WordPress gehackt? Dein eiskalter Notfallplan für 2026

Schweiß auf der Stirn, Herzrasen. Deine Webseite, dein digitales Herzstück, ist offline, verunstaltet oder – schlimmer noch – als Virenschleuder markiert. Wenn deine WordPress-Seite gehackt wurde, zählt jede Sekunde. Wegschauen ist keine Option, denn das Problem wird nur größer. Atme tief durch. Das hier ist dein Schlachtplan.

Vergiss die blumigen Anleitungen, die dich mit Fachchinesisch erschlagen. Wir reden Klartext. Du brauchst jetzt keine Theorie, sondern eine knallharte To-do-Liste. Eine, die funktioniert. Hier ist sie.

Alarmstufe Rot: Die 5 untrüglichen Zeichen, dass deine Seite gehackt wurde

Nicht jeder Fehler ist ein Hack. Aber wenn du eines dieser Symptome bemerkst, ist die Kacke am Dampfen. Ignorier das nicht. Niemals.

1. Deine Seite ist eine digitale Geisterstadt (Defacement)

Der Klassiker. Du rufst deine URL auf und siehst statt deiner Inhalte eine fremde Botschaft, wirre Zeichen oder politische Parolen. Manchmal ist die Seite auch einfach weiß. Das ist kein Server-Schluckauf, das ist ein Einbruch. Jemand hat die Kontrolle übernommen und tanzt auf deinem digitalen Grab.

2. Google hat dich auf die schwarze Liste gesetzt

Wenn Google deine Seite in den Suchergebnissen mit „Diese Website wurde möglicherweise gehackt“ markiert, ist das Kind bereits in den Brunnen gefallen. Deine Seite verteilt wahrscheinlich WordPress Malware. Dein SEO-Ranking ist im freien Fall und deine Besucher werden aktiv blockiert. Du bist digital vogelfrei. Handeln. Jetzt.

3. Deine Besucher landen im digitalen Nirwana

Du oder deine Nutzer werden beim Aufruf deiner Seite auf dubiose Pharma-Shops, Porno-Seiten oder andere zwielichtige Angebote weitergeleitet. Das ist ein klares Zeichen, dass jemand die Kontrolle über deine .htaccess-Datei oder JavaScript-Dateien übernommen hat und deine Besucher als Ware verkauft.

4. Unbekannte Mitbewohner in deinem WordPress-Backend

Du loggst dich ein und siehst im Benutzer-Menü neue Administratoren mit seltsamen Namen? Das ist, als hätte ein Einbrecher nicht nur deine Tür geknackt, sondern sich gleich einen Nachschlüssel gemacht und wohnt jetzt mietfrei in deinem System. Lösche diese Konten nicht einfach nur – das reicht nicht. Der Hacker ist schon längst tiefer drin.

5. Dein Hoster droht mit der Kündigung

Wenn dein Webhosting-Provider dich kontaktiert und mit der Sperrung deines Accounts droht, weil von deinem Server aus Spam-Mails versendet werden oder Phishing-Seiten gehostet werden, bist du nicht mehr nur Opfer, sondern Täter. Dein Server ist Teil eines Bot-Netzwerks geworden und du bist der Mittelsmann für kriminelle Aktivitäten.

Der 5-Minuten-Notfallplan: Was du SOFORT tun musst

Okay, keine Zeit zu verlieren. Bevor du irgendetwas anderes tust, mach das hier. In genau dieser Reihenfolge. Keine Ausreden.

Schritt 1: Verbrenne alle Passwörter

Und ich meine ALLE. Nicht nur dein WordPress-Admin-Passwort. Denk an:

• Alle WordPress-Benutzer: Jeder einzelne Account.
• FTP-Zugang: Das Passwort für die direkte Verbindung zu deinem Webspace.
• Hosting-Kundenbereich: Das Login zu deinem Provider (Plesk, cPanel etc.).
• Datenbank-Passwort: Das findest du in deiner wp-config.php.

Nutze einen Passwort-Manager und generiere komplexe, einzigartige Passwörter. Mindestens 16 Zeichen, Sonderzeichen, Zahlen, Groß- und Kleinschreibung. Alles andere ist ein schlechter Witz und eine Einladung für den nächsten Angriff.

Schritt 2: Zieh den Stecker – Wartungsmodus jetzt!

Du musst verhindern, dass weitere Besucher oder Google-Bots mit der kompromittierten Seite interagieren. Installiere schnell ein Wartungsmodus-Plugin wie „WP Maintenance Mode“ oder, noch besser, erstelle eine statische index.html im Hauptverzeichnis deines Webspaces mit einer kurzen Info. Das nimmt die infizierte WordPress-Installation vom Netz, während du im Hintergrund die Sauerei aufräumst.

Schritt 3: Die Stunde der Wahrheit – dein Backup

Das ist der Moment, in dem sich zeigt, ob du Profi oder Amateur bist. Hast du ein sauberes, aktuelles Backup von VOR dem Hack? Wenn ja, bist du auf dem besten Weg zur Rettung. Wenn nicht, wird es schmerzhaft, teuer und du kannst dir schon mal überlegen, wie du deinen Kunden erklärst, dass ihre Daten weg sind. Ein gutes Backup ist deine Lebensversicherung. Ohne fängst du bei Null an.

Die Operation am offenen Herzen: So entfernst du den WordPress Hack

Jetzt geht’s ans Eingemachte. Das ist keine 5-Minuten-Aufgabe. Das ist Arbeit. Aber sie muss gemacht werden. Also, Ärmel hoch.

1. Finde das verdammte Leck (Infektionsherd)

Ein Hack passiert nicht einfach so. Er hat eine Ursache. Meistens ist es eine dieser WordPress Sicherheitslücken:

• Veraltete Plugins oder Themes: Das ist die Autobahn für Hacker. Jedes veraltete Stück Code ist ein potenzielles Einfallstor.
• Schwache Passwörter: „Admin123“ ist kein Passwort, es ist eine Einladung mit rotem Teppich.
• Nulled Themes/Plugins: Geklaute Premium-Themes von dubiosen Quellen sind zu 99 % mit Backdoors verseucht. Wer hier spart, zahlt am Ende drauf. Pech gehabt.

Nutze einen Security-Scanner wie Wordfence oder Sucuri, um die infizierten Dateien zu finden. Die kostenlosen Versionen helfen schon mal, einen Überblick zu bekommen.

2. Radikalkur: WordPress-Core, Plugins und Themes neu aufsetzen

Lösche nicht einfach nur die verdächtigen Dateien. Du weißt nie, wo sich der Schadcode noch versteckt hat. Mach es richtig:

1. WordPress-Core ersetzen: Lade die neueste WordPress-Version von wordpress.org herunter. Entpacke sie und lösche auf deinem Server die Verzeichnisse /wp-admin und /wp-includes. Lade dann die neuen, sauberen Versionen hoch. Wichtig: Die wp-config.php und das /wp-content-Verzeichnis lässt du in Ruhe!
2. Plugins neu installieren: Lösche alle Plugin-Verzeichnisse unter /wp-content/plugins. Installiere sie dann über das WordPress-Backend sauber aus dem offiziellen Verzeichnis neu.
3. Themes neu installieren: Das Gleiche gilt für deine Themes unter /wp-content/themes. Ersetze sie durch frische Versionen vom Entwickler.

3. Hausdurchsuchung: wp-config.php und .htaccess filzen

Diese beiden Dateien sind beliebte Ziele. Schau dir die wp-config.php genau an. Sind dort seltsame Code-Zeilen, die du nicht kennst? Vergleiche sie mit der wp-config-sample.php. In der .htaccess-Datei suchen Hacker oft nach Möglichkeiten, Weiterleitungen einzubauen. Im Zweifel: Lösche den Inhalt und speichere die Permalinks in WordPress neu, um eine saubere .htaccess zu generieren.

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

4. Die Datenbank-Desinfektion

Auch hier kann sich Schadcode verstecken, oft in der wp_posts-Tabelle (in Form von schädlichen JavaScripts) oder in der wp_options-Tabelle. Suche nach verdächtigen Einträgen, die auf fremde Domains verweisen. Das ist mühsam und erfordert SQL-Kenntnisse. Im Zweifel: Hol dir einen Profi, bevor du alles kaputt machst.

Nie wieder Opfer: Mach deine WordPress Seite zur Festung

Einmal gehackt, immer gefährdet? Bullshit. Aber nur, wenn du deine Lektion gelernt hast. Sicherheit ist kein Zustand, sondern ein Prozess. Ein täglicher Kampf.

1. Update-Disziplin wie ein Elitesoldat

Ich kann es nicht oft genug sagen. Halte WordPress, deine Plugins und Themes IMMER aktuell. Aktiviere Auto-Updates, wo es nur geht. Jedes Update schließt potenzielle WordPress Sicherheitslücken. Keine Ausreden, keine Verzögerungen.

2. Passwörter aus Stahl & die digitale doppelte Tür (2FA)

Wir hatten das schon. Aber es ist so wichtig. Nutze eine WordPress Firewall und aktiviere die Zwei-Faktor-Authentifizierung (2FA). Damit kommt niemand mehr mit einem geklauten Passwort in dein Backend. Selbst wenn sie es haben.

3. Türsteher für dein Login: Brute-Force-Schutz

Ein simples, aber effektives Mittel gegen Brute-Force-Angriffe. Nach drei falschen Login-Versuchen wird die IP für eine bestimmte Zeit gesperrt. Das können die meisten Security-Plugins. Ein digitaler Türsteher, der die Idioten draußen hält.

4. Schluss mit Billig-Hosting – investiere in ein sicheres Fundament

Billig-Hosting für 1 € im Monat ist am falschen Ende gespart. Ein guter Hoster bietet serverseitige Sicherheits-Features, regelmäßige Malware-Scans und schnelle Hilfe im Notfall. Dein Hosting ist das Fundament deiner Sicherheit. Ist das Fundament marode, bricht das ganze Haus zusammen. Wir bei Mikas.at nehmen das ernst und bieten dir eine sichere Umgebung für deine Projekte.

Keine Zeit für den Scheiß? Wenn der Profi ran muss.

Ganz ehrlich: Eine WordPress Seite zu säubern, die gehackt wurde, ist stressig, zeitaufwendig und erfordert technisches Know-how. Wenn du beim Lesen dieses Artikels nur Bahnhof verstanden hast oder einfach Besseres zu tun hast, als dich mit PHP-Dateien und Datenbanken herumzuschlagen, dann hol dir Hilfe. Sofort.

Jede Stunde, die deine Seite offline oder kompromittiert ist, kostet dich Geld, Kunden und Reputation. Ein Profi erledigt das in einem Bruchteil der Zeit und stellt sicher, dass der Mist wirklich weg ist – und auch weg bleibt.

Du hast keine Nerven für diesen Kampf? Musst du auch nicht. Wir bei Mikas.at übernehmen das für dich. Wir säubern deine gehackte WordPress-Seite, schließen die Sicherheitslücken und sorgen mit unserer professionellen WordPress-Wartung dafür, dass so etwas nie wieder passiert. Kontaktiere uns jetzt – bevor der Schaden noch größer wird und dein Business den Bach runtergeht.

Fazit: Aus Schaden klug werden. Oder untergehen.

Ein WordPress Hack ist ein Weckruf. Er zeigt dir auf die harte Tour, wo du geschlampt hast. Sieh es als teure, aber wertvolle Lektion. Wenn du die Schritte in diesem Guide befolgst und vor allem die Präventionsmaßnahmen ernst nimmst, wird deine Seite danach sicherer sein als je zuvor. Also, krempel die Ärmel hoch. Es ist Zeit, deinen digitalen Raum zurückzuerobern. Oder geh unter. Deine Entscheidung.

Wenn du Unterstützung benötigst, kannst du dich jederzeit per E-Mail an hello@mikas.at wenden.