Fehler beheben: 7 Ursachen + Soforthilfe

Kritischer Fehler oder weißer Bildschirm in WordPress? Die 7 häufigsten Ursachen und ihre Lösung im Klartext — plus wann sich der Umstieg auf Astro lohnt.

Mehr lesen