• Kurze Antwortzeit: max. 5 Std.
  • Kurze Antwortzeit: max. 5 Std.
  • WP.Repair
Schnell-Hilfe!

WordPress Gehackt: Website Reparieren – Die vollständige Anleitung 2026

Cover image

Last updated: April 25, 2026

Quick Answer: Wenn eine WordPress-Website gehackt wurde, sind sofortige Maßnahmen nötig: Website in den Wartungsmodus setzen, alle Zugangsdaten ändern, Malware-Scan durchführen, infizierte Dateien bereinigen und anschließend ein sauberes Backup einspielen. Je schneller gehandelt wird, desto geringer ist der Schaden – sowohl für SEO als auch für Besucher.


Key Takeaways

  • Eine gehackte WordPress-Website lässt sich in den meisten Fällen reparieren, ohne Inhalte zu verlieren.
  • Sofortmaßnahme Nummer eins: Website offline nehmen (Wartungsmodus), damit Besucher keinen manipulierten Inhalten ausgesetzt sind.
  • Alle Passwörter (WordPress, FTP, Datenbank) müssen sofort geändert werden.
  • Ein sauberes Backup vor dem Angriff ist die schnellste und sicherste Lösung.
  • Infizierte Kerndateien (/wp-admin/, /wp-includes/) sollten durch frische Dateien von WordPress.org ersetzt werden.
  • wp-config.php und .htaccess auf verdächtigen Code wie base64_decode oder eval prüfen.
  • Nicht autorisierte Admin-Benutzer und unbekannte Plugins sofort entfernen.
  • Nach der Bereinigung: Google-Überprüfung beantragen, falls die Website auf einer Blacklist steht.
  • Automatische Updates und weniger Plugins reduzieren das Risiko künftiger Angriffe erheblich.
  • Bei komplexen Hacks lohnt sich professionelle Hilfe, um versteckten Schadcode vollständig zu entfernen.


Jede 39 Sekunden wird weltweit eine Website angegriffen – und WordPress ist aufgrund seiner Verbreitung ein bevorzugtes Ziel. Wer morgens die eigene Website öffnet und statt des gewohnten Inhalts Spam, Weiterleitungen oder eine Fehlermeldung vorfindet, steht vor einem echten Problem. Das Gute: Eine gehackte WordPress-Website lässt sich in den meisten Fällen reparieren. Diese Anleitung zeigt Schritt für Schritt, wie man eine WordPress gehackt Website reparieren kann – ohne Panik, aber mit System.


() infographic-style illustration showing a WordPress dashboard with red 'GEHACKT' warning banner overlaid, suspicious admin


Woran erkennt man, dass WordPress gehackt wurde?

Nicht jeder Hack ist sofort sichtbar. Viele Angreifer arbeiten im Verborgenen, um möglichst lange unentdeckt zu bleiben.

Typische Anzeichen eines Hacks:

  • Die Website leitet Besucher auf fremde Seiten weiter (oft Spam oder Phishing).
  • Im Browser erscheint eine Warnung wie „Diese Website könnte gehackt sein.“
  • Google Search Console meldet Malware oder ungewöhnliche URLs.
  • Unbekannte Admin-Benutzer tauchen im WordPress-Dashboard auf.
  • Dateien wurden ohne eigenes Zutun verändert (prüfbar über Hosting-Logs).
  • Die Website lädt extrem langsam oder zeigt kryptische Fehlermeldungen.
  • E-Mail-Provider blockiert ausgehende Mails, weil die Domain auf einer Spam-Liste steht.
  • Hosting-Anbieter hat den Account gesperrt. [1]

Wichtig: Ein Hack kann auch dann vorliegen, wenn die Website äußerlich normal aussieht. Versteckter Schadcode wird oft nur für Suchmaschinen oder bestimmte Nutzergruppen ausgespielt.


Was sind die häufigsten Ursachen für einen WordPress-Hack?

Die meisten Angriffe auf WordPress-Websites sind keine gezielten Attacken auf einzelne Betreiber, sondern automatisierte Massenangriffe, die bekannte Schwachstellen ausnutzen. [6]

Häufige Einfallstore:

Ursache Beschreibung
Veraltete Plugins/Themes Bekannte Sicherheitslücken in nicht aktualisierten Erweiterungen
Schwache Passwörter Brute-Force-Angriffe auf /wp-login.php
Nulled Themes/Plugins Raubkopierte Erweiterungen enthalten oft Backdoors
Veralteter WordPress-Kern Fehlende Sicherheits-Patches
Unsicheres Hosting Shared Hosting ohne ausreichende Isolierung
Kompromittierte FTP-Zugangsdaten Malware auf dem lokalen Rechner stiehlt Passwörter

Je weniger Plugins aktiv sind, desto kleiner ist die Angriffsfläche. [2] Das gilt besonders für inaktive Plugins, die trotzdem noch installiert sind.


Sofortmaßnahmen: Was tun, wenn WordPress gehackt wurde?

Schnelles Handeln begrenzt den Schaden. Die meisten Hosting-Anbieter speichern automatische Backups nur für wenige Tage – jede Stunde zählt. [2]

Sofortmaßnahmen in der richtigen Reihenfolge:

  1. Website in den Wartungsmodus setzen – Verhindert, dass Besucher manipulierte Inhalte sehen. [7]
  2. Alle Zugangsdaten ändern – WordPress-Passwort, FTP/SFTP-Zugangsdaten und Datenbank-Passwort sofort aktualisieren. Das neue Datenbank-Passwort muss auch in der wp-config.php eingetragen werden. [4]
  3. Hosting-Anbieter informieren – Viele Anbieter bieten Malware-Scans und können kompromittierte Dateien identifizieren.
  4. Nicht autorisierte Admin-Benutzer entfernen – Unter Benutzer im Dashboard nach unbekannten Konten suchen und löschen.
  5. Backup-Datum prüfen – Gibt es ein sauberes Backup vor dem Hack? Dann ist die Wiederherstellung der schnellste Weg.


Für technisch weniger erfahrene Nutzer empfiehlt sich an dieser Stelle ein Blick auf professionelle Unterstützung. Der WordPress Reparatur-Service Deutschland bietet gezielte Hilfe bei gehackten Websites.


WordPress gehackt Website reparieren: Schritt-für-Schritt-Anleitung

() step-by-step process diagram showing five numbered steps for WordPress hack repair in German: '1. Wartungsmodus', '2.

Die eigentliche Reparatur gliedert sich in mehrere Phasen. Wer strukturiert vorgeht, minimiert das Risiko, versteckten Schadcode zu übersehen.

Schritt 1: Backup einspielen (schnellste Methode)

Ein sauberes Backup vor dem Angriff ist die effektivste Lösung. [2] Über das Hosting-Kontrollpanel (cPanel, Plesk) oder ein Backup-Plugin lässt sich ein früherer Stand wiederherstellen. Danach müssen trotzdem alle Passwörter geändert werden, da der ursprüngliche Einfallsweg sonst erhalten bleibt.

Wähle diese Methode, wenn: Ein Backup existiert, das nachweislich vor dem Hack erstellt wurde.


Schritt 2: WordPress-Kerndateien ersetzen

Die Ordner /wp-admin/ und /wp-includes/ werden vollständig gelöscht und durch frische Dateien von wordpress.org ersetzt. [6]

⚠️ Nicht überschreiben: wp-config.php und den Ordner wp-content/ – dort liegen Themes, Plugins und Mediendateien.


Schritt 3: Verdächtige Plugins und Themes entfernen

Alle Plugins und Themes prüfen und folgende sofort entfernen: [2]

  • Plugins, die nicht selbst installiert wurden.
  • Plugins aus unbekannten oder nicht verifizierten Quellen.
  • Inaktive Themes (außer dem Standard-WordPress-Theme als Fallback).


Schritt 4: wp-config.php und .htaccess prüfen

Beide Dateien sind häufige Ziele für eingeschleusten Code. Folgende Zeichenketten sind verdächtig und müssen entfernt werden: [6]

base64_decode
eval(
gzinflate(
str_rot13(

Die .htaccess-Datei kann über das WordPress-Dashboard unter Einstellungen > Permalinks (einfach speichern) neu generiert werden.


Schritt 5: Datenbank bereinigen

Schadcode versteckt sich auch in der Datenbank, besonders in wp_options (Siteurl, Homeurl) und wp_posts. Ein Datenbank-Scan über ein Plugin wie Wordfence oder über phpMyAdmin hilft, verdächtige Einträge zu finden. Bei komplexen Datenbankproblemen gibt es weiterführende Hilfe in der Anleitung zur WordPress-Datenbankfehler-Behebung.


Welche Dateien sind bei einem WordPress-Hack besonders gefährdet?

Angreifer platzieren Schadcode gezielt an Stellen, die bei oberflächlicher Prüfung leicht übersehen werden.

() close-up technical scene showing a code editor with highlighted suspicious PHP code containing 'base64_decode' and 'eval'

Besonders gefährdete Dateien und Ordner:

  • wp-config.php – Enthält Datenbankzugangsdaten; häufig Ziel für Backdoors.
  • .htaccess – Wird für Weiterleitungen auf Spam-Seiten missbraucht.
  • wp-includes/ und wp-admin/ – Kerndateien, in die fremde PHP-Dateien eingeschleust werden.
  • wp-content/uploads/ – Oft werden hier PHP-Dateien versteckt, da der Ordner öffentlich zugänglich ist.
  • Theme-Dateien (functions.php) – Beliebter Ort für obfuskierten Code. [9]


Tipp: Den Ordner wp-content/uploads/ auf PHP-Dateien prüfen. Dort sollten ausschließlich Mediendateien (Bilder, PDFs) liegen, niemals PHP-Skripte.


Backup-Wiederherstellung vs. manuelle Bereinigung: Was ist besser?

Beide Ansätze haben ihre Berechtigung – die Wahl hängt von der Situation ab.

() comparison table visualization showing 'Backup-Wiederherstellung vs. Manuelle Bereinigung' side by side with German

Kriterium Backup-Wiederherstellung Manuelle Bereinigung
Geschwindigkeit Sehr schnell (Minuten) Zeitaufwendig (Stunden bis Tage)
Vollständigkeit Hoch, wenn Backup sauber ist Abhängig von Gründlichkeit
Datenverlust Möglich (Inhalte seit Backup) Kein Datenverlust
Technisches Know-how Gering Hoch
Empfohlen wenn Sauberes Backup vorhanden Kein Backup oder Backup auch infiziert

Faustregel: Backup einspielen ist immer die erste Wahl. Wenn kein sauberes Backup existiert oder der Hack schon länger zurückliegt, ist manuelle Bereinigung notwendig. [2]

Bei schwerwiegenden Hacks, bei denen kein Dashboard-Zugriff mehr besteht, kann eine Neuinstallation von WordPress ohne Inhaltsverlust sinnvoll sein. [2] Wer dabei Unterstützung braucht, findet Orientierung in der Übersicht zu WordPress-Fehlern professionell beheben.


Nach der Reparatur: WordPress gegen künftige Angriffe absichern

Eine reparierte Website ist nur dann sicher, wenn der ursprüngliche Einfallsweg geschlossen wird. Sonst ist der nächste Hack nur eine Frage der Zeit.

Checkliste für nachhaltige WordPress-Sicherheit:

  • ✅ Automatische Updates für WordPress-Kern, Plugins und Themes aktivieren. [2]
  • ✅ Zwei-Faktor-Authentifizierung für alle Admin-Konten einrichten.
  • ✅ Anzahl der installierten Plugins auf das Minimum reduzieren. [2]
  • ✅ Starke, einzigartige Passwörter für alle Zugänge verwenden (Passwort-Manager empfohlen).
  • ✅ Regelmäßige Backups an einem externen Speicherort einrichten.
  • ✅ Login-URL ändern oder Login-Versuche begrenzen (Brute-Force-Schutz).
  • ✅ Sicherheits-Plugin installieren (z. B. Wordfence, Sucuri oder iThemes Security).
  • ✅ Dateirechte korrekt setzen: Ordner auf 755, Dateien auf 644.
  • wp-content/uploads/ für PHP-Ausführung sperren (via .htaccess).


() WordPress security checklist illustration showing a clipboard with German security items being checked off:

Nach der Bereinigung sollte ein Malware-Scan über das Hosting-Kontrollpanel angefordert werden. Falls die Website von Google als gefährlich markiert wurde, kann über die Google Search Console eine erneute Überprüfung beantragt werden. [4]

Für weiterführende technische Probleme, die nach einem Hack auftreten können – wie ein White Screen of Death oder ein 500 Internal Server Error – gibt es separate Anleitungen.


Wann braucht man professionelle Hilfe beim WordPress-Hack reparieren?

Nicht jeder Hack lässt sich mit den oben genannten Schritten vollständig beheben. Es gibt Situationen, in denen professionelle Unterstützung sinnvoller ist als stundenlanges Suchen.

Professionelle Hilfe ist ratsam, wenn:

  • Kein Zugriff auf das WordPress-Dashboard oder FTP mehr möglich ist.
  • Der Hack trotz Bereinigung immer wieder zurückkommt (Backdoor nicht gefunden).
  • Die Website rechtlich relevante Daten (Kundendaten, Zahlungsinformationen) verarbeitet.
  • Keine Erfahrung mit PHP, FTP oder Datenbankzugriffen vorhanden ist.
  • Die Website geschäftskritisch ist und jede Stunde Ausfallzeit Umsatz kostet. [3]


Ein professioneller Service kann auch dann helfen, wenn die Website nach einem fehlgeschlagenen Update oder einer Beschädigung nicht mehr erreichbar ist. Mehr dazu unter defekte WordPress-Website reparieren.


FAQ: WordPress gehackt Website reparieren

Kann ich eine gehackte WordPress-Website selbst reparieren?
Ja, in vielen Fällen ist das möglich – vorausgesetzt, es gibt ein sauberes Backup oder grundlegende FTP- und PHP-Kenntnisse sind vorhanden. Bei komplexen Hacks mit versteckten Backdoors ist professionelle Hilfe effizienter.

Wie lange dauert die Reparatur einer gehackten WordPress-Website?
Mit einem sauberen Backup: 30 bis 60 Minuten. Ohne Backup und bei manueller Bereinigung: mehrere Stunden bis zu einem Tag, abhängig vom Ausmaß des Hacks.

Verliere ich meine Inhalte, wenn ich WordPress neu installiere?
Nein, wenn nur die Kerndateien ersetzt werden und der wp-content/-Ordner sowie die Datenbank erhalten bleiben. Eine vollständige Neuinstallation ohne Datenverlust ist möglich. [2]

Was ist eine Backdoor und wie finde ich sie?
Eine Backdoor ist versteckter Code, der Angreifern dauerhaften Zugriff ermöglicht – auch nach einer Passwortänderung. Sicherheits-Plugins wie Wordfence oder Sucuri können Backdoors in den meisten Fällen aufspüren.

Muss ich meinen Hosting-Anbieter informieren?
Ja, unbedingt. Viele Anbieter bieten kostenlose Malware-Scans an und können dabei helfen, den Ursprung des Hacks zu identifizieren. Außerdem können sie verhindern, dass die Website andere Kunden auf dem Server gefährdet.

Was passiert, wenn ich nichts unternehme?
Die Folgen können schwerwiegend sein: SEO-Einbußen durch Google-Blacklisting, Datenverlust, Reputationsschäden und im schlimmsten Fall rechtliche Konsequenzen bei Datenschutzverletzungen. [7]

Wie erkenne ich, ob meine Website auf einer Google-Blacklist steht?
In der Google Search Console unter Sicherheit und manuelle Maßnahmen nachsehen. Alternativ zeigt eine Google-Suche nach site:meinewebsite.de oft Warnhinweise direkt in den Suchergebnissen.

Sind kostenlose Sicherheits-Plugins ausreichend?
Für viele Websites ja – Wordfence Free bietet soliden Basisschutz. Für geschäftskritische Websites mit sensiblen Daten ist ein Premium-Plugin mit Echtzeit-Firewall empfehlenswert.


Fazit

Eine gehackte WordPress-Website ist kein Grund zur Resignation – aber ein klarer Auftrag zum sofortigen Handeln. Die wichtigsten Schritte sind: Website offline nehmen, alle Zugangsdaten ändern, ein sauberes Backup einspielen oder infizierte Dateien manuell bereinigen, und anschließend die Sicherheitslücken schließen.

Konkrete nächste Schritte:

  1. Jetzt prüfen, ob ein aktuelles Backup existiert.
  2. Alle Passwörter (WordPress, FTP, Datenbank) ändern.
  3. Einen Malware-Scan über das Hosting-Kontrollpanel starten.
  4. Automatische Updates für alle WordPress-Komponenten aktivieren.
  5. Bei Unsicherheit: professionellen WordPress-Reparatur-Service kontaktieren.

Wer regelmäßige Backups, automatische Updates und einen minimalen Plugin-Einsatz zur Routine macht, reduziert das Risiko eines erneuten Hacks erheblich. Sicherheit ist kein einmaliges Projekt, sondern eine kontinuierliche Praxis.


References

[2] Gehackte WordPress Website Reparieren – https://news.infomaniak.com/de/gehackte-wordpress-website-reparieren/
[4] 115005710205 Wie Kann Ich Eine Gehackte WordPress Site Reparieren – https://help.one.com/hc/de/articles/115005710205-Wie-kann-ich-eine-gehackte-WordPress-Site-reparieren
[6] WordPress Hacked – https://contabo.com/blog/de/wordpress-hacked/
[7] WordPress Gehackt So Retten Sie Ihre Website In 5 Schritten – https://www.forge12.com/blog/wordpress-gehackt-so-retten-sie-ihre-website-in-5-schritten/
[9] Gehackt Datenbank Bereinigen Reparieren – https://de.wordpress.org/support/topic/gehackt-datenbank-bereinigen-reparieren/

Tags: wordpress gehackt, website reparieren, wordpress sicherheit, malware entfernen, wordpress hack, wordpress bereinigen, gehackte website, wordpress backup, wordpress reparatur, wp-config.php, wordpress sicherheitslücken, brute force schutz

Verschlagwortet , , , , , , , , , , ,