Deine WordPress Website wurde gehackt, und fragst dich, was du tun kannst? Ich persönlich kenne das Gefühl, im ersten Moment ist das ein echter Schock. Man weiß gar nicht, was eigentlich passiert ist, wie man es reparieren kann und wo man überhaupt anfangen soll.
Hier auf MeinPress möchte ich etwas für Klarheit sorgen und dir ein paar Tipps und Tricks an die Hand geben. Ganz klar: Ich kann dir jetzt nicht per Fingerschnipp die Lösung für dein Problem geben, denn es gibt so viele verschiedene Hacking-Szenarien, dass das unmöglich wäre. Aber ich zeige dir die wichtigsten Schritte und wie du in Zukunft besser schützen kannst.
Es gibt ein paar deutliche Anzeichen, die auf einen Hack hindeuten. Wenn du neue, unbekannte Benutzerkonten mit Administrator-Rechten in deinem WordPress findest – dann ist die Sache zu 100% klar. Das Gleiche gilt für unbekannte Dateien auf deinem FTP. Sind da plötzlich Dateien mit kryptischen Namen im Hauptverzeichnis oder in Unterverzeichnissen aufgetaucht, hast du einen Befall.
Ein guter Hoster scannt regelmäßig Dateien und warnt dich beim Fund von Schadcode direkt. Die betreffenden Dateien werden dann auch oft aufgelistet. Es kann auch sein, dass du beim Aufruf deiner Seite plötzlich auf dubiose Websites weitergeleitet wirst auch das ist ein klares Zeichen.
Die einfachste und schnellste Lösung ein Backup einspielen
Hier kommt der wichtigste Punkt: Wenn du ein funktionierendes Backup hast, das vor dem Hackingangriff erstellt wurde, ist das quasi deine Lebensversicherung. Die einfachste Variante ist es immer, die Website komplett zu löschen und ein sauberes Backup wieder einzuspielen. Das kannst du in der Regel auch selbst machen.
Hast du selbst kein Backup gemacht? Dann unbedingt deinen Hostinganbieter kontaktieren! In der Regel macht der Hoster automatische Backups für 7 oder 14 Tage. Frag ihn, ob er ein Backup für dich einspielen kann. Im Optimalfall ist das letzte Backup noch vor dem Hack entstanden und du kannst darüber deine Website wieder reaktivieren.
Und wer einen Dedicated Server hat und Plesk nutzt, ist damit meistens automatisch fertig. Oder du musst es selbst installieren.
Nach dem Einspielen sofort erledigen:
- Alle Updates durchführen (WordPress, Themes, Plugins)
- Alle Benutzerdaten ändern – und zwar für alle Benutzerkonten
- Datenbank- und FTP-Zugangsdaten ändern (die stehen in deiner wp-config.php und sind damit für den Angreifer sichtbar gewesen)
Seite manuell desinfizieren
Hast du kein Backup oder musst aus anderen Gründen die Seite manuell säubern, wird es etwas aufwändiger. Hier die wichtigsten Schritte:
Erstmal ein Backup der verseuchten Seite machen, falls du später noch eigene Daten retten musst. Am besten klonst du die Seite lokal, damit du nicht direkt auf dem Server arbeitest. Tools wie Duplicator oder All-in-One Migration sind dafür gut geeignet. Für den lokalen Betrieb kannst du XAMPP oder Local WP nutzen.
Dann lädst du dir eine frische WordPress-Installation herunter, um saubere Dateien zu haben. Lösche die Ordner wp-includes und wp-admin komplett und kopiere die Ordner aus der frischen WordPress-Datei rein. Schau dir auch den Plugins-Ordner in wp-content genau an und ersetze verdächtige Plugins durch frische Versionen.
Wenn du dich damit nicht auskennst, such dir lieber einen Profi. Hacking-Szenarien können so unterschiedlich sein, dass ich dir hier keine allgemeingültige Lösung geben kann. Ein Programmierer, der sich mit WordPress-Sicherheit auskennt, ist hier oft die bessere Wahl.
Eine weitere Möglichkeit ist Wordfence. Es ist stark und kostenlos bis zur Premium-Version. Es werden automatisch Scans durchgeführt. Wichtig: Wenn eine Warnung beim Scannen kommt, nicht direkt löschen, weil es immer auf Rot hoch eingestuft ist. Immer genauer nachschauen, was das ist. Es kann auch ein installiertes Plugin sein, das du bei deinem WordPress brauchst.
So schützt du dich in Zukunft
Jetzt aber noch die wichtigsten Tipps für die Zukunft, damit dir das nicht nochmal passiert:
Regelmäßige Backups – das ist das A und O. Es gibt Sicherheitslücken in WordPress und dessen Erweiterungen, deshalb ist auch ein regelmäßiger Update-Zyklus sehr wichtig. Plugins wie UpdraftPlus oder WP Vivid helfen dir dabei, automatische Backups zu erstellen. Bei WP Vivid hast du sogar eine Lifetime-Lizenz ,einmal bezahlt und das Thema ist erledigt.
Wenn du Cloudflare als CDN und Wordfence mit deinem WordPress verknüpfst, kann dir das auf Dauer Arbeit und nerven sparen.
Sichere Zugangsdaten verwenden:
- Wähle keinen Benutzernamen wie „admin” oder „Administrator”, da Hacker ein Tool verwenden, das immer versucht, sich mit „admin” oder „wp-admin” in dein WordPress einzuloggen. Du kannst den Benutzernamen auch mit dem Plugin „WPS Hide Login” beliebig ändern. Das heißt, du kannst deinen wp-admin-Ordner beliebig ändern, z. B. in 34-wp usw. Verwende keine Kombination aus Vor- oder Nachnamen, sondern eine Kombination aus Zahlen und Buchstaben, die nicht zu erraten ist.
- Passwort: Mindestens 14 Zeichen mit Großbuchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen
Nutze einen vernünftigen Hoster! Ich empfehle dir All-Inkl – die sind im Shared-Hosting-Bereich quasi das Beste was Preis-Leistung angeht. Die sorgen auch dafür, dass du eine aktuelle PHP-Version auf deiner Seite hast. Bei Strato, Ionos und anderen großen Anbietern, die viel Werbung schalten, ist die Leistung oft deutlich schlechter.
Falls du einen eigenen Server hast und nicht im Shared-Hosting unterwegs bist, kann dir das Tool ConfigServer eXploit Scanner helfen. Der checkt live beim Upload, ob irgendwas auf deinem Webspace gelandet ist, das nicht hingehört.
Eine gehackte Website ist erstmal ein Schock, aber mit den richtigen Schritten bekommst du das wieder hin. Das Wichtigste: Regelmäßige Backups sind deine Lebensversicherung. Wenn du die Tipps aus diesem Artikel befolgst, bist du auf der sicheren Seite – und falls doch mal was passiert, ist das Problem in Windeseile behoben, weil du einfach das Backup von gestern oder vorgestern einspielen kannst.
Viele unterschätzen diese Sachen und denken sich „was soll denn schon passieren“. Dann stellen sie fest, dass die Backups beim Hoster doch nicht täglich gemacht werden. Ich hatte diesen Fall schon mehrfach. Also: Mach regelmäßige Backups und du sparst dir eine Menge Ärger!
Solange deine Website weltweit erreichbar ist, legen die Hacker los. Ob du denkst, dass deine Website sowieso nicht bekannt ist, hat damit nichts zu tun. Oft verwenden sie ein automatisches Tool. Deshalb ist doppelt besser. Das hat natürlich je nach Hoster Nachteile bei der Geschwindigkeit auf der Website, aber wie sie es optimiert haben, ist es nur minimal. Es hat Vor- und Nachteile.