- Warum wird WordPress so häufig gehackt?
- Wie erkenne ich, dass meine WordPress-Seite gehackt wurde?
- Schritt 1: Stell deine WordPress-Seite offline
- Schritt 2: Sichere die Beweise
- Schritt 3: Trojaner-Scan
- Schritt 4: Ändere alle Passwörter
- Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt
- Schritt 6: Jetzt WordPress neu installieren
- Schritt 7: Entsperre deine WordPress-Seite
- Wie Sie Ihre WordPress-Seite vor Hacks schützen
WordPress Wartung & Service mit Premium Care
Premium WordPress Care ist der Rundum-Wartungsservice von dogado – für höchste Sicherheit, stabile Performance und eine immer aktuelle Website.
Warum wird WordPress so häufig gehackt?
Die kurze Antwort: wegen seiner Beliebtheit. Rund 43 % aller Internetseiten weltweit laufen mit WordPress – unter den Content-Management-Systemen entspricht das einem Marktanteil von 61 % (Stand 2026). Das macht WordPress zur größten Angriffsfläche im Netz. Und Angreifer wissen das.
Automatisierte Angriffe – keine gezielte Attacke
Viele Betreiber denken: „Meine kleine Website interessiert doch keinen Hacker." Das stimmt so nicht. Die meisten WordPress-Angriffe laufen vollautomatisch ab – jeden Tag, rund um die Uhr. Bots durchsuchen Millionen Websites nach bekannten Schwachstellen in Plugins. Dabei ist es ihnen völlig egal, ob du das Plugin aktiv nutzt oder nur deaktiviert hast – sobald es auf dem Server liegt, ist es angreifbar
Welche Sicherheitslücken gibt es in WordPress? Die häufigsten Einfallstore
93 % aller gemeldeten Sicherheitslücken stammen aus Plugins und Themes. Die typischen Ursachen im Überblick:
- Veraltete Software: Wer WordPress, Plugins oder Themes nicht aktuell hält, öffnet Angreifern bekannte Lücken. Versäumte Sicherheitsupdates sind die Hauptursache für gehackte Websites.
- Schwache Passwörter: 8 % der infizierten WordPress-Websites hatten schwache Passwörter wie „12345" oder „passwort". Brute-Force-Bots probieren diese Listen automatisch durch.
- Zu viele Plugins: Admin-Bereiche voller Karteileichen und deaktivierter Plugins sind ein häufiges Problem – auch deaktivierte Plugins können direkt angegriffen werden.
- Unsicheres Hosting: Wenn ein Hosting-Anbieter seine Plattform nicht ausreichend absichert, sind alle dort gehosteten Websites anfällig – unabhängig davon, wie gut die WordPress-Installation selbst konfiguriert ist.
Was Angreifer wirklich wollen
Der Angreifer will meistens nicht deine Daten – er will deine Infrastruktur. Typische Szenarien: Spam-Links werden versteckt in deinen Seiten platziert und schaden deinem SEO-Ranking; dein Server wird Teil eines Botnetzes für weitere Angriffe; oder Phishing-Seiten laufen unter deiner Domain – perfekte Nachbauten von Banking- oder PayPal-Oberflächen.
Wenn Google deine Domain auf eine Blacklist setzt oder dein Browser eine Sicherheitswarnung anzeigt, ist der Schaden für Ruf und Ranking oft nachhaltig.
Wie erkenne ich, dass meine WordPress-Seite gehackt wurde?
Natürlich prüfen Webhoster wie dogado regelmäßig die Kundenserver auf Malware. Und wenn dabei Auffälligkeiten entdeckt werden, wird das Verzeichnis beziehunsgweise die infizierte Anwendung automatisch gesperrt. Anschließend bekommen die entsprechenden Kunden eine E-Mail mit einer Information dazu und der Bitte sich umgehend um das Problem zu kümmern.
Außer der E-Mail des Providers kannst du an folgenden Indizien erkennen, dass deine Website von einem Hacker angegriffen wurde:
- Umlaute und Sonderzeichen: Die Webseite ist nur noch schwer zu lesen, weil Umlaute und Sonderzeichen nicht mehr richtig dargestellt werden. Insgesamt sehen die Texte recht kryptisch aus.
- "Hacked by": Beim Login in das Dashboard deines Blogs siehts du den Satz "hacked by...".
- Spuren des Eindringlings: Oft hinterlassen Hacker auch in den Meta-Angaben der Seite ihre Spuren. Sobald du eines dieser Anzeichen bei deinem WordPress-Blog bemerkst: Lass am besten alles andere liegen und kümmere dich umgehend darum, um den Schaden zu begrenzen. Nachfolgend zeigen wir dir, was du dann tun solltest:
Schritt 1: Stell deine WordPress-Seite offline
Warum werden Websiten gehackt? Zum Beispiel um über die gehackten Seiten Spam- oder Schadcode zu verteilen. Wer kann Opfer eines derartigen Angriffs werden? Jeder! Egal ob kleiner Newcomer oder großer bekannter Blog. Meist haben Hacker keine bestimmte Website im Visier. Sie zielen eher auf eine größtmögliche Verbreitung ihrer Malware. Und genau dafür greifen sie Webseiten an, bei denen es Sicherheitslücken gibt.
Sollte dein Provider deine WordPress-Seite nicht schon offline gestellt haben, dann musst du das tun und zwar sobald du die Infektion entdeckst. Wirklich sofort, denn: Als Domain-Eigentümer des gehackten Systems bist du für alle eventuellen Schäden haftbar, wenn beispielweise personenbezogene Daten abhanden gekommen sind. Im Falle eines Falles müsstest du nachweisen, dass du "ohne schuldhaftes Zögern" gehandelt hast. Daher: Website sofort offline stellen, sobald du etwas bemerkst.
Außerdem nimmt Google betroffene Seiten aus Sicherheitsgründen ziemlich schnell aus dem Index, so dass keine anderen Nutzer beziehungsweise Seiten in Mitleidenschaft gezogen werden. Das kannst du verhindern, indem du deine Seite selber vorübergehend für die Öffentlichkeit sperrst.
Seite selber sperren per Plugin
Wenn du noch einen Zugang zu dem Admin-Bereich deiner Website hast, dann ist die Installation eines Maintenance-Mode-Plugins die schnellste und einfachste Lösung. Lade dir zum Beispiel WP Quick Maintenance im Plugin-Verzeichnis von WordPress herunter und aktiviere den Wartungsmodus - sobald du dies getan hast, sehen Besucher deines Blogs nur noch einen Wartungshinweis. Du kannst natürlich auch eine andere Fehlerseite erstellen. Grundsätzlich solltest du jedoch eher zurückhaltend mit Informationen zu dem Hackerangriff umgehen, um nicht dem Ruf deiner Seite zu schaden. Außerdem kostet das Erstellen einer Fehlerseite unnötig kostbare Zeit, die du gerade anderweitig gebrauchen kannst.
Schritt 2: Sichere die Beweise
Vielleicht klingt das im ersten Augenblick etwas absurd in deinen Ohren, trotzdem solltest du unbedingt ein Backup der gehackten WordPress-Webseite samt Datenbank machen. Warum? Ganz einfach: Damit du Beweise sichern kannst, falls du später den Hackerangriff anzeigen oder Schadenersatzansprüchen anmelden möchtest. Beachte aber, dass du die Datei aber nicht auf dem Rechner speicherst, sondern am besten auf einem externen Speichermedium - isoliert von anderen Dateien.
Schritt 3: Trojaner-Scan
Im nächsten Step checkst du, ob nicht nur deine WordPress-Seite sondern sogar noch dein Rechner gehackt wurde. Wenn ja: Dann hat der Angreifer vermutlich auf diesem Weg deine Passwörter ausgespäht. Du solltest nun per Virenschutzprogramm (das vorher auf den neuesten Stand gebracht wurde) nach Trojanern suchen und diese gegebenenfalls entfernen, so dass der Angreifer nicht gleich alle deine Änderungen frei Haus geliefert bekommt.
Dafür bietet der ECO-Verband der Internetwirtschaft dir kostenlose Programme an, mit denen du unterschiedliche Schadware vom Rechner entfernen kannst.
Schritt 4: Ändere alle Passwörter
Du kannst dir natürlich nicht siocher sein, ob der Angreifer deine PAsswörter ausspähen konnte und wenn ja, welche. Daher solltest du ALLE Passwörter ändern, damit Unbefugte keinen Zugriff mehr haben.
Du musst auf jeden Fall diese ändern:
- Die Passwörter von WordPress-Benutzern
- Die FTP-Passwörter und ggf. den SSH-Zugang
- Die Passwörter deiner MySQL-Datenbanken
- Deine Webhosting-Passwörter
- Deine E-Mail-Passwörter
Wie du deine Passwörter am besten managst, erfährst du in diesem Beitrag: Manage deine Passwörter
Schritt 5: Sherlock Holmes: Die Suche nach dem Schadcode beginnt
Nun beginnt die meist mühsame Spurensuche, denn du musst jetzt versuchen, den Angriff zu lokalisieren. Versuch also wie ein Detektiv zu denken: Wie erfolgte der Angriff? Über den WordPress-Core (also über eine Sicherheitslücke bei WordPress selbst)? Über das Theme? Über ein Plugin?
Du hast jetzt zwei Möglichkeiten: Starte die Suche manuell oder automatisiert. Für die manuelle Suche brauchst du eine relativ große Erfahrung und meist auch viel Zeit. Und so gehst du vor: Du checkst die Dateien und Verzeichnisse auf auffällige Muster und Veränderungsdaten. Oft werden beispielsweise Dateien wie die index.php im Root oder die header.php im Theme-Ordner geändert und mit Schadcode versehen.
Deutlich einfacher sind automatische Malware-Scans, die du auch mithilfe eines Plugins starten kannst.
Und wenn du Malware gefundne hast, solltest du diese natürlich entfernen. Anschließend musst du die Sicherheitslücke(n) schließen. Das machst du beispielweise durch regelmäßige Updates und gute Passwörter.
Das solltest du wissen: Warum sind Hacker eigentlich erfolgeich? Weil Webseitenbetreiber häufig recht bequem sind. Das heißt, dass selbst grundlegende Sicherheitsmaßnahmen wie regelmäßige Aktualisierungen von Plugins oder Themes nicht durchgeführt werden. Für viele Premium-Themes gibt es aber beispielsweise keine automatischen Updates - Aktualisierungen MÜSSEN daher manuell vorgenommen werden. Manchmal sind auch die in Themes enthaltenen Plugins veraltet und stellen dadurch ein Sicherheitsrisiko dar. Wichtig ist auch, dass du keine Passwörter wie "12345" oder "Admin" benutzt. Leider ist das in Fällen auch der Fall und daher leicht zu "knacken", Also: Bitte aktualisiere regelmäßig und verwende sichere Passwörter!
Sicherheitslücken treten am häufigsten bei Plugins und Themes auf, während es bei WordPress nur sehr selten sogenannte Security Holes gibt. Auf diese Dinge reagiert die WordPress-Community in der Regel recht schnell. Wichtig ist, dass du Updates und Sicherheits-Patches regelmäßig einspielst.
Schritt 6: Jetzt WordPress neu installieren
Ausschlaggebend an welcher Stelle der Angriff erfolgte, reicht es mitunter aus, dass du lediglich den WordPress-Core erneut hochlädst. Du müsstest in diesem Fall deinen Content nicht via Backup wieder aufspielen. Und so geht die Neuinstallation von WordPress: Du lädst die Ordner wp-admin und wp-include neu hoch, genauso wie alle Dateien im WordPress-Root.
Wenn du unsicher bist, ob die WP-Neuinstallierung ausreicht, dann lösche alle entsprechenden Inhalte in deinem Webspace und lade WordPress inklusive Theme, Plugins und Content neu hoch. Zwar fällt dieser Schritt schwer, er erspart dir aber möglicherweise viel Ärger. Warum? Weil Angreifer häufig gut getarnte Backdoor-Skripte hinterlassen, um sich später erneut Zugriff auf dein System verschaffen können. Wenn du eine komplette Reinigung vornimmst, bist du davor geschützt.
Wichtig: Das Backup von deinem Blog sollte natürlich aus der Zeit vor dem Hackerangriff stammen. Bei Webhosting-Paketen von dogado erfolgt ein Backup automatisch und regelmäßig. Aus Sicherheitsgründen solltest du jedoch auch selbst Backups deiner WordPress-Seite erstellen und diese separat speichern. Hilfe gibt es auch hierfür von verschiedenen Plugins wie UpdraftPlus WordPress Backup Plugin.
Du hast kein sicheres Backup zur Verfügung? Dann bleibt dir leider nichts anderes übrig, als alle deine Inhalte inklusive Datenbanken und Bildern komplett erneut hochzuladen.
Schritt 7: Entsperre deine WordPress-Seite
Du hast alle Erste-Hilfe-Schritte erledigt? Perfekt! Es ist keine Malware mehr zu finden? Super! Deine Seite läuft wieder? Hervorragend! Dann kannst du deine Seite jetzt entsperren. Wenn dein Provider deinen Website gesperrt hat, dann melde dich bei deinem Anbieter und sage Bescheid, dass der Schadcode entfernt wurde. Du hast deine Seite selbst offline genommen? Dann gehts du wie folgt vor: Deaktiviere das Plugin für den Wartungsmodus oder hebe deine eigene Sperrung, zum Beispiel über den Verzeichnisschutz, auf. Anschließend musst du bei Google eine erneute Überprüfung beantragen, sodass deine Seite wieder in den Index aufgenommen wird. Was dafür wichtig ist, erfährst du hier. So, jetzt hast du geschafft!
WordPress Wartung & Service mit Premium Care
Premium WordPress Care ist der Rundum-Wartungsservice von dogado – für höchste Sicherheit, stabile Performance und eine immer aktuelle Website.
Wie Sie Ihre WordPress-Seite vor Hacks schützen
Ein gehacktes WordPress ist ärgerlich – aber in den meisten Fällen vermeidbar. Allein 2025 wurden 486 Sicherheitslücken in WordPress sowie 393 ungeschützte Schwachstellen in Plugins und Themes entdeckt. Mit den richtigen Maßnahmen machst du es Angreifern deutlich schwerer:
Starke Passwörter und Zwei-Faktor-Authentifizierung (2FA): Mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen. Nutze einen Passwort-Manager, damit du dir nichts merken musst. 2FA fügt einen zweiten Bestätigungsschritt hinzu – zum Beispiel über eine Authenticator-App – und verhindert so den Zugriff selbst bei gestohlenen Passwörtern.
Keinen generischen Benutzernamen verwenden: „Admin" ist das Erste, was Angreifer ausprobieren. Lege stattdessen einen individuellen Administrator-Account an: WordPress-Dashboard → Benutzer → Neu hinzufügen. Weise dem neuen Konto die Rolle „Administrator" zu und lösche danach den alten Account.
Login-URL und Anmeldeversuche absichern: Ändere die Standard-Login-URL, damit Angreifer und Bots sie nicht so leicht finden – und begrenze die Anzahl fehlgeschlagener Anmeldeversuche, um Brute-Force-Angriffe zu blockieren. Plugins wie „WPS Hide Login" oder „Limit Login Attempts Reloaded" erledigen das unkompliziert.
WordPress, Plugins und Themes immer aktuell halten: Sicherheitslücken in Plugins sind der Hauptgrund für gehackte WordPress-Seiten – reduziere die Anzahl und lösche inaktive Erweiterungen. Updates sind kein nice-to-have, sondern Pflicht.
SSL-Zertifikat aktivieren: Google bewertet HTTPS-gesicherte Websites positiver – eine Umstellung verbessert also nicht nur die Sicherheit, sondern auch das SEO-Ranking. Bei dogado ist das SSL-Zertifikat in allen Hosting-Paketen inklusive.
Regelmäßige Backups anlegen: Speichere Backups immer extern – nicht auf demselben Server. So kannst du deine Seite im Ernstfall schnell und vollständig wiederherstellen.
Malware-Scans einplanen: Tools wie Wordfence bieten Firewalls und Malware-Scanner, die deine Installation regelmäßig prüfen und dich bei verdächtigem Verhalten sofort warnen.
Plugins bewusst einsetzen: 93 % aller gemeldeten Schwachstellen stammen aus Plugins. Nutze nur, was du wirklich brauchst – und achte darauf, dass jedes Plugin aktiv weiterentwickelt wird.
