Deine WordPress Website wurde gehackt?

Spam-Werbung auf deiner Website. Weiterleitungen auf dubiose Seiten. Google warnt vor deiner eigenen Seite.

Ich weiß genau, wie sich das anfühlt, mir selbst ist das in meinen vielen WordPress-Jahren auch schon passiert.

Die gute Nachricht ist, du bekommst das in den Griff. In den meisten Fällen ist deine Website innerhalb weniger Stunden wieder sauber.

In dieser Anleitung zeige ich dir jeden einzelnen Schritt. Welche Tools du brauchst. Worauf du achten musst.

Am Ende weißt du nicht nur, wie du einen Hack bereinigst, sondern auch, wie du deine Website in Zukunft besser schützt.

Warum werden WordPress-Seiten gehackt?

WordPress betreibt über 43% aller Websites weltweit. Das macht es zum beliebtesten Angriffsziel für Hacker.

Die häufigsten Ursachen für einen WordPress-Hack:

Veraltete Software

Das Einfallstor Nummer 1. Nicht aktualisierte Plugins, Themes oder der WordPress Core selbst haben bekannte Sicherheitslücken. Hacker nutzen automatisierte Skripte, die gezielt nach diesen Schwachstellen suchen.

Schwache Passwörter

„admin“ als Benutzername und „123456“ als Passwort? Brute-Force-Angriffe knacken solche Zugangsdaten in Sekunden. Bots probieren rund um die Uhr tausende Kombinationen durch.

Nulled Themes und Plugins

Raubkopierte Premium-Plugins von dubiosen Quellen enthalten fast immer versteckte Backdoors. Wer 50 € für ein Theme spart, zahlt später oft das Zehnfache für die Bereinigung.

Unsichere Hosting-Umgebung

Billiges Shared Hosting mit hunderten anderen Websites? Wenn eine davon kompromittiert wird, können Hacker manchmal auf alle anderen zugreifen.

Fehlende Sicherheitsmaßnahmen

Keine Firewall, kein Limit für Login-Versuche, kein SSL, das ist wie eine offene Haustür mit einem Schild „Bitte eintreten“.

💡 Wichtig: Bei der Bereinigung musst du nicht nur die Malware entfernen, sondern auch die ursprüngliche Schwachstelle schließen. Sonst hast du das Problem in wenigen Tagen wieder.

WordPress gehackt: Daran erkennst du es

Bevor wir loslegen: Bist du sicher, dass deine Website wirklich gehackt wurde?

Manchmal verursachen fehlerhafte Plugins oder Theme-Konflikte ähnliche Symptome. Eine kurze Diagnose spart dir im Zweifelsfall viel Arbeit.

Das häufigste Symptom: Weiterleitungen auf fremde Seiten.

Deine Besucher landen plötzlich auf Casino-Websites oder Pharma-Shops, obwohl sie eigentlich deine Inhalte sehen wollten.

Gehe zudem deine Plugin-Liste durch und halte Ausschau nach Plugins, die du nicht installiert hast. Gib im Zweifel den Plugin Namen in Google ein und schaue, ob es wirklich existiert. Auf diese Art hat es meine Website letztens mal erwischt.

Ebenso verdächtig sind Spam-Links im Content, die du nie eingefügt hast.

Richtig übel wird es bei unbekannten Admin-Accounts. Die legen Hacker an, um auch nach einer Bereinigung wieder reinzukommen.

Weitere Warnsignale:

• Google zeigt „Diese Website kann Ihren Computer beschädigen“
• Deine Website ist extrem langsam oder fällt komplett aus
• Seltsame Dateien mit kryptischen Namen tauchen auf
• Spam-E-Mails werden ohne dein Wissen über deinen Server verschickt
• Deine Website zeigt plötzlich tausende Seiten mit japanischen oder chinesischen Schriftzeichen (Japanese Keyword Hack)

Du hast eines oder mehrere dieser Anzeichen bei dir? Dann lass uns direkt starten.

WordPress Malware entfernen: Die Schritt-für-Schritt Anleitung

Schritt 1: Ruhe bewahren und Bestandsaufnahme

Ich weiß, das klingt leichter gesagt als getan.

Aber hektische Aktionen machen es oft nur schlimmer.

Viele Website-Betreiber löschen in Panik wahllos Dateien. Oder spielen vorschnell ein altes Backup ein, ohne die Ursache zu analysieren.

Das Ergebnis? Der Hack wiederholt sich. Die Sicherheitslücke ist ja noch da.

Bevor du irgendetwas löschst oder veränderst:

• Mach Screenshots von allem Verdächtigen
• Notiere Datum und Uhrzeit, wann du den Hack bemerkt hast
• Speichere alle Fehlermeldungen

Diese Infos brauchst du später für deinen Hoster, für dich selber oder für einen Sicherheitsexperten.

Schritt 2: Website offline nehmen

Damit keine weiteren Besucher gefährdet werden, schalte deine Website in den Wartungsmodus.

Das schützt deine Besucher vor Infektionen. Und verhindert, dass Suchmaschinen die infizierten Seiten weiter indexieren.

Die meisten Hoster bieten eine einfache Funktion dafür. Schau in deinem Hosting-Dashboard nach „Wartungsmodus“ oder „Website deaktivieren“.

Falls dein Hoster das nicht anbietet: Bearbeite per FTP die .htaccess-Datei und füge ganz oben ein:

Order deny,allow
Deny from all
Allow from DEINE.IP.ADRESSE

Deine IP findest du unter wieistmeineip.de.

💡 Tipp: Informiere auch deinen Hoster über den Hack. Manche Hoster sperren gehackte Websites automatisch. Wenn du proaktiv Bescheid gibst, zeigst du, dass du das Problem aktiv angehst und der Hoster kann dir möglicherweise sogar helfen.

Schritt 3: Vollständiges Backup erstellen

Ja, du erstellst jetzt ein Backup der gehackten Website.

Klingt widersinnig, ich weiß. Aber es gibt gute Gründe:

Falls bei der Bereinigung etwas schiefgeht, hast du einen Wiederherstellungspunkt. Außerdem kann ein Experte die Malware später analysieren.

Wenn du noch Zugang zum WordPress Backend hast, kannst du einfach eines deiner erstellten WordPress Backups runterladen.

Alternativ erstellen ordentliche WordPress Hoster ebenfalls Backups, lade dir hier einfach eines herunter, wie du es hier beispielsweise bei WP Space siehst:

Und wenn du beides nicht hast, lege händisch ein Backup an.

So geht's:

1. Lade alle Dateien per FTP auf deinen Computer (ich nutze FileZilla)
2. Exportiere die komplette Datenbank über phpMyAdmin
3. Speichere beides in einem Ordner namens „Backup-gehackt-[Datum]“

Ganz wichtig: Markiere dir dieses Backup deutlich als infiziert. Verwechsle es niemals mit deinen sauberen Backups.

Schritt 4: Lokalen PC auf Viren prüfen

Das mag unnötig erscheinen. Ist es aber nicht.

Es gibt Fälle, bei denen die FTP-Zugangsdaten durch Keylogger auf dem lokalen Rechner gestohlen wurden.

Wenn dein PC infiziert ist und du jetzt neue Passwörter vergibst, kann sich der Hack direkt wiederholen.

Führe einen vollständigen Scan mit deinem Antivirenprogramm durch. Das gilt für alle Computer, von denen aus du auf WordPress zugreifst.

Erst wenn dein System sauber ist: weiter zum nächsten Schritt.

Schritt 5: Alle Passwörter ändern

Jetzt änderst du alle relevanten Passwörter. Und ich meine wirklich alle.

Hacker, die einmal Zugang hatten, haben möglicherweise alle gespeicherten Zugangsdaten kopiert.

Diese Passwörter müssen geändert werden:

• WordPress Admin-Passwort (für alle Admins)
• FTP-Zugangsdaten
• Datenbank-Passwort (danach in der wp-config.php aktualisieren!)
• Hosting-Account-Passwort
• E-Mail-Accounts, die mit WordPress verbunden sind

Nutze für jedes Passwort mindestens 16 Zeichen. Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen.

Ich empfehle dir einen Passwort-Manager wie bei Google Chrome direkt im Browser oder 1Password. Dann musst du dir die komplexen Passwörter nicht merken.

Vergiss die Security Keys nicht

In der wp-config.php findest du die sogenannten Security Keys (AUTH_KEY, SECURE_AUTH_KEY, etc.). Diese solltest du ebenfalls erneuern.

Neue Keys generierst du hier: https://api.wordpress.org/secret-key/1.1/salt/

Ersetze die alten Keys in deiner wp-config.php durch die neu generierten. Das macht alle bestehenden Cookies ungültig – auch die des Hackers.

Schritt 6: Malware-Scan durchführen

Jetzt scannen wir deine Website systematisch.

Dafür nutzen wir NinjaScanner, ein kostenloses Plugin mit sehr gründlichem Scanner. Trotz des Namens habe ich nichts mit diesem Plugin zu tun 😉

Ich habe es selbst auf vielen meiner Websites im Einsatz.

Der Scanner vergleicht deine WordPress-Dateien mit den Originalen und findet so eingeschleusten Schadcode.

So geht's:

1. WordPress-Dashboard → „Plugins“ → „Installieren“
2. Nach „NinjaScanner“ suchen
3. „Jetzt installieren“ → „Aktivieren“
4. „NinjaScanner“ → „Scan“

Der Scan kann 5-20 Minuten dauern, je nach Größe der Website. Lass ihn komplett durchlaufen.

NinjaScanner zeigt dir anschließend alle verdächtigen Dateien mit einer Beschreibung.

Zusätzlicher Check: Nutze parallel den kostenlosen Sucuri SiteCheck, um zu prüfen, ob deine Website auf Blacklists steht.

Schritt 7: Infizierte Dateien bereinigen

Jetzt machen wir uns ans Eingemachte: Die Malware muss raus.

Basierend auf den Scan-Ergebnissen weißt du jetzt, welche Dateien betroffen sind.

Bei Plugin- und Theme-Dateien:

Die sauberste Lösung: Komplett per FTP löschen und frisch aus dem WordPress-Repository neu installieren.

So stellst du sicher, dass keine versteckten Backdoors übrig bleiben.

Bei Core-Dateien:

Im nächsten Schritt zeige ich dir, wie du den kompletten WordPress-Kern neu installierst. Das ist sicherer als einzelne Dateien zu reparieren.

Bei eigenen Dateien im Uploads-Ordner:

Hier musst du manuell ran. Suche gezielt nach:

• Dateien mit kryptischen Namen wie x7fj2k.php
• PHP-Dateien im /wp-content/uploads/-Verzeichnis (dort gehören nur Bilder hin!)
• Dateien mit verschlüsseltem Code: base64_decode, eval, gzinflate

Im Zweifelsfall: löschen. Du hast ja dein Backup.

Schritt 8: WordPress Core neu installieren

Eine der effektivsten Methoden: Alle WordPress-Dateien durch frische, garantiert saubere Kopien ersetzen.

Klingt aufwändig, ist aber schnell erledigt. Deine Inhalte, Plugins und Themes bleiben erhalten – die liegen im /wp-content/-Ordner.

So geht's:

1. Aktuelle WordPress-Version von wordpress.org herunterladen und entpacken
2. Per FTP verbinden
3. Die Ordner /wp-admin/ und /wp-includes/ komplett löschen
4. Die frischen Ordner aus dem Download hochladen
5. Alle Dateien im Root-Verzeichnis überschreiben

Wichtig: Behalte deine wp-config.php und .htaccess – da stecken deine individuellen Einstellungen drin.

Prüfe beide Dateien, ob hier etwas Ungewöhnliches zu sehen ist. Wenn du dich nicht so gut auskennst, lade den Code im Zweifel in ChatGPT, Claude oder Gemini und frage, ob der gesamte Code normal ist oder Schadcode enthält.

Schritt 9: Unbekannte Benutzer löschen

Hacker legen sehr häufig neue Admin-Accounts an.

Diese Hintertür ist besonders tückisch. Die Accounts haben oft unauffällige Namen und werden leicht übersehen.

Geh zu „Benutzer“ → „Alle Benutzer“ und schau dir jeden Account genau an.

Besonders wichtig: Welche Rolle haben die Benutzer? Accounts mit Administrator-Rechten, die du nicht kennst, solltest du sofort löschen.

Zur Sicherheit auch direkt in der Datenbank prüfen: Öffne phpMyAdmin und schau in die Tabelle wp_users. Manche Hacker legen Accounts an, die im Dashboard nicht sichtbar sind.

Schritt 10: Datenbank bereinigen

Malware versteckt sich nicht nur in Dateien. Sie nistet sich auch gerne in der Datenbank ein.

Das ist besonders hartnäckig und sie wird bei jedem Seitenaufruf neu geladen.

Wenn du ein sauberes Backup der Datenbank hast, spiele es ein, statt die Datenbank händisch durchzugehen.

Falls du kein sauberes Backup hast, öffne phpMyAdmin und prüfe:

Tabelle wp_options:

• Sind siteurl und home korrekt? (Müssen auf deine echte Domain zeigen)

Tabelle wp_posts:

• Suche nach verdächtigen iframes oder Script-Tags im Content

Tabelle wp_usermeta:

• Ungewöhnliche Capabilities eingetragen?

Gesamte Datenbank durchsuchen nach:

• eval(
• base64_decode
• Verdächtige <script>-Tags
• <iframe src=-Einbettungen

Wie gesagt, wenn dir das zu komplex ist und du ein sauberes Backup von vor dem Hack hast, spiele es ein. Das ist der schnellste und sichere Weg.

Schritt 11: Sitemap bereinigen

Hacker fügen oft Spam-URLs in deine Sitemap ein. Diese URLs werden dann von Google indexiert und können deinem Ranking schaden.

So bereinigst du die Sitemap:

Öffne deine Sitemap (meist unter domain.de/sitemap.xml oder domain.de/sitemap_index.xml)

Prüfe zunächst alle aufgelisteten URLs auf verdächtige Einträge.

Wenn du ein SEO-Plugin wie Yoast oder Rank Math nutzt: Lösche den Sitemap-Cache und lass die Sitemap neu generieren.

Wenn du eine manuelle Sitemap hast, entferne alle Spam-URLs und lade die bereinigte Version hoch.

💡 Tipp: In der Google Search Console unter „Sitemaps“ siehst du, welche URLs Google aus deiner Sitemap kennt. Dort kannst du auch eine neue Sitemap einreichen.

Schritt 12: Bei Google Entwarnung beantragen

Wenn Google deine Website als gefährlich markiert hat, musst du nach der Bereinigung aktiv werden. Die Warnung verschwindet nicht von alleine.

So beantragst du die Überprüfung:

Öffne die Google Search Console (https://search.google.com/search-console)

Gehe zu „Sicherheit & manuelle Maßnahmen“ → „Sicherheitsprobleme“. Dort siehst du, welche Probleme Google gefunden hat.

Klicke auf „Überprüfung anfordern“. Beschreibe kurz, welche Maßnahmen du ergriffen hast. Google prüft deine Website in der Regel innerhalb von 24–72 Stunden.

💡 Wichtig: Beantrage die Überprüfung erst, wenn du dir sicher bist, dass die Bereinigung abgeschlossen ist. Wird bei der Prüfung noch Malware gefunden, dauert die nächste Überprüfung länger.

Schritt 13: Beobachte und überwache deine Website

Geschafft!

Führe jetzt nochmal einen Scan durch und wenn er sauber war und du alle Schritte abgeschlossen hast, sollte deine Website jetzt wieder normal funktionieren.

Beobachte sie in den nächsten Tagen aufmerksam. Führe regelmäßige Scans durch, um sicherzugehen, dass keine versteckte Malware übrig ist.

Wann du einen Profi brauchst

Es gibt zwei offensichtliche Gründe:

1. du kennst dich technisch nicht so gut aus und fühlst dich nicht wohl mit Änderungen an Dateien und der Datenbank
2. Manchmal ist ein Hack so tief verankert, dass die Bereinigung nicht zur kompletten Bereinigung führt.

Das ist keine Schande. Selbst erfahrene WordPress-Entwickler stoßen gelegentlich an ihre Grenzen.

Hol dir professionelle Hilfe, wenn:

• Du dir das nicht zutraust
• Die Malware nach der Bereinigung immer wieder auftaucht
• Du keinen Zugriff mehr auf dein WordPress-Dashboard hast
• Die Datenbank stark kompromittiert ist
• Du unsicher bist, ob deine Bereinigung wirklich vollständig war

Der einfachste Weg: Die Bereinigung an einen erfahrenen Profi abgeben.

Ich biete WordPress Malware-Bereinigung als Service an. Melde dich gerne, wenn du Unterstützung brauchst.

So schützt du deine WordPress Website vor künftigen Hacks

Die Bereinigung ist geschafft. Jetzt geht es darum, dass dir das nicht nochmal passiert. Diese Maßnahmen reduzieren das Risiko eines erneuten Hacks drastisch:

Halte alles aktuell

WordPress Core, Plugins und Themes sollten immer auf dem neuesten Stand sein. Aktiviere am besten automatische Updates für kleinere Sicherheitsupdates.

Entferne Plugins und Themes, die du nicht nutzt. Auch deaktivierte Plugins können Sicherheitslücken enthalten.

Wenn du dich auf dein Business fokussieren willst und nicht auf die Technik, übernehme ich in meinem Wartungsservice gerne sowohl die Wartung, als auch die Absicherung und Performance-Optimierung deiner Website!

Nutze starke, einzigartige Passwörter

Mindestens 16 Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen. Für jedes Login ein anderes Passwort.

Ein Passwort-Manager wie 1Password oder der integrierte Manager in Chrome macht das einfach.

Aktiviere Zwei-Faktor-Authentifizierung (2FA)

Selbst wenn jemand dein Passwort errät – ohne den zweiten Faktor kommt er nicht rein.

Plugins wie „Two-Factor“ oder „WP 2FA“ richten das in wenigen Minuten ein.

Hier ist eine Anleitung, wie du die Zwei-Faktor-Authentizifierung in WordPress einfügst.

Installiere eine Web Application Firewall (WAF)

Eine Firewall blockt verdächtige Anfragen, bevor sie WordPress überhaupt erreichen.

Kostenlose Optionen: Wordfence, NinjaFirewall
Premium mit CDN: Cloudflare Pro, Sucuri

Limitiere Login-Versuche

Standardmäßig erlaubt WordPress unbegrenzt viele Login-Versuche. Das lädt Brute-Force-Angriffe geradezu ein.

Plugins wie „Limit Login Attempts Reloaded“ sperren IPs nach mehreren Fehlversuchen.

Hier ist eine Anleitung dafür.

Regelmäßige Backups

Automatische Backups, die extern gespeichert werden (nicht auf demselben Server) sind am besten. Aber mindestens mal WordPress Backups auf dem gleichen Server sind Pflicht. So kannst du im Ernstfall schnell eine saubere Version wiederherstellen.

Wähle einen sicheren Hoster

Ein guter WordPress-Hoster bietet:

• Automatische Malware-Scans
• Tägliche Backups
• Server-seitige Firewall
• Isolierte Hosting-Umgebungen
• PHP und MySQL auf aktuellem Stand

Meine Empfehlung ist WP Space*. Wenn du vergleichen möchtest, schaue dir gerne meinen WordPress Hosting Vergleich an.

💡 Meine Empfehlung: Du musst nicht alles auf einmal umsetzen. Starte mit Updates, starken Passwörtern und 2FA, das sind die drei wirkungsvollsten Maßnahmen.

FAQ zur WordPress Bereinigung

Hattest du schon mal mit einem WordPress Hack zu kämpfen? Wie bist du damit umgegangen?

Hinterlasse deine Antwort in den Kommentaren, deine Erfahrungen können anderen Website-Betreibern helfen, die gerade vor dem gleichen Problem stehen.