← Zurück zum Blog

Veröffentlicht: 23. Februar 2026

Deine WordPress-Seite wurde gehackt. Das musst du jetzt tun – in den nächsten 24 Stunden.

Du hast gerade herausgefunden, dass deine WordPress-Seite gehackt wurde. Vielleicht zeigt Google eine rote Warnung „Täuschende Website” an. Vielleicht leitet deine Startseite auf eine Spam-Seite weiter, die gefälschte Sonnenbrillen verkauft. Vielleicht hast du Admin-Konten entdeckt, die du nicht angelegt hast.

Was auch immer das Symptom ist – tief durchatmen. Das ist ernst zu nehmen, aber es lässt sich beheben. Ich habe in 15 Jahren hunderte gehackte WordPress-Seiten bereinigt. Die Situation fühlt sich schlimmer an, als sie ist – solange du schnell handelst und die Sache nicht zuerst noch verschlimmerst.

Dieser Leitfaden ist für dich – als Unternehmer – geschrieben, nicht für Entwickler. Kein Fachjargon. Kein „Verbinde dich per SFTP und ersetze wp-config.php.” Nur klare Schritte in verständlicher Sprache.

Zuerst: Was du NICHT tun solltest

Bevor du irgendetwas unternimmst – vermeide diese Fehler. Ich sehe sie jede Woche.

Lösch nicht einfach die Seite und fang von vorne an. Deine Inhalte, deine SEO-Rankings, deine Kundendaten – das alles ist wertvoll. Eine Bereinigung bewahrt, was du aufgebaut hast. Von null anzufangen bedeutet, es wegzuwerfen.

Ändere nicht in Panik alle Passwörter. Ja, Passwörter müssen geändert werden – aber noch nicht. Wenn ein Backdoor auf deiner Seite vorhanden ist (was wahrscheinlich der Fall ist), ändert das Passwortänderungen nichts. Der Angreifer kommt einfach wieder rein. Passwörter kommen nach der Bereinigung.

Installiere nicht fünf Sicherheits-Plugins auf einmal. Mehr Plugins helfen jetzt nicht. Die Seite ist bereits kompromittiert. Zusätzliche Plugins erschweren die Bereinigung und verlangsamen die Seite noch weiter.

Bezahl nicht die erste Person, die dir per DM anbietet, das für 50 € zu beheben. Billige Bereinigungen übersehen Backdoors. Du wirst in 2–3 Wochen wieder gehackt. Ich habe Seiten bereinigt, die vorher schon dreimal von verschiedenen Leuten „gereinigt” worden waren.

Die ersten 30 Minuten

Das ist jetzt zu tun – in dieser Reihenfolge.

1. Dokumentiere, was du siehst

Mach Screenshots von allem Ungewöhnlichen. Die Weiterleitungs-URL. Die Google-Warnung. Unbekannte Admin-Konten. Verdächtige E-Mails, die du erhalten hast. Das ist wichtig für deinen Hosting-Anbieter, für jeden Fachmann, den du beauftragst, und möglicherweise aus rechtlichen Gründen.

2. Kontaktiere deinen Hosting-Anbieter

Ruf deinen Hoster an oder nutze den Live-Chat. Teile ihnen mit, dass deine Seite gehackt wurde. Bitte sie:

  • zu prüfen, ob ein sauberes Backup von vor dem Hack vorliegt
  • dir zu sagen, wann der Hack wahrscheinlich begonnen hat (das können sie oft aus den Server-Logs ablesen)
  • den Zugriff auf die Seite vorübergehend einzuschränken, falls der Hack aktiv weiterläuft

Die meisten seriösen Hoster haben ein Sicherheitsteam, das täglich mit solchen Situationen umgeht. Die werten dich nicht. Das ist Routine für sie.

3. Nimm die Seite (meistens) nicht offline

Dein erster Impuls könnte sein, die Seite sofort abzuschalten. Tue das in den meisten Fällen nicht. Eine Seite, die offline ist, schadet dir mehr als eine Seite, die kompromittiert ist – besonders wenn Google sie noch nicht markiert hat. Die Ausnahme: Wenn der Hack aktiv Zahlungsdaten von Kunden abgreift (etwa ein Kreditkarten-Skimmer im WooCommerce-Checkout), nimm sie sofort raus.

4. Prüf, ob Google dich markiert hat

Geh zur Google Search Console. Falls du das noch nicht eingerichtet hast – das ist ein Problem für später. Jetzt reicht es, deinen Firmennamen bei Google zu suchen. Wenn du „Diese Website wurde möglicherweise gehackt” oder „Täuschende Website” in den Ergebnissen siehst, weiß Google Bescheid. Das bedeutet: Dein organischer Traffic ist praktisch auf null gefallen, bis das Problem behoben ist.

5. Entschied: Selbst machen oder jemanden beauftragen?

Sei ehrlich mit dir selbst.

Mach es selbst, wenn:

  • Du dich im WordPress-Dashboard sicher bewegst
  • Der Hack geringfügig ist (eine einzelne Spam-Seite, keine Weiterleitungen, keine Google-Warnung)
  • Du ein aktuelles Backup hast, aus dem du wiederherstellen kannst
  • Du heute 3–5 Stunden Zeit dafür aufwenden kannst

Hol dir einen Fachmann, wenn:

  • Du nicht weißt, was „wp-admin” bedeutet
  • Deine Seite weiterleitet, Google sie markiert hat oder du unbekannte Admin-Konten siehst
  • Du einen WooCommerce-Shop betreibst oder Kundendaten sammelst
  • Der Hack seit mehr als ein paar Tagen aktiv ist
  • Du es selbst versucht hast und es zurückgekommen ist
  • Dein Entwickler untergetaucht ist und du keine Ahnung hast, wie die Seite funktioniert

Es ist keine Schande, jemanden zu beauftragen. Du würdest auch nicht selbst die Rohre reparieren, wenn dein Keller unter Wasser steht.

Was dieser Hack dich wirklich kostet

Die meisten Unternehmer denken: „Ich kümmere mich nächste Woche darum.” Hier ist, warum das teuer wird.

Traffic: Wenn Google eine „Täuschende Website”-Warnung hinzufügt, bricht dein organischer Traffic über Nacht um 60–90 % ein. Jeder Tag, den du wartest, ist ein Tag, an dem potenzielle Kunden eine rote Warnseite sehen statt deines Unternehmens.

SEO-Erholung: Selbst nach der Bereinigung dauert es 2–8 Wochen, bis Google deine Rankings vollständig wiederherstellt. Je länger der Hack aktiv bleibt, desto länger die Erholung. Seiten, die monatelang gehackt bleiben, erholen sich manchmal nie vollständig.

Kundenvertrauen: Wenn ein Kunde deine Seite besucht und auf Spam weitergeleitet wird, kommt er nicht wieder. Er geht zur Konkurrenz. Und er erzählt es seinen Freunden.

Echtes Geld: Wenn du einen Online-Shop mit €5.000 Monatsumsatz betreibst, kostet dich jede Woche Ausfall oder Traffic-Rückgang €1.000 oder mehr. Die Kosten einer professionellen Bereinigung (typischerweise €200–500) amortisieren sich innerhalb eines Tages.

Die DSGVO-Frage, über die niemand spricht

Wenn dein Unternehmen EU-Kunden bedient – und wenn du das hier in Europa liest, tut es das – könnte eine gehackte Website eine Datenpanne nach DSGVO darstellen.

Artikel 33 besagt: Wenn personenbezogene Daten möglicherweise offengelegt wurden (Namen, E-Mails, Adressen, Zahlungsdaten), musst du deine Datenschutzbehörde innerhalb von 72 Stunden nach Bekanntwerden benachrichtigen.

Hat deine WordPress-Seite:

  • Ein Kontaktformular? Diese Einsendungen enthalten Namen und E-Mail-Adressen.
  • Eine Newsletter-Anmeldung? Das sind personenbezogene Daten.
  • Einen WooCommerce-Shop? Namen, Adressen, Kaufhistorie.
  • Benutzerkonten? E-Mail-Adressen und Passwörter.

Wenn eines davon kompromittiert wurde, hast du möglicherweise eine rechtliche Meldepflicht. Die Bußgelder bei unterlassener Meldung betragen bis zu €10 Millionen oder 2 % des weltweiten Jahresumsatzes.

Ich bin kein Anwalt. Aber ich habe gesehen, wie Unternehmer davon kalt erwischt wurden. Wenn auch nur die Möglichkeit besteht, dass Kundendaten betroffen sind – sprich mit einem Rechtsanwalt. Einfach still bereinigen und hoffen, dass niemand es merkt, ist keine Strategie.

Warum „bereinigte” Seiten erneut gehackt werden

Das ist die häufigste Beschwerde, die ich höre: „Ich habe jemanden bezahlt, meine Seite zu bereinigen, und drei Wochen später wurde sie wieder gehackt.”

Dafür gibt es einen Grund.

Wenn ein Angreifer in deine WordPress-Seite einbricht, legt er als erstes Backdoors an. Das sind versteckte Dateien oder Code-Fragmente, die über die Seite verteilt sind und ihm den Wiedereintritt ermöglichen – selbst nachdem du alle Passwörter geändert und alle Plugins aktualisiert hast.

Ein Backdoor kann sein:

  • Eine winzige Datei, tief vergraben in /wp-content/uploads/2024/03/, die wie ein Bild aussieht, aber ausführbaren Code enthält
  • Eine einzelne verschleierte Code-Zeile, die in die functions.php deines Themes injiziert wurde
  • Ein gefälschtes Plugin, das legitim wirkt, aber ein Fernzugriff-Tool enthält
  • Eine veränderte WordPress-Kerndatei, die einfache Integritätsprüfungen besteht

Billige oder oberflächliche Bereinigungen übersehen das. Sie entfernen die sichtbaren Symptome – die Spam-Seiten, die Weiterleitungen – aber lassen die Backdoors bestehen. Der Angreifer wartet ein paar Wochen, nutzt den Backdoor, kommt wieder rein, und du stehst wieder am Anfang.

Eine ordentliche Bereinigung bedeutet: jede Datei auf der Seite scannen, mit bekannten sauberen Versionen abgleichen, die Datenbank auf injizierten Code prüfen, und jeden einzelnen Backdoor entfernen. Das ist methodische Arbeit. Es dauert. Aber es ist der Unterschied zwischen einmal das Problem lösen und es jeden Monat lösen.

Was du deinen Kunden sagen solltest

Wenn du einen Online-Shop betreibst oder Kundendaten sammelst, fragst du dich wahrscheinlich: Muss ich meine Kunden informieren?

Wenn Zahlungsdaten betroffen waren: Ja. Sofort. Informiere auch deinen Zahlungsdienstleister – der hat eigene Benachrichtigungsverfahren.

Wenn personenbezogene Daten (E-Mails, Adressen) möglicherweise offengelegt wurden: Nach DSGVO wahrscheinlich ja. Eine kurze, ehrliche E-Mail wirkt besser als Schweigen. Ungefähr so:

„Wir haben kürzlich unbefugten Zugriff auf unsere Website festgestellt. Wir haben die Seite gesichert und arbeiten mit einem Sicherheitsexperten zusammen, um sicherzustellen, dass so etwas nicht wieder passiert. Zur Vorsicht empfehlen wir Ihnen, Ihr Passwort zu ändern, falls Sie ein Konto bei uns haben. Wir nehmen Ihren Datenschutz ernst und entschuldigen uns für jegliche Unannehmlichkeiten.”

Wenn keine Kundendaten betroffen waren (eine Präsentationsseite ohne Formulare, ohne Konten): Du musst niemanden informieren. Einfach bereinigen und absichern.

Ehrlichkeit funktioniert besser als Schweigen. Kunden respektieren Transparenz. Sie respektieren es nicht, wenn sie später herausfinden, dass du es wusstest und nichts gesagt hast.

Wie du sicherstellst, dass es nicht wieder passiert

Sobald deine Seite sauber ist, stellt sich die Frage: Wie verhinderst du, dass es beim nächsten Mal wieder passiert?

Die Antwort ist unspektakulär, aber wirksam: regelmäßige Wartung.

Halte WordPress, Themes und Plugins aktuell. Die große Mehrheit der Hacks nutzt bekannte Sicherheitslücken in veralteter Software aus. Ein Update, das 5 Minuten dauert, kann einen Hack verhindern, der dich tagelang kostet.

Entferne Plugins und Themes, die du nicht verwendest. Selbst deaktivierte Plugins können ausgenutzt werden. Was du nicht benutzt, löscht du.

Verwende starke, eindeutige Passwörter. Und gib dein Admin-Login nicht an fünf verschiedene Leute weiter. Jeder bekommt ein eigenes Konto mit den passenden Berechtigungen.

Richte automatische Backups ein. Tägliche Backups, extern gespeichert. Wenn das Schlimmste passiert, kannst du innerhalb von Stunden auf eine saubere Version zurücksetzen – nicht erst nach Tagen.

Überwache deine Seite. Sicherheitsmonitoring erkennt Probleme frühzeitig – bevor Google es tut, bevor deine Kunden es merken, bevor der Schaden sich aufschaukelt.

Genau das deckt ein Wartungsplan ab. Ich biete Care-Pläne ab €79/Monat an, die das alles übernehmen – Updates, Backups, Sicherheitsmonitoring und schnelle Reaktion, wenn etwas schiefläuft. Das ist günstiger als eine einmalige Bereinigung, und du musst dich nie wieder damit befassen.

Wenn deine Seite kürzlich gehackt wurde und du jemanden suchst, der sie ordentlich bereinigt und dauerhaft schützt, schreib mir eine E-Mail an jakub.babiuch@pm.me oder buch einen 15-minütigen Anruf. Ich sage dir genau, was passiert ist, was getan werden muss, und was es kostet. Kein Druck, kein Upselling – nur eine klare Antwort.