Es beginnt meist unscheinbar. Eine Kundin schreibt, dass Ihre Website seltsame Links anzeigt. Oder Google Search Console meldet plötzlich Seiten, die Sie nie erstellt haben. Oder Ihr Hosting-Anbieter sperrt den Account wegen ungewöhnlichen Traffics.
Eine kompromittierte WordPress-Website ist kein exotisches Problem. Täglich werden Tausende von Installationen angegriffen, viele davon gehören seriösen Unternehmen, die schlicht zu selten mit der technischen Wartung beschäftigt waren. Dieser Artikel erklärt, wie Sie im Ernstfall richtig reagieren und was Sie tun können, damit es gar nicht erst so weit kommt.
Woran erkennen Sie eine gehackte WordPress-Website?
Die Anzeichen sind nicht immer offensichtlich. Manche Angriffe zielen nicht darauf ab, sofort sichtbaren Schaden anzurichten, sondern laufen monatelang unbemerkt im Hintergrund.
Sichtbare Zeichen: Fremdartige Links oder Inhalte auf Ihren Seiten, Weiterleitungen auf unbekannte Websites, Werbung, die Sie nicht eingebaut haben, oder Fehlermeldungen, die plötzlich auftauchen.
Weniger offensichtliche Zeichen: Unerklärlicher Rückgang im Suchmaschinen-Traffic, Warnungen in Google Search Console, E-Mail-Blacklistings Ihrer Domain, neue Administrator-Accounts, die Sie nicht selbst angelegt haben, oder unbekannte Dateien auf dem Server.
Technische Hinweise: Ihr Hosting-Anbieter informiert Sie über ungewöhnlich hohen Traffic oder CPU-Auslastung. Oder Sicherheits-Plugins schlagen Alarm bei verdächtigen Dateiänderungen.
Was tun, wenn die Website gehackt wurde?
Ruhe bewahren und strukturiert vorgehen. Hier sind die wichtigsten Schritte:
Schritt 1: Website vorübergehend offline nehmen. So verhindern Sie, dass Besucher mit Schadcode in Kontakt kommen und Google Ihre Website als gefährlich einstuft. Informieren Sie Ihren Hosting-Anbieter.
Schritt 2: Passwörter ändern. Ändern Sie sofort alle Passwörter, die mit WordPress in Verbindung stehen: das WordPress-Admin-Passwort, das Datenbank-Passwort, das FTP-Passwort und das Hosting-Passwort. Nutzen Sie dabei einen anderen, sicheren Computer.
Schritt 3: Backup einspielen. Falls Sie ein aktuelles, sauberes Backup haben, ist das oft der schnellste Weg zurück zu einer funktionsfähigen Website. Achten Sie darauf, dass das Backup aus einem Zeitraum vor der Kompromittierung stammt.
Schritt 4: Schadcode aufspüren und entfernen. Mit einem Sicherheits-Plugin wie Wordfence können Sie einen vollständigen Scan der WordPress-Installation durchführen. Dieser zeigt infizierte Dateien an. Bei tiefgreifendem Befall ist professionelle Hilfe ratsam.
Schritt 5: Einfallstor schliessen. Finden Sie heraus, wie der Angriff stattfinden konnte. Veraltetes Plugin, schwaches Passwort, kompromittiertes FTP-Konto? Ohne diese Analyse kann es schnell wieder passieren.
Schritt 6: Google informieren. Wenn Google Ihre Website als gefährlich markiert hat, reichen Sie nach der Bereinigung eine Überprüfungsanfrage in der Google Search Console ein.
Die häufigsten Einfallstore
Zu verstehen, wie Angriffe typischerweise ablaufen, hilft bei der Prävention.
Veraltete Plugins und Themes: Der bei weitem häufigste Angriffsweg. Wenn eine Sicherheitslücke in einem Plugin bekannt wird, reagieren automatisierte Bots innerhalb von Stunden. Wer das Update nicht eingespielt hat, ist verwundbar. Das gilt auch für deaktivierte Plugins, die noch installiert sind.
Schwache Zugangsdaten: Bots probieren täglich Tausende Passwort-Kombinationen durch. Der Benutzername "admin" kombiniert mit einem einfachen Passwort ist eine offene Einladung.
Unsicheres Hosting-Umfeld: Beim Shared Hosting ohne saubere Isolation zwischen den Accounts kann ein kompromittierter Account andere Websites auf demselben Server infizieren. Das ist kein theoretisches Risiko.
Infizierte Premium-Themes und Plugins aus inoffiziellen Quellen: Kostenpflichtige Plugins oder Themes, die kostenlos auf Drittseiten angeboten werden, enthalten oft versteckten Schadcode.
Dauerhafter Schutz: Was wirklich hilft
Updates konsequent einspielen. Aktivieren Sie automatische Updates für WordPress Core, Plugins und Themes. Was Sie nicht mehr brauchen, löschen Sie vollständig. Deaktiviert aber installiert ist nicht sicher genug.
Zugangsdaten absichern. Kein Benutzername "admin", starke und einzigartige Passwörter, und Zwei-Faktor-Authentifizierung (2FA) für alle Administrator-Accounts. Das kostet fünf Minuten Einrichtungszeit und macht Brute-Force-Angriffe praktisch wirkungslos.
Backups automatisieren. Täglich, extern gespeichert, und gelegentlich auf Wiederherstellbarkeit prüfen. Ein Backup, das sich nicht zurückspielen lässt, ist kein Backup.
Login schützen. Die Anzahl erlaubter Login-Versuche begrenzen und gegebenenfalls die Login-URL umbenennen. Beides ist mit kostenlosen Plugins in Minuten erledigt.
Sicherheits-Plugin einsetzen. Wordfence oder Sucuri bieten eine Web Application Firewall, kontinuierliches Monitoring und Malware-Scanning. Konfigurieren Sie E-Mail-Benachrichtigungen, damit Sie sofort informiert werden, wenn etwas nicht stimmt.
Wann sollten Sie die Verantwortung abgeben?
All diese Massnahmen lassen sich selbst umsetzen. Sie erfordern aber Zeit, Aufmerksamkeit und die Bereitschaft, sich regelmässig damit zu beschäftigen.
Für viele KMU ist das nicht die sinnvollste Nutzung ihrer Zeit. Managed WordPress Hosting übernimmt Updates, Backups, Monitoring und Sicherheitshärtung automatisch. Im Fall einer Kompromittierung gibt es einen direkten Ansprechpartner mit dem nötigen Fachwissen.
Das lohnt sich besonders dann, wenn Ihre Website Kundendaten verarbeitet, wenn Ausfälle direkt Umsatz kosten oder wenn Sie nach einem Vorfall nie wieder in dieser Situation sein möchten.
Das Wichtigste zusammengefasst
Eine gehackte WordPress-Website ist behebbar. Wichtiger ist, dass Sie die richtigen Voraussetzungen schaffen, damit es gar nicht erst dazu kommt: aktuelle Software, sichere Zugangsdaten, funktionierende Backups und ein Sicherheits-Plugin, das Sie informiert, bevor ein Problem zum Schaden wird.
Wer wenig Zeit für technische Wartung hat, ist mit Managed WordPress Hosting am besten bedient. Wer es selbst in die Hand nimmt, schützt sich mit konsequenten Updates und 2FA bereits gegen die grosse Mehrheit aller Angriffe.
