Wähle einen Artikel
WordPress gehackt? Erste Hilfe
Das grosse WordPress Tutorial
WordPress-Sicherheit
WordPress gehackt? Erste Hilfe

WordPress gehackt? Erste Hilfe

Niemand möchte E-Mails mit folgendem Inhalt erhalten: «Ihre WordPress-Seite wurde gesperrt. Grund: Es wurde Schadcode eingeschleust. Bitte entfernen Sie diesen umgehend.» Solche Nachrichten muss leider auch das METANET-Supportteam regelmässig versenden, denn gehackte WordPress-Seiten sind keine Seltenheit. In diesem Beitrag erfahren Sie, wie Sie Ihre WordPress-Website in wenigen Schritten bereinigen und wieder zum Laufen bringen. Also: keine Panik, tief durchatmen – und ran an die Seite!

Inhaltsverzeichnis
  1. Wie erkenne ich, dass meine WordPress-Seite gehackt wurde?
  2. Schritt 1: Stellen Sie Ihre WordPress-Seite offline
  3. Schritt 2: Sichern Sie die Beweise
  4. Schritt 3: Trojaner-Scan
  5. Schritt 4: Ändern Sie alle Passwörter
  6. Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt
  7. Schritt 6: Jetzt WordPress neu installieren
  8. Schritt 7: Entsperren Sie Ihre WordPress-Website
  9. Sicher­heits­tipps für die Zukunft

WordPress Hosting von METANET

Erschaffen Sie sich mit WordPress Ihre Website schnell selbst. Freuen Sie sich über die pfeilschnelle Ladezeit Ihrer neuen Website.

WordPress Hosting

Wie erkenne ich, dass meine WordPress-Seite gehackt wurde?

Natürlich prüfen Webhoster wie METANET regelmässig die Kundenserver auf Malware. Und wenn dabei Auffälligkeiten entdeckt werden, wird das Verzeichnis beziehungsweise die infizierte Anwendung automatisch gesperrt. Anschliessend erhalten die betroffenen Kundinnen und Kunden eine E-Mail mit einer Information dazu und der Bitte, sich umgehend um das Problem zu kümmern.

Ausser der E-Mail von METANET können Sie an folgenden Indizien erkennen, dass Ihre Website von einem Hacker angegriffen wurde:

  • Umlaute und Sonderzeichen: Die Website ist nur noch schwer zu lesen, weil Umlaute und Sonderzeichen nicht mehr richtig dargestellt werden. Insgesamt sehen die Texte recht kryptisch aus.
  • «Hacked by»: Beim Login in das Dashboard Ihrer WordPress-Installation sehen Sie den Hinweis «hacked by …».
  • Spuren des Eindringlings: Oft hinterlassen Hacker auch in den Meta-Angaben der Seite ihre Spuren.

Sobald Sie eines dieser Anzeichen bei Ihrer WordPress-Website bemerken: Lassen Sie am besten alles andere liegen und kümmern Sie sich umgehend darum, um den Schaden zu begrenzen. Nachfolgend zeigen wir Ihnen, was Sie dann tun sollten.

Schritt 1: Stellen Sie Ihre WordPress-Seite offline

Warum werden Websites gehackt? Zum Beispiel, um über kompromittierte Seiten Spam zu versenden oder Schadcode zu verteilen. Wer kann Opfer eines solchen Angriffs werden? Jede und jeder – unabhängig davon, ob es sich um eine kleine neue Site oder ein bekanntes Projekt handelt. Meist haben Angreifer keine bestimmte Website im Visier, sondern zielen auf eine möglichst breite Verbreitung ihrer Malware ab. Genau dafür greifen sie Websites mit Sicherheitslücken an.

Falls Ihr Provider Ihre WordPress-Website nicht bereits offline gestellt hat, sollten Sie das sofort nach Entdeckung der Infektion selbst tun. Handeln Sie umgehend: Als Domain-Inhaberin bzw. -Inhaber sind Sie für mögliche Folgeschäden verantwortlich (etwa wenn personenbezogene Daten abhandenkommen). Im Ernstfall müssen Sie nachweisen, dass Sie ohne schuldhaftes Zögern reagiert haben. Daher: Website sofort vorübergehend sperren, sobald Sie Auffälligkeiten bemerken.

Auch Google nimmt betroffene Seiten aus Sicherheitsgründen schnell aus dem Index, damit andere Nutzende nicht in Mitleidenschaft gezogen werden. Dem beugen Sie vor, indem Sie Ihre Website vorübergehend selbst für die Öffentlichkeit sperren.

Seite selber sperren per Plugin

Wenn Sie noch Zugang zum Admin-Bereich haben, ist ein Wartungsmodus-Plugin die schnellste und einfachste Lösung. Installieren und aktivieren Sie zum Beispiel «LightStart – Maintenance Mode (WP Maintenance Mode)». Damit schalten Sie den Wartungsmodus mit wenigen Klicks und können bei Bedarf einen 503-Status senden. Alternativ eignet sich auch «Maintenance». Sobald der Wartungsmodus aktiv ist, sehen Besuchende nur noch einen Wartungshinweis.

Geben Sie in dieser Phase möglichst wenige Details zum Vorfall preis, um den Ruf Ihrer Website nicht zu beeinträchtigen, und konzentrieren Sie sich auf die eigentliche Bereinigung.

Nachtlicher Himmel mit Vollmond, Wolken und weißen Wolkensymbolen; zentrales Logo aus Zahnrad und Schraubenschlüssel.
Im Wartungsmodus: Ein entsprechendes Plugin ist die schnellste Lösung, um gehackte Seiten zu sperren. Screenshot: S. Cantzler

Schritt 2: Sichern Sie die Beweise

Vielleicht klingt das im ersten Moment etwas ungewöhnlich, dennoch sollten Sie unbedingt ein Backup der gehackten WordPress-Website inklusive Datenbank anlegen. Warum? Ganz einfach: Damit Sie Beweise sichern können, falls Sie den Hackerangriff später anzeigen oder Schadenersatzansprüche geltend machen möchten.

Achten Sie darauf, die Sicherung nicht auf Ihrem lokalen Rechner zu speichern, sondern am besten auf einem externen Speichermedium – isoliert von anderen Dateien.

Schritt 3: Trojaner-Scan

Im nächsten Schritt prüfen Sie, ob nicht nur Ihre WordPress-Website, sondern auch Ihr eigener Rechner kompromittiert wurde. Falls ja, hat der Angreifer vermutlich auf diesem Weg Passwörter ausgespäht. Aktualisieren Sie zuerst Ihr Virenschutzprogramm und führen Sie anschliessend einen vollständigen Scan durch, um Trojaner und andere Schadsoftware zu finden und gegebenenfalls zu entfernen. So stellen Sie sicher, dass der Angreifer nicht unmittelbar wieder an neue Zugangsdaten gelangt.

Dafür bietet der ECO-Verband der Internetwirtschaft dir kostenlose Programme an, mit denen Sie unterschiedliche Schadware vom Rechner entfernen können.

Schritt 4: Ändern Sie alle Passwörter

Sie können nicht sicher sein, ob der Angreifer Ihre Passwörter ausgespäht hat – und wenn ja, welche. Daher sollten Sie alle Passwörter ändern, damit Unbefugte keinen Zugriff mehr haben.

Sie sollten auf jeden Fall diese Zugangsdaten ändern:

  • die Passwörter der WordPress-Benutzer
  • die FTP-Passwörter und gegebenenfalls den SSH-Zugang
  • die Passwörter Ihrer MySQL-Datenbanken
  • Ihre Webhosting-Passwörter
  • Ihre E-Mail-Passwörter

Wie Sie Ihre Passwörter am besten verwalten, erfahren Sie in diesem Beitrag: Tipps für ein sicheres Passwort

Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt

Nun beginnt die meist mühsame Spurensuche: Sie müssen versuchen, den Angriff zu lokalisieren. Denken Sie dabei wie ein Detektiv: Kam der Angriff über den WordPress-Core (also über eine Sicherheitslücke in WordPress selbst), über ein Theme oder über ein Plugin?

Sie haben zwei Möglichkeiten: Starten Sie die Suche manuell oder automatisiert. Für die manuelle Suche benötigen Sie viel Erfahrung und Zeit. Dabei prüfen Sie Dateien und Verzeichnisse auf auffällige Muster oder geänderte Änderungsdaten. Häufig sind beispielsweise Dateien wie die index.php im Root-Verzeichnis oder die header.php im Theme-Ordner verändert und mit Schadcode versehen.

Deutlich einfacher sind automatische Malware-Scans, die Sie mit einem Plugin durchführen können (z. B. Wordfence Security oder Sucuri Security). 

Wenn Sie Malware gefunden haben, sollten Sie diese umgehend entfernen. Anschliessend müssen die Sicherheitslücken geschlossen werden – etwa durch regelmässige Updates und sichere Passwörter.

Mit den Premium Services von METANET unterstützen wir Sie ausserdem zuverlässig bei der Analyse von Funden, der Behebung von Fehlern sowie der Bereinigung von Schadcode in Ihrer WordPress-Installation. 

Das sollten Sie wissen: Warum sind Hacker oft erfolgreich? Weil Website-Betreiberinnen und -Betreiber häufig zu bequem sind. Selbst grundlegende Sicherheitsmassnahmen wie regelmässige Aktualisierungen von Plugins oder Themes werden nicht konsequent umgesetzt. Für viele Premium-Themes gibt es beispielsweise keine automatischen Updates – diese müssen manuell vorgenommen werden. Oft sind auch in Themes enthaltene Plugins veraltet und stellen dadurch ein Sicherheitsrisiko dar.

Wichtig ist zudem, dass Sie keine unsicheren Passwörter wie «12345» oder «Admin» verwenden. Solche Kombinationen sind leicht zu knacken. Also: Aktualisieren Sie Ihre Website regelmässig und verwenden Sie sichere Passwörter!

Sicherheitslücken treten am häufigsten bei Plugins und Themes auf, während sie beim WordPress-Core selbst sehr selten sind. In diesen Fällen reagiert die WordPress-Community in der Regel schnell. Entscheidend ist jedoch, dass Sie Updates und Sicherheits-Patches konsequent einspielen.

Schritt 6: Jetzt WordPress neu installieren

Abhängig davon, an welcher Stelle der Angriff erfolgt ist, kann es mitunter ausreichen, den WordPress-Core erneut aufzuspielen. In diesem Fall müssen Sie Ihren Content nicht via Backup zurückspielen. Gehen Sie so vor: Laden Sie die Verzeichnisse wp-admin und wp-includes sowie die übrigen Core-Dateien im WordPress-Root aus einem sauberen WordPress-Download neu hoch (lassen Sie wp-content und die wp-config.php unangetastet).

Wenn Sie unsicher sind, ob die Neuinstallation des Cores ausreicht, bereinigen Sie den Webspace konsequent und spielen Sie WordPress inklusive Theme und Plugins aus frischen Originalquellen neu auf. Ihre Inhalte übernehmen Sie nur aus geprüften Backups (Uploads/Medien sorgfältig kontrollieren). Zwar fällt dieser Schritt schwer, erspart Ihnen aber oft viel Ärger: Angreifer hinterlassen häufig gut getarnte Backdoor-Skripte, um sich später erneut Zugriff zu verschaffen. Mit einer vollständigen Bereinigung und Neuinstallation sind Sie davor besser geschützt.

Oranger Bereich links mit UpdraftPlus-Logo, Pfeil nach rechts zu weißem Bereich mit Icons (FTP, Box, Amazon, Mail); schwarzer Banner unten.
Das UpdraftPlus WordPress Backup Plugin ermöglicht vollständige Backups - manuell oder geplant. Die Sicherung erfolgt unter anderem via Dropbox, Google Drive, Rackspace, FTP, SFTP oder E-Mail. Screenshot: S. Cantzler

Wichtig: Das Backup Ihrer Website sollte aus der Zeit vor dem Hackerangriff stammen. Bei Webhosting-Paketen von METANET erfolgt ein Backup automatisch und regelmässig. Aus Sicherheitsgründen sollten Sie jedoch zusätzlich eigene Backups Ihrer WordPress-Website erstellen und diese separat speichern. Hilfe bieten hierfür Plugins wie UpdraftPlus WordPress Backup Plugin.

Sie haben kein sicheres Backup zur Verfügung? Dann bleibt Ihnen leider nichts anderes übrig, als alle Inhalte inklusive Datenbanken und Bildern vollständig neu aufzuspielen.

Schritt 7: Entsperren Sie Ihre WordPress-Website

Sie haben alle Erste-Hilfe-Schritte erledigt, keine Malware ist mehr zu finden und die Website läuft wieder stabil? Dann können Sie die Sperre aufheben.

Wurde Ihre Website durch den Provider gesperrt, melden Sie sich beim Support und informieren Sie, dass der Schadcode entfernt wurde. Haben Sie die Seite selbst offline genommen, gehen Sie wie folgt vor: Deaktivieren Sie das Wartungsmodus-Plugin oder heben Sie Ihre eigene Sperre – zum Beispiel den Verzeichnisschutz – auf.

Anschliessend sollten Sie bei Google eine erneute Überprüfung beantragen, damit Ihre Website wieder in den Index aufgenommen wird. Öffnen Sie dazu die Google Search Console, prüfen Sie allfällige Sicherheitsmeldungen und starten Sie die Überprüfung.

Damit ist die Wiederherstellung abgeschlossen.

Sicher­heits­tipps für die Zukunft

Zum Schluss noch ein paar kurze Sicherheitstipps, damit es Angreifer auf Ihrer WordPress-Website künftig schwer haben:

  • Verwenden Sie sichere Passwörter (mindestens 8 Zeichen, Kombination aus Gross- und Kleinbuchstaben, Ziffern und Sonderzeichen).
  • Nutzen Sie keine generischen Benutzernamen: Namen wie «Admin» oder E-Mail-Adressen sind für Angreifer eine Einladung. Wählen Sie stattdessen einen individuellen Benutzernamen. Gehen Sie dazu in Ihr WordPress-Dashboard, klicken Sie auf «Benutzer» und anschliessend auf «Neu hinzufügen». Legen Sie einen neuen, sicheren Benutzernamen an und weisen Sie ihm die Rolle «Administrator» zu.
  • Ändern Sie die URL für den WordPress-Login: Den Standardpfad /wp-admin/ können Sie mit einem geeigneten Plugin individuell anpassen.
  • Richten Sie einen Verzeichnisschutz für den Administrationsbereich ein.
  • Sorgen Sie für regelmässige Backups, die auf einem separaten Speichermedium abgelegt werden.
  • Scannen Sie Ihre Website in regelmässigen Abständen auf Malware – dabei helfen passende Plugins, zum Beispiel Wordfence.
  • Grundsatz bei Plugins: so viel wie nötig, aber so wenig wie möglich.

Mit dieser Erste-Hilfe-Anleitung sollten Sie einen Angriff auf Ihre WordPress-Website zügig beseitigen können. Wichtig ist, dass Sie bei der Malware-Suche gründlich vorgehen und Ihr WordPress stets auf dem aktuellen Stand halten.

Superschnelles WordPress-Hosting

Erschaffe dir mit WordPress deine Website schnell selbst. Freu dich über die pfeilschnelle Ladezeit deiner neuen Website und die vielen Inklusiv-Tools werden dich begeistern.
Zum WordPress-Hosting
Weitere passende Themen
Geometrische Linienzeichnung: links ein rhombusförmiges Symbol mit horizontaler Linie darunter; rechts eine Tropfenform.
5 Artikel
Themes und Design bei WordPress einrichten
Offenes Buch-Symbol mit zwei Seiten und kurzen Linien, schwarze Konturen auf hellgrauem Hintergrund.
10 Artikel
Einführung in die WordPress Oberfläche