Ein Hack ist kein theoretisches Risiko — er ist für tausende WordPress-Websites jeden Tag Realität. Wenn es Ihre Website trifft, zählt schnelles, strukturiertes Handeln. Panikentscheidungen (Website löschen, schnell jemanden draufschauen lassen ohne Plan) machen die Situation oft schlimmer.
Diese Checkliste führt Sie durch die wichtigsten Schritte — von der ersten Diagnose bis zur Absicherung nach der Bereinigung.
Schritt 1: Ruhe bewahren und Beweise sichern
Löschen Sie nichts sofort. Machen Sie Screenshots der kompromittierten Inhalte, notieren Sie Zeitpunkte und sichern Sie im Admin-Bereich die Liste aller Benutzer. Diese Informationen sind für die spätere Aufarbeitung und ggf. eine DSGVO-Meldung notwendig.
Schritt 2: Website temporär offline nehmen
Setzen Sie die Website in den Wartungsmodus oder sperren Sie den öffentlichen Zugang über Ihr Hosting-Panel. Das schützt Ihre Besucher vor Malware und verhindert, dass Angreifer weiteren Schaden anrichten. Bei einem Redirect-Hack ist das besonders wichtig — jeder Besucher, der Ihre Website aufruft, wird sonst weitergeleitet.
Schritt 3: Alle Passwörter sofort ändern
WordPress-Admin-Passwörter aller Benutzer. FTP/SFTP-Zugangsdaten. Datenbank-Passwort (in wp-config.php anpassen). Hosting-Control-Panel-Passwort. Passwort der E-Mail-Adresse, die mit dem WordPress-Admin verknüpft ist. Verwenden Sie ausschließlich neue, starke Passwörter (mind. 20 Zeichen, zufällig generiert).
Schritt 4: Vollständige Malware-Analyse
Installieren Sie Wordfence oder nutzen Sie Sucuri SiteCheck für einen ersten Scan. Überprüfen Sie die Datenbank auf injizierte Scripts (häufig base64-codiert, erkennbar an 'eval(base64_decode'). Prüfen Sie die Datei-Modifikationsdaten — welche PHP-Dateien wurden zuletzt geändert? Suchen Sie in wp-content nach unbekannten PHP-Dateien.
Schritt 5: Bereinigung durchführen
Spielen Sie eine saubere Kopie von WordPress-Core ein (niemals einfach überschreiben). Ersetzen Sie alle Plugins und Themes durch frische Downloads vom Repository. Bereinigen Sie die Datenbank manuell oder mit einem spezialisierten Tool. Entfernen Sie alle unbekannten Admin-Benutzer.
Schritt 6: Ursache beseitigen
Eine Bereinigung ohne Ursachenbeseitigung ist sinnlos — der nächste Angriff folgt innerhalb von Tagen. Aktualisieren Sie alle Komponenten. Entfernen Sie nicht benötigte Plugins vollständig (nicht nur deaktivieren). Prüfen Sie, ob das Hosting-Paket aktuelle PHP-Versionen unterstützt.
Schritt 7: Google informieren
Prüfen Sie in der Google Search Console unter 'Sicherheit und manuelle Maßnahmen', ob Google Ihre Seite markiert hat. Nach der Bereinigung stellen Sie dort einen Überprüfungsantrag. Dieser Prozess dauert typischerweise 3–10 Werktage.
Schritt 8: DSGVO-Pflicht prüfen
Wenn durch den Hack personenbezogene Daten Ihrer Nutzer oder Kunden abgeflossen sein könnten (z.B. durch eine Datenbank-Exposition oder einen manipulierten Kontaktformular-Handler), besteht möglicherweise eine Meldepflicht gegenüber der zuständigen Datenschutzbehörde innerhalb von 72 Stunden. Konsultieren Sie im Zweifel Ihren Datenschutzbeauftragten.
Nach der Bereinigung: dauerhaft absichern
Richten Sie automatische tägliche Backups ein und testen Sie die Wiederherstellung. Aktivieren Sie Zwei-Faktor-Authentifizierung für alle Admin-Benutzer. Implementieren Sie ein regelmäßiges Update-Regime. Richten Sie ein Security-Monitoring mit automatischen Alerts ein. Wenn Sie diese Aufgaben nicht intern abbilden können oder wollen — ein professioneller Wartungsvertrag ist günstiger als die nächste Bereinigung.
