{"id":27807,"date":"2026-01-07T10:13:00","date_gmt":"2026-01-07T09:13:00","guid":{"rendered":"https:\/\/contabo.com\/blog\/wordpress-hacked\/"},"modified":"2026-02-04T08:13:47","modified_gmt":"2026-02-04T07:13:47","slug":"wordpress-hacked","status":"publish","type":"post","link":"https:\/\/contabo.com\/blog\/de\/wordpress-hacked\/","title":{"rendered":"WordPress gehackt? Erkennen, Wiederherstellen & Vorbeugen"},"content":{"rendered":"\n
\"WordPress<\/figure>\n\n\n\n

Die meisten Besitzer sind schockiert, wenn sie feststellen, dass ihr WordPress gehackt wurde. Deine Seite funktioniert an einem Tag noch reibungslos. Am n\u00e4chsten Tag sehen Besucher Warnungen, die Besucherzahlen brechen ein oder du bemerkst ein Admin-Konto, das dir unbekannt ist. Die gute Nachricht ist, dass die Wiederherstellung einfach ist, wenn du schnell handelst und wei\u00dft, was zu tun ist.<\/p>\n\n\n\n

Dieser Guide zeigt dir, wie du die Warnzeichen f\u00fcr ein gehacktes WordPress erkennen, die Infektion eind\u00e4mmen, Malware vollst\u00e4ndig entfernen und deine gehackte WordPress-Seite sicherer machen kannst, damit so etwas nicht noch einmal passiert. Jeder Schritt kann befolgt werden, egal, ob du die Bereinigung selbst durchf\u00fchrst oder jemand anderen damit beauftragst. Los geht’s.<\/p>\n\n\n\n

Anzeichen, dass deine WordPress-Seite gehackt wurde<\/h2><\/div>\n\n\n\n

Das fr\u00fchzeitige Erkennen einer gehackten WordPress-Webseite macht den Unterschied zwischen einer schnellen Bereinigung und einem kompletten Neuaufbau der Webseite aus. Die meisten Angriffe k\u00fcndigen sich nicht durch eine verunstaltete Homepage an. Stattdessen agieren sie unbemerkt im Hintergrund, leiten den Datenverkehr ab oder nutzen deinen Server, um andere Webseiten anzugreifen.<\/p>\n\n\n\n

Unerwartete Weiterleitungen und Pop-ups<\/h3><\/div>\n\n\n\n

Du gehst auf deine Homepage und landest auf einer v\u00f6llig anderen Seite, die in der Regel gef\u00e4lschte Waren oder Schlimmeres verkauft. Manchmal ist die Weiterleitung nur f\u00fcr nicht angemeldete Personen eingerichtet, sodass du sie nicht siehst, wenn du in deinem Admin-Bereich angemeldet bist. \u00d6ffne deine Webseite von einem anderen Ger\u00e4t aus in einem Inkognito-Fenster. Wenn du zu seltsamen URLs weitergeleitet wirst, insbesondere zu Pharma-Spam oder Webseiten f\u00fcr Erwachsene, ist das ein klares Zeichen daf\u00fcr, dass deine WordPress-Seite gehackt wurde.<\/p>\n\n\n\n

Pop-ups, die aus dem Nichts auftauchen – insbesondere solche, nach denen du nicht gefragt hast – sind ein Zeichen f\u00fcr dasselbe Problem. Angreifer f\u00fcgen JavaScript in deine Webseite ein, um diese Anzeigen einzublenden und mit deinen Besuchern Geld zu verdienen.<\/p>\n\n\n\n

Warnungen von Google Safe Browsing<\/h3><\/div>\n\n\n\n

Wenn Google deine Seite kennzeichnet, liefern die Suchergebnisse Warnungen wie „Bei der Webseite besteht Phishing-Verdacht“ oder „Die Webseite enth\u00e4lt sch\u00e4dliche Programme“. Chrome und andere Browser blockieren Besucher m\u00f6glicherweise sogar vollst\u00e4ndig mit einer ganzseitigen Warnung. \u00dcberpr\u00fcfe die Google Search Console. Wenn dort Warnungen zu Sicherheitsproblemen angezeigt werden, bedeutet das, dass Google Malware oder etwas anderes Verd\u00e4chtiges gefunden hat.<\/p>\n\n\n\n

Wenn das geschieht, verschwinden deine \u00fcber Suchen vermittelte Besucher \u00fcber Nacht. Selbst nach der Bereinigung dauert es einige Zeit, bis man von Blacklists wieder entfernt wird. Je fr\u00fcher du handelst, desto weniger Schaden wird dein SEO erleiden.<\/p>\n\n\n\n

Verd\u00e4chtige Admin-Benutzer<\/h3><\/div>\n\n\n\n

Um alle deine Benutzer anzuzeigen, meldest du dich in deinem WordPress-Dashboard an und wechselst zum Reiter „Benutzer“. Suche nach Konten, die du nicht erstellt hast oder von denen du nichts wusstest, insbesondere nach Konten, die \u00fcber Administratorrechte verf\u00fcgen. Hacker erstellen Backdoor-Admin-Konten auf einer WordPress-Seite, damit sie auch nach einer \u00c4nderung deiner Passw\u00f6rter wieder darauf zugreifen k\u00f6nnen. Oft haben diese gef\u00e4lschten Konten generische Benutzernamen wie „admin2“, „support“ oder Zeichenfolgen aus zuf\u00e4lligen Zeichen. L\u00f6sche sofort alle Konten, die nicht dir geh\u00f6ren. Bedenke jedoch, dass dies nur ein Zeichen f\u00fcr Malware ist; du musst auch die tats\u00e4chliche Malware beseitigen.<\/p>\n\n\n\n

Ge\u00e4nderter Webseiteninhalt<\/h3><\/div>\n\n\n\n

Wenn sich deine Seiten und Beitr\u00e4ge \u00e4ndern, ist das ein gutes Zeichen daf\u00fcr, dass deine WordPress-Seite gehackt wurde. Angreifer k\u00f6nnten versteckte Links in deine Inhalte einf\u00fcgen, die Besucher auf gef\u00e4hrliche Seiten weiterleiten, oder sie k\u00f6nnten ganze Seiten umschreiben, um deine Webseite zu besch\u00e4digen oder eine Nachricht zu senden. Im Gegensatz zu pl\u00f6tzlichen Weiterleitungen bleiben Inhalts\u00e4nderungen zun\u00e4chst oft unbemerkt, da sie wie echte Beitr\u00e4ge aussehen.<\/p>\n\n\n\n

Suche in deinen letzten Beitr\u00e4gen und Seiten nach Texten, Links oder Formatierungen, die du nicht hinzugef\u00fcgt hast. Schaue dir den unteren Bereich alter Beitr\u00e4ge genau an, wo Angreifer oft versteckte Affiliate-Links oder unerw\u00fcnschte Weiterleitungen einf\u00fcgen. Wenn du glaubst, dass jemand deine gehackte WordPress-Seite manipuliert hat, \u00fcberpr\u00fcfe den Revisionsverlauf deines Beitrags (klicke auf den Beitrag und scrolle dann nach unten zu „Revisionen“), um zu sehen, was sich ge\u00e4ndert hat und wann. Wenn du \u00c4nderungen bemerkst, an die du dich nicht erinnern kannst, ist das ein Zeichen daf\u00fcr, dass jemand anderes deinen Inhalt ge\u00e4ndert hat.<\/p>\n\n\n\n

Checkliste f\u00fcr die sofortige Eind\u00e4mmung<\/h2><\/div>\n\n\n\n

Wenn du feststellst, dass deine Webseite tats\u00e4chlich gehackt wurde, ist eine schnelle Reaktion f\u00fcr die Wiederherstellung und Beseitigung des WordPress-Hacks von entscheidender Bedeutung. Diese ersten Schritte tragen dazu bei, den Schaden auf ein Minimum zu beschr\u00e4nken, w\u00e4hrend du dich auf eine vollst\u00e4ndige Bereinigung des WordPress-Hacks vorbereitest.<\/p>\n\n\n\n

Aktiviere sofort den Wartungsmodus<\/h3><\/div>\n\n\n\n

Aktiviere den Wartungsmodus, um den \u00f6ffentlichen Zugang zu stoppen. Dies verhindert, dass sich Schadsoftware auf Besucher ausbreitet, und verhindert, dass deiner SEO noch mehr Schaden zugef\u00fcgt wird. Du kannst ein Plugin wie WP Maintenance Mode verwenden oder dein Hosting-Unternehmen bitten, Datenverkehr an eine andere Seite zu leiten, w\u00e4hrend du die gehackte WordPress-Seite reparierst.<\/p>\n\n\n\n

\u00c4ndere alle deine Passw\u00f6rter<\/h3><\/div>\n\n\n\n

\u00c4ndere sofort die Passw\u00f6rter f\u00fcr diese Konten:<\/p>\n\n\n\n

    \n
  1. WordPress-Admin-Konten (alle)<\/li>\n<\/ol>\n\n\n\n
      \n
    1. Hosting-Control Panel (cPanel, Plesk, usw.)<\/li>\n<\/ol>\n\n\n\n
        \n
      1. FTP\/SFTP-Konten<\/li>\n<\/ol>\n\n\n\n
          \n
        1. Datenbankbenutzer<\/li>\n<\/ol>\n\n\n\n
            \n
          1. E-Mail-Konten, die mit deiner Domain verkn\u00fcpft sind<\/li>\n<\/ol>\n\n\n\n

            Verwende einen Passwort-Manager wie 1Password oder Bitwarden, um sichere, einzigartige Passw\u00f6rter zu erstellen, die mindestens 16 Zeichen lang sind und eine Mischung aus Buchstaben, Zahlen und Symbolen enthalten. Angreifer k\u00f6nnen oft mit schwachen Passw\u00f6rtern eindringen und sobald sie deine Zugangsdaten haben, werden sie diese \u00fcberall ausprobieren.<\/p>\n\n\n\n

            Entferne nicht autorisierte Admin-Benutzer<\/h3><\/div>\n\n\n\n

            Um alle deine Benutzer anzuzeigen, melde dich in deinem WordPress-Dashboard an und klicke auf Benutzer. Suche nach Konten, die du nicht erstellt hast, insbesondere nach Konten mit Administratorrechten. Wenn du verd\u00e4chtige Konten siehst, bewege den Mauszeiger dar\u00fcber und l\u00f6sche sie sofort. Dadurch wird verhindert, dass Angreifer ihren Backdoor-Zugriff behalten, w\u00e4hrend du deine gehackte WordPress-Seite reparierst.<\/p>\n\n\n\n

            Deaktiviere alle Plugins und Themes<\/h3><\/div>\n\n\n\n

            \u00d6ffne das Plugins-Men\u00fc und deaktiviere alle Plugins. Gehe dann zu Design – Themes und w\u00e4hle ein Standard-WordPress-Theme wie Twenty Twenty-Four aus. Dadurch bleiben m\u00f6gliche Schwachstellen getrennt, w\u00e4hrend du pr\u00fcfst, welche Erweiterungen gef\u00e4hrdet sein k\u00f6nnten. Um herauszufinden, woher die Infektion kam, schalte sie w\u00e4hrend der Bereinigung des WordPress-Hacks nacheinander wieder ein.<\/p>\n\n\n\n

            Dokumentiere alles, bevor du beginnst<\/h3><\/div>\n\n\n\n

            Mache Screenshots von Fehlern, Verunstaltungen oder seltsamen Aktivit\u00e4ten. Schreibe auf, wann du das Problem zum ersten Mal gesehen hast. Wenn du \u00fcber ein Sicherheits-Plugin verf\u00fcgst, schau dir die Aktivit\u00e4tsprotokolle deines WordPress-Administrators an. Diese Dokumentation zeigt dir den Einstiegspunkt und hilft dir herauszufinden, wie der WordPress-Hack-Recovery-Prozess ablaufen sollte. Es verhindert auch, dass du dich erneut infizieren l\u00e4sst.<\/p>\n\n\n\n

            Auch wenn die Dateien deiner Seite infiziert sind, kannst du mit deinem FTP-Client ein vollst\u00e4ndiges Backup von ihnen herunterladen. Verwende die Exportfunktion in phpMyAdmin, um deine Datenbank herunterzuladen. Lege diese gehackten Kopien an einem anderen Ort ab. Sie k\u00f6nnen dir helfen, den Angriff zu verstehen, aber du solltest sie niemals zur Wiederherstellung verwenden.<\/p>\n\n\n\n

            Warum WordPress-Seiten gehackt werden (h\u00e4ufige Angriffsarten)<\/h2><\/div>\n\n\n\n

            Wenn du wei\u00dft, welche Arten von Angriffen h\u00e4ufig vorkommen, kannst du verhindern, dass WordPress-Hacks erneut passieren. Die meisten Hacks sind nicht sehr kompliziert; sie sind einfach automatisierte Bots, die nach bekannten L\u00f6chern in Millionen von Seiten suchen.<\/p>\n\n\n\n

            Brute-Force-Anmeldeangriffe<\/h3><\/div>\n\n\n\n

            WordPress-Hacker-Bots probieren Tausende verschiedener Benutzername\/Passwort-Paare gegen wp-login.php aus, bis sie das richtige finden. Sie zielen auf h\u00e4ufige Benutzernamen wie „admin“ ab und verwenden Listen von geleakten Passw\u00f6rtern aus anderen Sicherheitsverletzungen. Menschen verwenden Passw\u00f6rter immer wieder und bleiben bei den Standardeinstellungen, wodurch diese Angriffe erfolgreich sein k\u00f6nnen.<\/p>\n\n\n\n

            Veraltete Plugins und Themes<\/h3><\/div>\n\n\n\n

            Viele WordPress-Sicherheitsl\u00fccken entstehen durch Plugins, nicht durch WordPress selbst. Wenn Entwickler eine Sicherheitsl\u00fccke finden, ver\u00f6ffentlichen sie ein Update. Diese Ank\u00fcndigung sagt WordPress-Hackern allerdings auch, wie sie noch nicht aktualisierte Webseiten angreifen k\u00f6nnen.<\/p>\n\n\n\n

            Die schlimmsten \u00dcbelt\u00e4ter sind veraltete Plugins, die nicht mehr aktualisiert werden. Es ist wahrscheinlich, dass ein Plugin viele ungepatchte Sicherheitsl\u00fccken aufweist, wenn es seit mehr als zwei Jahren nicht aktualisiert wurde. Personen, die ung\u00fcltige (raubkopierte) Premium-Plugins geknackt haben, bauen oft absichtlich Backdoors ein.<\/p>\n\n\n\n

            Schwachstellen in der SQL-Injection<\/h3><\/div>\n\n\n\n

            Schlecht codierte Plugins bereinigen Datenbankabfragen nicht ordnungsgem\u00e4\u00df. Angreifer schleusen b\u00f6sartige SQL-Befehle \u00fcber Formularfelder, URL-Parameter oder Suchfelder ein. Bei Erfolg k\u00f6nnen sie deine gesamte Datenbank extrahieren, neue Administratorbenutzer erstellen oder den Inhalt deiner Webseite \u00e4ndern.<\/p>\n\n\n\n

            Modernes WordPress verwendet vorbereitete Statements, um dies zu verhindern, aber Plugins von Drittanbietern folgen m\u00f6glicherweise nicht den Best Practices. Aus diesem Grund ist die Codequalit\u00e4t bei der Auswahl von Erweiterungen wichtig.<\/p>\n\n\n\n

            Cross-Site Scripting (XSS) <\/h3><\/div>\n\n\n\n

            XSS-Angriffe nutzen Kommentarformulare, Benutzerprofile oder jedes Feld, das Benutzereingaben ohne entsprechende Filterung anzeigt, um JavaScript zu deiner Webseite hinzuzuf\u00fcgen. Dieser sch\u00e4dliche Code wird dann in den Browsern der Besucher der Webseite ausgef\u00fchrt, wodurch Sitzungscookies gestohlen oder an Phishing-Webseiten gesendet werden k\u00f6nnen.<\/p>\n\n\n\n

            Gespeichertes XSS ist besonders gef\u00e4hrlich, da das fehlerhafte Skript in deiner Datenbank gespeichert wird und jeden betrifft, der diesen Inhalt sieht. Der Wordfence-Jahresbericht zur WordPress-Sicherheit<\/a> sagt, dass XSS 2024 die h\u00e4ufigste Schwachstelle war, die etwa die H\u00e4lfte aller \u00f6ffentlich gemachten WordPress-Sicherheitsanf\u00e4lligkeiten ausgemacht hat.<\/p>\n\n\n\n

            Datei-Upload-Schwachstellen<\/h3><\/div>\n\n\n\n

            Angreifer k\u00f6nnen PHP-Backdoors hochladen, die wie Bilder aussehen, wenn Upload-Formulare die Dateitypen nicht korrekt pr\u00fcfen. Eine Datei mit dem Namen „photo.jpg.php“ k\u00f6nnte einfache \u00dcberpr\u00fcfungen umgehen. Nachdem der Angreifer die Datei in ein \u00f6ffentliches Verzeichnis hochgeladen hat, fordert er sie direkt an und sie wird auf deinem Server ausgef\u00fchrt, sodass er die volle Kontrolle hat.<\/p>\n\n\n\n

            Schritt-f\u00fcr-Schritt: So bereinigst du eine gehackte WordPress-Seite<\/h2><\/div>\n\n\n\n

            Die manuelle Bereinigung erfordert technisches Vertrauen, ist aber der umfassendste Ansatz. Befolge diese Schritte, um eine gehackte WordPress-Seite zu bereinigen, und du wirst im Handumdrehen wieder live gehen k\u00f6nnen.<\/p>\n\n\n\n

            Scanne und identifiziere WordPress-Malware<\/h3><\/div>\n\n\n\n

            Identifiziere alle infizierten Dateien, bevor du etwas entfernst. Installiere ein Sicherheits-Plugin wie Wordfence Security (kostenlose Version ist ausreichend), wenn dein Dashboard noch zug\u00e4nglich ist. F\u00fchre einen vollst\u00e4ndigen Scan durch und \u00fcberpr\u00fcfe die Ergebnisse sorgf\u00e4ltig. Wordfence vergleicht deine Dateien mit sauberen Versionen aus dem WordPress-Repository und markiert alles, was nicht \u00fcbereinstimmt.<\/p>\n\n\n\n

            Ein WordPress-Virus versteckt sich oft an Stellen, die erste Scans \u00fcbersehen. Lade den kostenlosen SiteCheck-Scanner von Sucuri oder VirusTotal herunter, um eine zweite Meinung zu bekommen. Suche in Hauptverzeichnissen nach Base64-codierten Zeichenfolgen, eval()-Funktionen und verd\u00e4chtig benannten Dateien. Wenn dein WordPress-Malware-Scan-Ergebnis sauber ist, kannst du mit der Entfernung beginnen.<\/p>\n\n\n\n

            Entferne b\u00f6swillige Benutzer, Backdoors und Dateien<\/h3><\/div>\n\n\n\n

            Um Malware aus WordPress zu entfernen, stelle zun\u00e4chst eine Verbindung \u00fcber SFTP (FileZilla oder \u00e4hnliches) her. Gehe zu wp-content\/uploads\/ und suche nach .php-Dateien. In einem typischen WordPress-Setup sollten Uploads kein ausf\u00fchrbares PHP enthalten. Betrachte daher alle dort vorhandenen .php-Dateien als verd\u00e4chtig, wenn du WordPress-Malware entfernen m\u00f6chtest. Wenn du auf Nummer sicher gehen willst, lade eine Kopie zur \u00dcberpr\u00fcfung herunter und l\u00f6sche sie dann.<\/p>\n\n\n\n

            Als n\u00e4chstes ersetze die WordPress-Kerndateien:<\/p>\n\n\n\n