Hilfe! Wurde meine WordPress-Seite gehackt?

Eine gehackte WordPress-Seite zeigt sich selten durch ein einzelnes, eindeutiges Signal — meist häufen sich mehrere Symptome gleichzeitig: Die Website wird plötzlich langsam, Google zeigt eine Sicherheitswarnung, oder im Backend tauchen unbekannte Admin-Accounts auf. Wer zwei oder mehr dieser Zeichen bemerkt, hat mit hoher Wahrscheinlichkeit ein ernstes Problem. Das Wichtigste in diesem Moment: nicht überstürzt handeln. Gut gemeinte Sofortmaßnahmen wie Passwörter ändern oder ein Backup einspielen können den Schaden vergrößern — weil aktive Malware Tastatureingaben mitlesen kann und viele Backups bereits infiziert sind.

Die sieben häufigsten Warnzeichen einer kompromittierten WordPress-Seite auf einen Blick — gefolgt von den einzigen zwei Maßnahmen, die Sie sofort selbst ergreifen sollten:

• Website lädt plötzlich extrem langsam ohne erkennbaren Grund
• Unbekannte Administrator-Accounts im Backend
• Google zeigt Malware-Warnung vor Ihrer Seite
• Spam-Links oder fremde Inhalte in Ihren Artikeln
• Automatische Weiterleitungen zu anderen Websites
• Sie werden aus dem Admin-Bereich ausgesperrt
• Hosting-Provider meldet verdächtige Aktivitäten
• Sofort tun: Wartungsmodus aktivieren + WordPress-Sicherheitsexperten kontaktieren

---

In diesem Artikel erfahren Sie:

• 7 deutliche Warnzeichen, die auf einen Hack hindeuten
• Was Sie auf keinen Fall tun sollten — und warum es trotzdem viele falsch machen
• Warum Selbstbereinigung fast immer scheitert
• Was ein Profi konkret tut — und wie lange es dauert
• Was nach der Bereinigung passiert, wenn die Lücke nicht geschlossen wird

Die 7 wichtigsten Warnzeichen sind extrem langsame Ladezeit, unbekannte Admin-Accounts, Google-Warnungen, Spam-Links in Inhalten, automatische Weiterleitungen, Aussperrung aus dem Backend und Warnungen vom Hosting-Provider. Bei zwei oder mehr dieser Symptome ist die Wahrscheinlichkeit einer Kompromittierung sehr hoch — auch wenn jedes einzelne für sich genommen noch eine andere Ursache haben könnte.

1. Ihre Website ist plötzlich extrem langsam

Wenn Ihre Seite von einer Sekunde auf die andere drastisch langsamer lädt, ohne dass Sie etwas geändert haben, ist das ein ernstes Warnsignal. Malware nutzt oft Server-Ressourcen für eigene Zwecke — etwa um Spam-Mails zu versenden oder Teil eines Bot-Netzwerks zu werden. Die Folge: Ihre Website kriecht nur noch dahin. Nicht jede langsame Website ist gehackt — aber wenn die Geschwindigkeit ohne erkennbaren Grund absackt und andere Probleme hinzukommen, sollten Sie aufmerksam werden.

2. Unbekannte Benutzerkonten im Backend

Schauen Sie unter „Benutzer" in Ihrem WordPress-Dashboard. Sehen Sie dort Accounts, die Sie nicht angelegt haben — besonders Administrator-Konten mit kryptischen Namen wie „admin2", „support_wp" oder zufälligen Buchstabenkombinationen? Hacker erstellen solche Backdoor-Accounts, um auch nach einer Passwortänderung weiter Zugriff zu haben. Diese Konten bleiben oft monatelang unentdeckt, weil sie sich nicht aktiv bemerkbar machen.

3. Google zeigt eine Malware-Warnung

Wenn Sie Ihre Seite googeln und statt des normalen Snippets eine rote Warnung sehen („Diese Website könnte Ihrem Computer schaden" oder „Verdächtige Website"), haben Sie ein massives Problem. Google blacklistet Websites, die Malware verbreiten oder Teil von Phishing-Kampagnen sind. Das Tückische: Bis Google diese Warnung anzeigt, kann Ihre Seite schon seit Tagen oder Wochen kompromittiert sein. Die Folgen für Ihr Ranking und Ihr Vertrauen bei Nutzern sind erheblich und schwer rückgängig zu machen.

4. Fremde Inhalte und Spam-Links in Ihren Texten

Links in Ihren Artikeln, die zu Casinos, Pharma-Shops oder zwielichtigen Seiten führen, oder ganze neue Seiten auf Ihrer Website, die Sie nie erstellt haben — das ist ein klassisches Zeichen für einen SEO-Spam-Hack. Angreifer missbrauchen Ihre Domain-Autorität, um ihre eigenen dubiosen Seiten in Google nach oben zu bringen. Ihr guter Ruf leidet dabei massiv, oft ohne dass Sie es selbst bemerken, weil die Inhalte nur für Suchmaschinen sichtbar sind.

5. Weiterleitungen zu anderen Websites

Sie oder Ihre Besucher werden automatisch auf fremde Websites umgeleitet? Besonders heimtückisch ist, dass das oft nur bei bestimmten Zugriffen passiert: nur über Google-Suche, nur auf Mobilgeräten, nur für nicht-eingeloggte Nutzer. Diese gezielten Weiterleitungen sollen den Hack möglichst lange verbergen. Während Sie als Administrator die Seite normal sehen, landen Ihre Besucher auf Malware-verseuchten Websites oder Phishing-Seiten.

6. Sie werden aus dem Admin-Bereich ausgesperrt

Ihr Passwort funktioniert plötzlich nicht mehr? Die „Passwort vergessen"-Funktion sendet keine E-Mail? Das deutet darauf hin, dass Hacker Ihre E-Mail-Adresse geändert und Sie komplett ausgesperrt haben. In diesem Stadium haben die Angreifer volle Kontrolle über Ihre Website. Jede Minute zählt, weil weiter Schaden entsteht, solange sie freien Zugang haben.

7. Warnungen vom Hosting-Provider

Ihr Webhosting-Anbieter meldet sich mit Hinweisen auf verdächtige Aktivitäten, hohen Ressourcenverbrauch oder Malware-Scans? Nehmen Sie das ernst. Viele Hoster scannen regelmäßig auf Schadcode und kennen typische Muster aus tausenden Kundensystemen. Manche Provider sperren bei schweren Infektionen sogar vorübergehend Ihren Account, um die Ausbreitung auf andere Kunden zu verhindern — ein Zeichen, wie ernst die Lage ist.

Panik ist ein schlechter Ratgeber. Viele Betroffene machen in der Stresssituation gravierende Fehler, die alles noch schlimmer machen. Die folgende Liste liest sich kontraintuitiv — aber jeder Punkt hat einen konkreten technischen Grund.

Nicht einfach alle Passwörter ändern

Es klingt logisch: Seite gehackt, also schnell alle Passwörter ändern. Aber das ist gefährlich. Wenn aktive Malware auf Ihrem Server läuft, kann diese Ihre Tastatureingaben mitschneiden (Keylogger-Funktion). Das neue Passwort landet direkt bei den Angreifern. Außerdem behebt eine Passwortänderung nicht das eigentliche Problem: Hacker haben vermutlich mehrere Backdoors installiert und kommen auch ohne Ihr Admin-Passwort rein.

Keine Selbstversuche mit Plugin-Scannern

Kostenlose Sicherheits-Plugins finden oft nur die offensichtlichsten Infektionen. Professionelle Malware ist getarnt, verschlüsselt oder in legitime Dateien eingeschleust. Schlimmer noch: Manche dieser Plugins haben selbst Sicherheitslücken oder können von der vorhandenen Malware manipuliert werden — sie zeigen dann „Alles sauber", während der Hack weiterläuft. Ein falsches Negativ ist oft gefährlicher als gar kein Scan.

Nicht einfach WordPress neu installieren

„Ich lösche alles und installiere WordPress neu" — dieser Gedanke kommt vielen. Aber Malware sitzt nicht nur in WordPress-Core-Dateien, sondern auch in der Datenbank, hochgeladenen Dateien, Theme- und Plugin-Dateien, der .htaccess und anderen Konfigurationsdateien sowie versteckten Verzeichnissen auf dem Server. Eine Neuinstallation ohne gründliche Bereinigung aller Bereiche lässt Backdoors zurück. Die Hacker sind innerhalb von Stunden wieder drin.

Kein blindes Backup-Einspielen

Auch das ist verlockend: „Ich spiele einfach das Backup von letzter Woche ein." Zwei Probleme: Erstens, viele Hacks bleiben wochenlang unentdeckt — das Backup könnte bereits die Malware enthalten. Zweitens, selbst wenn das Backup sauber ist, kehrt der Angreifer sofort zurück, wenn die ursprüngliche Sicherheitslücke nicht geschlossen wurde. Ohne Analyse des Einfallstors ist ein Backup kein Fix, sondern ein Zeitgewinn von wenigen Stunden.

Nicht die Seite einfach offline nehmen und abwarten

Manche Betroffene schalten die Website komplett ab und hoffen, das Problem löst sich von selbst. Das ist keine Lösung. Die Malware bleibt auf dem Server, kompromittierte Daten bleiben kompromittiert, und Google behält seine Warnung bei. Je länger Sie warten, desto mehr Schaden entsteht — sowohl beim Ranking als auch beim Vertrauen Ihrer Nutzer.

Eine gehackte WordPress-Seite lässt sich in den meisten Fällen nicht vollständig selbst bereinigen — nicht weil der Betroffene zu wenig Erfahrung hat, sondern weil moderne Malware so konzipiert ist, dass sie Selbstbereinigungsversuche überlebt. Das ist kein Verkaufsargument, sondern ein technisches Faktum.

Die Komplexität moderner Hacks

Moderne Malware verwendet polymorphe Verschlüsselung, bei der sich der Schadcode ständig seine Form ändert, mehrere Backdoors an verschiedenen Stellen im System, Tarnung als legitime WordPress-Dateien sowie direkte Injektionen in die MySQL-Datenbank. Manche Varianten sind zeitverzögert aktiviert und schlagen erst Wochen nach der Infektion zu — genau dann, wenn der Betreiber glaubt, das Problem sei gelöst. Ohne spezialisierte Tools und forensisches Fachwissen lassen sich diese Bedrohungen nicht vollständig beseitigen.

Das Risiko dauerhafter Schäden durch Selbstversuche

Falsche Bereinigungsversuche können irreparable Schäden verursachen: versehentliches Löschen wichtiger Dateien, Beschädigung der Datenbank, Verlust von Inhalten, die nicht im Backup waren, oder eine noch tiefere Kompromittierung durch Malware-Gegenreaktionen. Ein WordPress-Sicherheitsexperte weiß, wo er suchen muss, welche Tools zuverlässig sind und wie man eine Website vollständig säubert, ohne Kollateralschäden anzurichten.

Zeit ist Geld — und Vertrauen

Während Sie versuchen, sich durch Foren zu googeln und verschiedene Plugins auszuprobieren, indexiert Google die kompromittierten Seiten und verschlechtert Ihr Ranking, verlieren Besucher Vertrauen in Ihre Marke, entfernen andere Websites möglicherweise Links zu Ihrer Seite, und Ihr Hosting-Provider könnte Ihren Account sperren. Ein Profi bereinigt eine durchschnittlich komplexe Infektion in 4–8 Stunden. Eigene Versuche können sich über Tage oder Wochen ziehen — mit ungewissem Ausgang.

Die versteckten Kosten des DIY-Ansatzes

Professionelle Bereinigung kostet in Deutschland je nach Schweregrad zwischen 300 und 1.500 Euro. Das klingt nach viel — bis man die Gegenrechnung aufmacht: eigene Arbeitszeit von 20 bis 40 Stunden, verlorene Einnahmen durch Ausfall der Website, langfristiger Ranking-Verlust bei Google, verlorenes Kundenvertrauen sowie mögliche rechtliche Folgen bei Datenschutzverletzungen. Plötzlich ist eine professionelle, garantierte Bereinigung keine Ausgabe, sondern eine Investition in den Fortbestand des Geschäfts.

Eine professionelle WordPress-Bereinigung folgt einem strukturierten Ablauf in fünf Schritten — von der forensischen Analyse bis zum laufenden Monitoring. Das Verständnis dieses Ablaufs hilft einzuschätzen, warum eine Selbstbereinigung so oft scheitert: Es fehlt nicht an Motivation, sondern an den richtigen Werkzeugen für jeden Schritt.

Schritt 1: Forensische Analyse

Bevor überhaupt etwas gelöscht wird, führt der Experte eine gründliche Untersuchung durch: Wann fand die Kompromittierung statt? Welche Sicherheitslücke wurde ausgenutzt? Welche Dateien wurden wann verändert? Gibt es Backdoor-Accounts in der Datenbank? Diese Analyse ist entscheidend, um zu verstehen, welches Backup sauber ist, welche Lücken geschlossen werden müssen und ob mehrere Infektionswege gleichzeitig aktiv sind.

Schritt 2: Isolation und Schutz

Die Website wird in einen sicheren Zustand versetzt: Wartungsmodus aktivieren, alle verdächtigen Cronjobs deaktivieren, Firewall-Regeln verschärfen und ausgehende Verbindungen blockieren. Dieser Schritt verhindert, dass weiterer Schaden entsteht, während die eigentliche Bereinigung läuft.

Schritt 3: Vollständige Bereinigung

Die eigentliche Säuberung umfasst den Vergleich der Core-Dateien mit dem Original-WordPress und den Austausch manipulierter Dateien, die vollständige Überprüfung aller Themes und Plugins, die Entfernung schadhafter Datenbankeinträge und unbekannter Admin-Accounts, die Prüfung hochgeladener Dateien auf getarnte PHP-Skripte sowie die Untersuchung aller Konfigurationsdateien wie .htaccess und wp-config.php. Hinzu kommt eine Suche nach versteckten Backdoors im gesamten Webspace — der Teil, der bei Selbstversuchen fast immer übersprungen wird.

Schritt 4: Sicherheitshärtung

Bereinigung allein reicht nicht — die ursprüngliche Lücke muss geschlossen werden, sonst ist die nächste Infektion nur eine Frage der Zeit. Dazu gehören das professionelle Zurücksetzen aller Passwörter (Admin, FTP, Datenbank), das Schließen oder Ersetzen der betroffenen Plugins und Themes, aktuelle WordPress-Version und Updates, ein Sicherheits-Plugin mit Echtzeit-Firewall, korrekte Dateiberechtigungen und die Einrichtung von Zwei-Faktor-Authentifizierung.

Schritt 5: Monitoring und Google-Bereinigung

Der Experte kümmert sich auch um die Folgen des Hacks: ein formeller Überprüfungsantrag in der Google Search Console, um die Malware-Warnung zu entfernen, die Einrichtung eines laufenden Monitorings zur Früherkennung von Reinfektionen sowie eine robuste Backup-Strategie für die Zukunft. Die technische Bereinigung dauert 4–48 Stunden. Die Google-Warnung kann danach noch 1–2 Wochen bestehen bleiben — das ist normal und lässt sich nicht beschleunigen.

Sie haben festgestellt, dass Ihre Seite vermutlich gehackt wurde. Hier ist, was Sie sofort tun sollten — und was nicht. Die Liste ist kurz, weil Schadensbegrenzung in dieser Phase Vorrang vor Aktivismus hat.

Das sollten Sie sofort tun:

1. Wartungsmodus aktivieren. Falls Ihr Hosting-Panel einen Wartungsmodus anbietet, schalten Sie ihn ein. Das schützt Ihre Besucher vor Malware und verhindert weitere SEO-Schäden. Alternativ können Sie über die .htaccess einen einfachen Wartungsmodus einrichten.

2. Screenshots machen. Dokumentieren Sie alle Symptome mit Screenshots. Das hilft dem Experten bei der forensischen Analyse und kann bei rechtlichen Fragen wichtig werden.

3. Hosting-Provider informieren. Melden Sie den Vorfall Ihrem Anbieter. Die können oft temporär schädliche Prozesse stoppen und haben manchmal eigene Backup-Systeme, die bei der Analyse helfen.

4. Professionelle Hilfe kontaktieren. Suchen Sie einen WordPress-Sicherheitsexperten — je schneller, desto besser. Schildern Sie die Symptome und lassen Sie sich eine Einschätzung geben.

Das sollten Sie NICHT tun:

• Keine Passwörter ändern (Keylogger-Gefahr)
• Keine Plugins installieren oder deinstallieren
• Keine Dateien manuell löschen
• Kein Backup blind einspielen
• Keine WordPress-Neuinstallation ohne vorherige Bereinigung

Die professionelle Bereinigung dauert je nach Schweregrad zwischen 4 und 48 Stunden. Einfache Infektionen in 4–8 Stunden, mittlere Komplexität 12–24 Stunden, komplexe Fälle bis zu 2 Tage. Hinzu kommen 1–2 Wochen für die Google-Entstempelung, die parallel und unabhängig von der technischen Bereinigung läuft.

Einfache Fälle (4–8 Stunden)

Standard-Malware ohne fortgeschrittene Tarnung, einzelne Backdoor, keine Datenbank-Kompromittierung und ein sauberes Backup vorhanden: In diesen Fällen kann ein Experte die Seite oft innerhalb eines Arbeitstags säubern und wieder online bringen.

Mittlere Komplexität (12–24 Stunden)

Die meisten Fälle fallen in diese Kategorie: mehrere Backdoors, Datenbankmanipulationen, getarnte Malware in Theme-Dateien und ein teilweise kompromittiertes Backup. Rechnen Sie mit 1–2 Tagen für vollständige Bereinigung und Sicherheitshärtung.

Komplexe Fälle (24–48 Stunden)

Bei schweren Kompromittierungen — stark modifizierte Core-Dateien, tiefgreifende Datenbankinfektionen, kein sauberes Backup verfügbar oder mehrere Websites auf einem Hosting betroffen — dauert es entsprechend länger. In extremen Fällen kann ein kompletter Neuaufbau nötig sein, bei dem Inhalte manuell aus der Datenbank extrahiert und auf einer frischen Installation eingepflegt werden.

Wiederholte Hacks nach einer Bereinigung haben fast immer eine von zwei Ursachen: Entweder wurde die ursprüngliche Sicherheitslücke nicht geschlossen, oder die Bereinigung war unvollständig und eine Backdoor ist aktiv geblieben. Hacker hinterlassen häufig mehrere versteckte Zugänge, damit sie auch nach einer Passwortänderung wieder Zugriff erhalten. Eine Bereinigung ohne anschließende Sicherheitshärtung ist deshalb kein abgeschlossenes Projekt — sondern eine aufgeschobene Wiederholung.

Diese Maßnahmen verhindern, dass ein bereinigtes System innerhalb von Wochen erneut kompromittiert wird:

Automatische Updates aktivieren

WordPress, Themes und Plugins sollten automatisch aktualisiert werden. Über 60 % aller WordPress-Hacks nutzen bekannte Sicherheitslücken in veralteter Software aus — Lücken, für die seit Wochen ein Patch existiert. Automatische Updates schließen diese Lücken, sobald sie verfügbar sind.

Sicherheits-Plugin mit Echtzeit-Firewall

Ein gutes Sicherheits-Plugin wie Wordfence oder Sucuri Security blockt Angriffe in Echtzeit. Die eingebaute Firewall erkennt typische Hack-Versuche und verhindert sie, bevor Schaden entsteht — nicht danach.

Robuste Backup-Strategie

Tägliche automatische Backups sind Pflicht. Entscheidend: Die Backups müssen an einem separaten Ort gespeichert werden — nicht auf demselben Server. Nur so ist im Ernstfall ein wirklich sauberes Backup verfügbar, das nicht von derselben Infektion betroffen ist.

Login-Absicherung

Zwei-Faktor-Authentifizierung für alle Admin-Accounts, limitierte Login-Versuche und eine geänderte Standard-Login-URL blockieren die meisten Brute-Force-Attacken, ohne nennenswerten Aufwand für den Betreiber.

Regelmäßige Sicherheits-Scans

Ein monatlicher professioneller Sicherheitsscan erkennt Anomalien früh, bevor sie zu einem vollständigen Hack eskalieren. Mehr dazu im WordPress-Wartungsguide.

Eine gehackte WordPress-Seite ist kein Projekt für Heimwerker. Moderne Malware ist komplex, getarnt und hartnäckig — und so konzipiert, dass sie Selbstbereinigungsversuche überlebt. Die Risiken von Datenverlust, unvollständiger Bereinigung und weiterer Kompromittierung sind zu groß.

Die wichtigsten Punkte zum Mitnehmen: Erkennen Sie die Warnzeichen früh. Handeln Sie schnell, aber nicht überstürzt. Vermeiden Sie gut gemeinte Selbstversuche. Kontaktieren Sie einen WordPress-Sicherheitsexperten. Und investieren Sie nach der Bereinigung in Prävention — weil eine Bereinigung ohne Sicherheitshärtung nur eine Frage der Zeit bis zum nächsten Vorfall ist.

Die Kosten für professionelle Bereinigung sind minimal im Vergleich zu den Schäden, die eine halb-bereinigte oder sich wiederholende Infektion verursacht. Ihr Ruf, Ihre Daten und Ihr Google-Ranking sind es wert, richtig geschützt zu werden.

Woran erkenne ich, dass meine WordPress-Seite gehackt wurde?

Die 7 wichtigsten Warnzeichen sind extrem langsame Ladezeit, unbekannte Admin-Accounts, Google-Malware-Warnungen, Spam-Links in Inhalten, automatische Weiterleitungen, Aussperrung aus dem Backend und Warnungen vom Hosting-Provider. Bei zwei oder mehr Symptomen ist eine Kompromittierung sehr wahrscheinlich.

WordPress gehackt — was tun?

Wartungsmodus aktivieren, Screenshots machen, Hosting-Provider informieren und sofort einen WordPress-Sicherheitsexperten kontaktieren. Keine Passwörter ändern, keine Plugins installieren, kein Backup blind einspielen — diese gut gemeinten Maßnahmen können den Schaden vergrößern.

Kann ich eine gehackte WordPress-Seite selbst reparieren?

In den meisten Fällen nicht vollständig. Malware versteckt sich in Datenbankeinträgen, hochgeladenen Dateien, der .htaccess und versteckten Serververzeichnissen. Eine scheinbar erfolgreiche Selbstbereinigung lässt oft Backdoors zurück — Angreifer erhalten dann innerhalb von Stunden erneut Zugriff.

Wie lange dauert die Bereinigung einer gehackten WordPress-Seite?

Je nach Schweregrad zwischen 4 und 48 Stunden: einfache Infektionen in 4–8 Stunden, mittlere Komplexität 12–24 Stunden, komplexe Fälle bis zu 2 Tage. Hinzu kommen 1–2 Wochen, bis Google eine bestehende Malware-Warnung nach erfolgreicher Bereinigung aufhebt.

Was kostet die professionelle Bereinigung einer gehackten WordPress-Seite?

Eine professionelle WordPress-Malware-Bereinigung kostet in Deutschland je nach Schweregrad zwischen 300 und 1.500 Euro. Diese Kosten sind typischerweise deutlich niedriger als der Schaden durch Ranking-Verlust, Ausfallzeit und Vertrauensverlust bei einem halbherzig bereinigten Hack.

Warum kommt meine WordPress-Seite immer wieder gehackt, obwohl ich sie schon bereinigt habe?

Wiederholte Hacks nach einer Bereinigung haben fast immer eine von zwei Ursachen: Entweder wurde die ursprüngliche Sicherheitslücke nicht geschlossen, oder die Bereinigung war unvollständig und eine Backdoor ist aktiv geblieben. Eine gründliche Bereinigung umfasst daher immer auch eine forensische Analyse des Einfallstors und eine anschließende Sicherheitshärtung.

Wie erkenne ich, ob mein WordPress-Backup bereits infiziert ist?

Ein Backup ist möglicherweise infiziert, wenn der Hack-Zeitpunkt vor dem Backup-Datum liegt. Da viele Infektionen wochenlang unentdeckt bleiben, empfiehlt sich ein Vergleich von Datei-Timestamps mit dem bekannten Angriffszeitraum sowie eine Prüfung der Datenbank auf unbekannte Admin-Accounts und injizierte Scripts. Im Zweifel sollte das Backup von einem Experten geprüft werden, bevor es eingespielt wird.

Warum reicht ein kostenloser WordPress-Malware-Scanner nicht aus?

Kostenlose Plugin-Scanner erkennen nur oberflächliche Infektionen. Professionelle Malware tarnt sich als legitime Dateien, nutzt Verschlüsselung oder versteckt sich in der Datenbank. Ein falsches „Alles sauber" wiegt in falscher Sicherheit, während der Hack unbemerkt weiterläuft.

Kann ich nach einem WordPress-Hack einfach ein Backup einspielen?

Nicht ohne vorherige Analyse. Viele Hacks bleiben wochenlang unentdeckt — ein beliebiges Backup könnte bereits infiziert sein. Notwendig ist, den genauen Hack-Zeitpunkt zu ermitteln, ein sauberes Backup zu identifizieren und dieses auf versteckte Malware zu prüfen, bevor es eingespielt wird.

Welche WordPress-Sicherheitslücken nutzen Hacker am häufigsten aus?

Die häufigsten Einfallstore sind veraltete Plugins und Themes mit bekannten Schwachstellen, schwache Admin-Passwörter, unsichere Hosting-Umgebungen und nicht abgesicherte Login-Seiten. Über 60 % aller WordPress-Hacks erfolgen über nicht aktualisierte Plugins.

Kann ich verhindern, dass meine Seite überhaupt gehackt wird?

Zu 100 % verhindern lässt sich nichts im Internet, aber das Risiko lässt sich drastisch reduzieren: alle Software aktuell halten, starke Passwörter verwenden, nur vertrauenswürdige Plugins nutzen, regelmäßige Backups machen und ein Sicherheits-Plugin mit Firewall einsetzen. Die meisten Hacks passieren durch vermeidbare Sicherheitslücken.

Wie erkenne ich einen seriösen WordPress-Sicherheitsexperten?

Achten Sie auf: nachweisbare Erfahrung mit WordPress-Sicherheit, transparente Preisgestaltung, keine unrealistischen Versprechen wie „in 30 Minuten fertig", professionelle Kommunikation, Bereitschaft zur Erklärung des Vorgehens und Referenzen oder Bewertungen. Seriöse Experten machen erst eine forensische Analyse, bevor sie einen Festpreis nennen.

Was passiert, wenn ich einfach nichts tue?

Das ist die schlechteste Option. Eine gehackte Website wird stetig schlimmer: Google stuft Sie weiter ab, Ihr Hosting-Provider kann den Account sperren, Besucher bekommen Malware, Kundendaten sind gefährdet, und rechtliche Konsequenzen bei Datenschutzverletzungen drohen. Je länger Sie warten, desto teurer und aufwändiger wird die Bereinigung.