WordPress gehackt – Ursachen, Soforthilfe & Schutz für die Zukunft
Deine Webseite zeigt plötzlich dubiose Inhalte, leitet auf seltsame Seiten weiter oder du kommst nicht mehr ins Backend? Dann lautet die bittere Wahrheit wahrscheinlich: Deine WordPress-Seite wurde gehackt.
Das klingt erstmal dramatisch, und ja, es ist ernst. Aber es ist kein Weltuntergang. Wichtig ist, jetzt besonnen zu handeln, keine Schnellschüsse zu machen und Schritt für Schritt die Kontrolle zurückzugewinnen.
In diesem Artikel zeigen wir dir, woran du erkennst, ob deine Seite kompromittiert wurde, wie Hacker typischerweise vorgehen und vor allem: Was du jetzt konkret tun kannst. Außerdem erfährst du, wie du dich in Zukunft besser schützt, damit es gar nicht erst so weit kommt.
Also: einmal tief durchatmen. Und los geht’s.
Inhaltsverzeichnis
1. Woran erkenne ich, dass meine WordPress-Webseite gehackt wurde?
Darüber hinaus können dich Warnhinweise wie der Aufruf deiner Seite im Browser, die Anzeige deiner Webseite bei Google oder der Alarm eines Sicherheitsplugins auf einen Angriff aufmerksam machen.
Häufigste Anzeichen für einen Hacker-Angriff
Ein Hacker Angriff kann sich sehr unterschiedlich äußern, je nachdem, welches Ziel der Angriff hatte und wie professionell er durchgeführt wurde. Hier sind die häufigsten Anzeichen:
Anzeichen
Beschreibung
Automatische Weiterleitungen
Die Seite leitet ohne dein Zutun auf fremde Seiten um, oft zu unseriösen Shops, Phishing oder Spam.
Veränderte Inhalte
Startseite, Beiträge oder Menüs zeigen plötzlich Inhalte, die du nie erstellt hast.
Admin Zugang gesperrt
Du kannst dich nicht mehr einloggen oder es wurden neue Admin-Konten angelegt.
Google Warnungen
In der Suche oder im Browser wird deine Seite als „gehackt“ oder „unsicher“ gekennzeichnet.
Auffälliger E-Mail Versand
Deine Seite verschickt plötzlich Massenmails oder taucht in Spam-Listen auf.
Unerklärbare Langsamkeit
Die Seite ist plötzlich extrem langsam, oft durch Schadcode oder Bot-Traffic verursacht.
Unbekannte Dateien im System
Auf dem Server erscheinen kryptische PHP-Dateien oder ungewöhnliche Verzeichnisse.
Manipulierte System-Dateien
.htaccess, wp-config.php oder index.php wurden verändert oder enthalten verdächtigen Code
Fremde IP’s oder Login-Versuche
In den Logs findest du viele Anmeldeversuche aus ungewöhnlichen Ländern.
Tools zur Erkennung und Prüfung von Hacker-Angriffen
Wenn du vermutest, dass dein WordPress gehackt wurde, willst du schnell Gewissheit. Zum Glück musst du nicht alles manuell prüfen; es gibt zahlreiche Tools, mit denen du verdächtige Aktivitäten erkennen oder sogar automatisch analysieren lassen kannst.
Hier sind die wichtigsten, mit denen du schnell und zuverlässig Klarheit bekommst:
Sucuri SiteCheck
Sucuri SiteCheck ist ein kostenloser Online-Scanner, mit dem du einfach deine URL prüfen kannst. Erkennt viele bekannte Malware-Signaturen, verdächtigen JavaScript-Code, SEO-Spam und Weiterleitungen. Ideal für eine erste Einschätzung, auch ohne Login.
Funktionen:
- Prüfung auf Schadcode & Spam im Quelltext
- Blacklist-Check über mehrere Anbieter
- Einschätzung zur allgemeinen Sicherheit der Seite
- HTTP-Header-Check & SSL-Status
Vorteile :
- Kein Plugin nötig, funktioniert über einfache URL-Eingabe
- Erkennt viele bekannte Malware-Signaturen & SEO-Spam
- Zeigt Blacklist-Status bei Google, Norton, McAfee & Co.
- Schnell, einfach und komplett kostenlos
Nachteile :
- Erkennt nur öffentlich sichtbare Manipulationen (kein Datei-Scan)
- Keine automatische Überwachung oder Bereinigungsfunktion
- Kein Echtzeitschutz, nur punktuelle Prüfung
Preis: kostenlos.
Google Search Console
Google Search Console: Wenn du deine Webseite dort registriert hast (unbedingt empfehlenswert!), wirst du benachrichtigt, wenn Google verdächtige Inhalte, Malware oder ungewöhnliches Verhalten feststellt.
Funktionen:
- Sicherheitsberichte bei gehackten Seiten oder Spam
- Crawling- und Indexierungsstatistiken
- Sitemap-Verwaltung
- Anzeige der Suchbegriffe, über die deine Seite gefunden wurde
- Leistungsberichte (Klicks, CTR, Positionen)
Vorteile :
- Frühzeitige Warnung bei Sicherheitsproblemen (z. B. Malware, Spam, Weiterleitungen)
- Zeigt, wie Google deine Seite wahrnimmt
- Detaillierte Berichte zu Indexierung, Crawling und Nutzerverhalten
- Komplett kostenlos und sehr zuverlässig
Nachteile :
- Kein direkter Malware-Scanner, meldet Probleme meist erst bei Sichtbarkeit in der Suche
- Erfordert DNS-/HTML-Bestätigung zur Einrichtung (nicht schwer, aber nicht selbsterklärend)
- Keine automatische Bereinigung oder aktiver Schutz
Preis: kostenlos.
VirusTotal
Bei VirusTotal kannst du einzelne Dateien oder sogar URLs hochladen und automatisch von mehreren Virenscannern prüfen lassen. Ideal, wenn du unsicher bist, ob eine Datei auf deinem Server sauber ist oder nicht.
Funktionen :
- Upload und Scan einzelner Dateien (z. B. verdächtige PHP-Dateien)
- URL-Prüfung zur Erkennung von Phishing oder Weiterleitungen
- Berichte mit Bewertung jeder Antiviren-Engine
- Teilbare Scan-Ergebnisse für Analyse & Kommunikation
Vorteile :
- Nutzt über 60 Antiviren-Engines gleichzeitig
- Unterstützt Datei-Upload & URL-Prüfung
- Ideal für verdächtige Dateien aus dem FTP-Zugang
- Kostenlos & ohne Anmeldung nutzbar
Nachteile :
- Nur Einzelprüfung möglich, keine ganze Seite analysierbar
- Kein Live-Monitoring oder aktiver Schutz
- Keine automatische Entfernung von Bedrohungen
Preis: kostenlos.
Installiere nicht einfach nur ein Plugin und vergiss es dann. Viele Hacks passieren, obwohl ein Sicherheitstool installiert ist. Oft, weil es nicht konfiguriert oder gar nicht regelmäßig genutzt wird. Setze dir regelmäßige Prüf-Termine oder aktiviere E-Mail-Warnungen im Plugin deiner Wahl.
FTP-Zugang & Hosting-Dateimanager
Über deinen FTP Zugang hast du direkten Zugriff auf die Dateien deiner WordPress-Installation. Diese lassen sich nun manuell auf Hacker-Angriffe, Probleme und Fehler überprüfen.
Mehr Informationen zum Thema FTP und wie du den Zugang richtig verwendest, erklären wir dir in unserem Tutorial:
⚙️ Der WordPress FTP-Zugang – einfache Erklärungen und Tutorial Schritt-für-Schritt erklärt.
Funktionen:
- Sicht auf alle Dateien (z. B. wp-content, uploads, themes)
- Möglichkeit zum Dateivergleich (z. B. Änderungsdatum)
- Zugriff auf .htaccess, wp-config.php und versteckte Dateien
- Datei-Downloads zur Prüfung über Tools wie VirusTotal
Vorteile:
- Volle Kontrolle über Ordner, Dateien und Zugriffsrechte
- Manipulierte Dateien und schädlicher Code oft gut erkennbar
- Unabhängig von WordPress selbst (nützlich bei kompletter Sperrung)
Nachteile:
- Technische Grundkenntnisse erforderlich
- Keine automatische Prüfung oder Meldung
- Kein Schutz, nur Sichtprüfung möglich
Wenn du unsicher bist, welche Datei verdächtig ist: alles, was kryptische Namen trägt, Base64-codiert aussieht oder neu erscheint, obwohl du nichts geändert hast, verdient Aufmerksamkeit.
2. WordPress Hacking präventiv vorbeugen
Ein Hack ist ärgerlich, aber in den allermeisten Fällen vermeidbar. Die gute Nachricht: Du brauchst kein Entwickler oder IT-Profi zu sein, um deine WordPress-Seite zuverlässig abzusichern. Mit ein paar grundlegenden Vorkehrungen reduzierst du das Risiko deutlich und kannst ruhig schlafen, auch wenn’s draußen digital stürmt.
Technische Schutzmaßnahmen: Die besten Grundlagen gegen Hacking
Hier sind die wichtigsten Sicherheitsmaßnahmen, die jede WordPress-Seite haben sollte. Am besten von Anfang an:
Regelmäßige Updates
- Halte WordPress, Plugins & Themes immer aktuell
- Aktiviere automatische Updates, wo sinnvoll
- Entferne nicht verwendete oder veraltete Erweiterungen komplett
Datei- und Serverrechte korrekt setzen
- Verzeichnisse: 755 / Dateien: 644
- wp-config.php: möglichst restriktiv (400 oder 440)
- Keine sensiblen Dateien öffentlich zugänglich lassen (robots.txt, .git etc.)
Zugriffsschutz für Login & Admin
- Begrenze Login-Versuche mit einem Plugin (z. B. Limit Login Attempts Reloaded)
- Verstecke oder schütze wp-login.php per .htaccess oder Plugin
- Deaktiviere xmlrpc.php , wenn nicht aktiv genutzt
Backup-Strategie
- Tägliche automatisierte Backups (z. B. mit UpdraftPlus oder über dein Hosting)
- Teste regelmäßig die Wiederherstellung
- Sichere auch die Datenbank, nicht nur Dateien!
Leistungsstarkes & sicheres Hosting
- Nutze Hosting mit integrierter Firewall, automatischen Backups & Update-Management
- Vermeide Billig-Shared-Hosting ohne aktiven Sicherheitsservice
- Achte auf aktuelle PHP-Version, SSL-Zertifikate & stabilen Support
Viele Sicherheitsprobleme entstehen nicht durch grosse Lücken, sondern durch vernachlässigte Kleinigkeiten. Eine durchdachte Grundkonfiguration ist oft der beste Schutz vor Ärger.
Sicherheits-Plugins im Überblick: Deine digitalen Türsteher
Neben technischen Maßnahmen helfen dir Security-Plugins, deine Seite aktiv zu überwachen, zu schützen und im Ernstfall Alarm zu schlagen. Hier sind drei beliebte Lösungen im Vergleich:
Wordfence Security
Wordfence Security ist ein umfassendes Sicherheitsplugin für WordPress, das deine Webseite mit einer Kombination aus Firewall- und Malware-Scanner-Funktionen schützt.
Alle Funktionen:
- Web Application Firewall (WAF): Blockiert schädlichen Datenverkehr und verhindert Angriffe, indem sie schädliche Anfragen filtert.
- Malware-Scanner: Überprüft regelmäßig deine Webseite auf Malware, Backdoors und bösartigen Code.
- Login-Sicherheit: Schützt vor unautorisierten Zugriffen durch Erzwingen starker Passwörter, Zwei-Faktor-Authentifizierung und Begrenzung fehlgeschlagener Anmeldeversuche.
- Live-Traffic-Überwachung: Bietet Echtzeit-Einblicke in den Datenverkehr und Hacking-Versuche, sodass du sofort reagieren kannst.
- Erweiterte manuelle Blockierung: Ermöglicht das Blockieren spezifischer IP-Adressen, IP-Bereiche oder ganzer Länder zur Abwehr gezielter Angriffe.
- Reparatur von Dateien: Ermöglicht die Reparatur von veränderten Dateien durch Überschreiben mit der originalen Version aus dem WordPress-Repository.
Vorteile:
- Sehr umfangreiche kostenlose Version.
- Echtzeit-Scanner & Firewall.
- Live-Traffic-Ansicht mit Angriffsversuchen.
- Zwei-Faktor-Login inklusive.
Nachteile:
- Kann auf Shared Hosting etwas Performance kosten.
- Konfiguration für Anfänger etwas technisch.
Preis: Kostenlos WordPress und Premium ab 149 $ pro Jahr.
Solid Security
Solid Security ist ein WordPress-Plugin, das über 30 Möglichkeiten bietet, deine Webseite vor Hackern und unerwünschten Eindringlingen zu schützen.
Alle Funktionen:
- Sicherheits-Scans: Überprüft deine Webseite auf Schwachstellen und empfiehlt Maßnahmen.
- Datei-Integritätsüberwachung: Warnt dich bei Änderungen an wichtigen Dateien.
- Starke Passwort-Erzwingung: Setzt die Verwendung sicherer Passwörter für alle Benutzer durch.
- Zwei-Faktor-Authentifizierung: Fügt eine zusätzliche Sicherheitsebene beim Login hinzu.
- 404-Erkennung: Blockiert Bots, die nach Schwachstellen suchen, indem sie wiederholt 404-Seiten aufrufen.
- Datenbank-Backups: Erstellt regelmäßige Backups deiner WordPress-Datenbank.
- Verbergen des Login-Bereichs: Ändert die Standard-Login-URL, um Brute-Force-Angriffe zu erschweren.
Vorteile:
- Übersichtliches Dashboard mit Sicherheitsstatus.
- 1-Klick-Hardening für wichtige WordPress-Bereiche.
- Verstecken der Login-URL.
- Dateiänderungsüberwachung.
Nachteile:
- Einige Funktionen nur in der Pro-Version verfügbar (z. B. Zwei-Faktor-Authentifizierung, Malware-Scan).
- Benutzeroberfläche kann stellenweise unübersichtlich wirken.
Preis: Kostenlos bei WordPress und Premium ab 99 $ pro Jahr.
Welches Plugin passt zu dir?
Die Auswahl hängt davon ab, wie du arbeitest und was dir wichtig ist:
Wordfence ist ideal, wenn du ein technisches Grundverständnis mitbringst und dir eine All-in-one-Lösung mit starker Firewall und detailliertem Monitoring wünschst.
Solid Security eignet sich besonders für Nutzer, die Wert auf ein einfaches Dashboard legen und Schritt-für-Schritt geführt werden möchten.
Sicherheitsroutinen & Best Practices im Alltag
Technische Schutzmaßnahmen sind wichtig, aber sie nützen wenig, wenn du sie nicht regelmäßig anwendest. Deshalb ist ein realistischer Sicherheits-Workflow entscheidend: lieber einfache Routinen, die du wirklich durchziehst, statt überkomplexe Sicherheitspläne, die in der Schublade liegen.
Hier sind die besten Alltags-Gewohnheiten für deine WordPress-Sicherheit: Sicherheitspläne, die in der Schublade liegen.
Regelmäßige Updates einplanen
- Plugins, Themes und WordPress 1x pro Woche prüfen
- Am besten immer dann, wenn du auch Inhalte pflegst, z. B. Montagmorgen
- Automatische Updates aktivieren, wo sinnvoll (z. B. Sicherheits-Patches)
Backup-Zeitpunkte definieren
- Tägliche automatische Backups einrichten (Hosting oder Plugin)
- 1x im Monat manuell prüfen, ob Wiederherstellung funktioniert
- Aufbewahrung von mind. 14 Tagen auf externem Speicherort
Mehr Informationen zu den besten Backup-Plugins kannst du hier nachlesen:
📬 Die Top 4 Backup Plugins für WordPress – einfach und sicher.
Admin-Bereich regelmäßig durchsehen
- Benutzerliste checken: Gibt es unbekannte Konten?
- Cronjobs, Kommentare & Plugins prüfen
- Systemdateien wie .htaccess oder wp-config.php auf unerwartete Änderungen untersuchen
Kommunikation & Verantwortlichkeit klären
- Wer ist zuständig für Sicherheit? Du, deine Agentur, dein Hosting?
- Wann musst du tätig werden und wann meldet sich dein Hoster automatisch?
Sicherheits-Reminder setzen
- Lege dir alle 2–4 Wochen einen kleinen Wartungstermin in den Kalender
- 30 Minuten reichen oft: einmal scannen, Benutzer prüfen, Updates einspielen – fertig!
Sicherheit ist kein Zustand, sondern eine Haltung. Du musst kein Profi sein, aber du solltest wissen, wie du im Alltag auf deine Seite achtest. Je routinierter das wird, desto seltener gibt’s echte Probleme. Wenn du noch mehr zum Thema Sicherheit auf WordPress lesen willst, sind vielleicht auch unsere 10 Tipps zum Absichern vom WordPress für dich interessant.
- PageSpeed Score
- Core Web Vitals
- Parameter mit Erläuterung
Nach dem Absenden erhältst du das Ergebnis direkt per E-Mail.
Mit dem Absenden dieses Formulars stimmst du unseren Datenschutzbestimmungen zu.
3. Dein WordPress wurde gehackt – Lösungen
In einer solchen Situation ist es wichtig, strukturiert und lösungsorientiert vorzugehen. Unüberlegte, schnelle Handlungen können die Situation verschlimmern und Daten eventuell verloren gehen. Das muss nicht sein.
Wenn du alleine nicht weiterkommst und Hilfe benötigst, scheue dich bitte nicht davor, deinen Hoster zu kontaktieren. Der Support sollte dir auf jeden Fall weiterhelfen können, in dem er das Problem findet und bestenfalls direkt behebt.
Den Wartungsmodus aktivieren
Es verhindert nämlich effektiv, dass deine Beusucher mit der infizierten Webseite interagieren und so mit schädlichen Inhalten in Kontakt kommen können. Du solltest deine Webseite jedoch nicht vollständig vom Netz nehmen, da dass deine User verwirren kann. Der Wartungsmodus zeigt den Usern an, dass du gerade an deiner Seite arbeitest und dass sie bald wieder zur Verfügung stehen wird.
Sobald sich deine Seite also im Wartungsmodus befindet, kannst du dich an die präzise Lösung der Probleme machen.
Solltest du dich hingegen nicht mehr anmelden können, ist es ratsam, zunächst einmal dein WordPress-Passwort zurückzusetzen, da die Angreifer dieses verändert haben könnten. In der Regel solltest du dich dann wieder einloggen können. Wenn du trotzdem nicht ans Ziel kommst kannst du probieren dich direkt bei deinem Hosting-Account – abseits von WordPress – einzuloggen. Auch hier ist es meistens möglich, eine Wartungsseite einzufügen. Falls du mit diesem Schritt Probleme haben solltest, kannst du dich auch direkt an den Support deines Providers wenden.
Die Passwörter ändern
Wenn dein WordPress gehackt wurde ist davon auszugehen, dass der Angreifer Zugriff auf einen deiner Accounts erlangen konnte. Allerdings ist es sehr schwer zu bestimmen, um welches Zugangskonto es sich dabei genau handelt. Außerdem ist es möglich, dass der Hacker im Laufe des Angriffes noch weitere Passwörter knacken konnte.
Zunächst solltest du dein eigenes Passwort zurücksetzen und erneuern. Falls es in deinem WordPress-System noch weitere Administratoren gibt, ist es wichtig, auch für diese Accounts neue Zugangsdaten zu generieren. Da du die Passwörter deiner weiteren Autoren aber nicht selbst zurücksetzen und neue Zugangsdaten vergeben kannst, solltest du diese zeitnah über die benötigten Änderungen informieren.
WordPress verwendet Passwörter aber nicht nur für den Zugriff auf das Backend, sondern sie kommen auch darüber hinaus zum Einsatz. Auch hierbei ist es möglich, dass der Angreifer Zugang zu den Passwörtern bekommen haben könnte – insbesondere wenn du für verschiedene Zugriffsmöglichkeiten das gleiche Passwort verwendet hast.
An diesem Punkt ist es daher besonders wichtig alle Passwörter für deine Datenbanken, wie zum Beispiel das SFTP-Passwort für deinen Hosting Provider oder deinen Hosting Account, auszutauschen. Nur wenn du in allen Bereichen die Zugangsdaten erneuerst, bist du vor weiteren Angriffen geschützt bzw. kannst diese verhindern.
Updates installieren
Es kommt immer wieder vor, dass ein WordPress-Theme oder ein Plugin eine Sicherheitslücke aufweist. Diese können Hacker nutzen, um Zugriff auf dein System zu erhalten, insbesondere bei veralteten Versionen.
Daher solltest du alle Themes und Plugins aktualisieren und das in regelmäßigen Abständen wiederholen. Das Aktualisieren erledigst du ganz einfach über das Dashboard, indem auf „Updates“ klickst. Daraufhin zeigt dir das System alle Themes und Plugins an, bei denen ein Update verfügbar ist: einfach auswählen und aktualisieren.
Wir empfehlen dir, die alle Aktualisierungen direkt am Anfang umzusetzen, da diese zu einem späteren Zeitpunkt deine Korrekturen unwirksam werden lassen könnten.
Updates von Plugins, Themes oder dem WordPress Core, kannst du auf verschiedenen Wegen machen. Einerseits über das WordPress Dashboard, über die Verwaltungsoberfläche deines Hosters oder über einen professionellen Update-Service.
👉🏻 Informiere dich hier über den Update-Service und spare dir Nerven und Ressourcen.
Neue Benutzer entfernen
Ein unbekannter Autor ist neu in deinem Profil? Das kann daran liegen, dass viele Hacker bei ihren Angriffen neue Benutzerkonten anlegen. Wenn dein WordPress gehackt wurde, können sie auf diese Weise auch später noch auf deine Seite zugreifen. Deshalb ist es wichtig diese Accounts zu finden und zu entfernen.
Um nicht autorisierte Benutzer-Accounts zu entfernen, musst du im WordPress-Backend auf „Benutzer“ klicken. Über den Link „Administrator“ gelangst du dann zu einer Liste, die alle Benutzer enthält. Meistens erkennst du hier direkt auf den ersten Blick, ob ein neuer Autor erstellt wurde. Du hast den Blindgänger gefunden? Dann kannst du ihn jetzt einfach aus der Liste löschen.
Du solltest dich spätestens jetzt mit den WordPress Benutzerrollen beschäftigen und deine Mitarbeiter bei WordPress richtig einstellen. Dadurch verhinderst du, dass es zu viele Administratoren-Zugänge gibt, die für unbefugte Zugriffe zukünftig ausgenutzt werden können.
🧟♀️ WordPress Benutzerrollen – Rechte richtig zuweisen und Rollen besser zuteilen.
Die angegriffenen Dateien entfernen
Nun stellt sich jedoch die Frage, wie du diese Dateien erkennen kannst.
Zunächst kannst du dir das Erstellungsdatum der Dateien ansehen. Diese Vorgehensweise ist zwar möglich, allerdings nicht sehr zuverlässig, da du auch aus versehen wichtige Systemdateien löschen könntest.
Es ist daher ratsam, dazu ein Plugin wie WordFence oder Sucuri zu verwenden. Die Plugins scannen dein System automatisch nach unerwünschten Dateien und entfernen sie. Das verhindert nicht nur unnötige Fehler, sondern ist auch wesentlich einfacher und effizienter für dich.
Die Sitemap bereinigen und an Google schicken
Sollte also bei Google die Nachricht erscheinen, dass deine Seite gehackt wurde, liegt das oftmals daran, dass der Angreifer die XML-Datei manipuliert hat. Hier werden häufig Links zu schädlichen Seiten integriert.
Die Sitemap zu bereinigen erledigst du über die Google Search Console. Hier hat jeder Webmaster die Möglichkeit, eine XML-Sitemap hochzuladen. Die Überprüfung der Datei kann jedoch einige Zeit in Anspruch nehmen.
Weiterführende Informationen rund um die WordPress Sitemap findest du hier in diesem Artikel:
📓Eine WordPress Sitemap erstellen – dein Tutorial für ein einfaches SEO Ranking.
Die Datenbank bereinigen
Da diese Aufgabe manuell aber nur schwer zu erledigen ist, empfehlen wir dir auch hier wieder auf ein Plugin zurückzugreifen, welches deine Datenbank kontrolliert. Dazu kannst du beispielsweise den “NinjaScanner” verwenden, der sowohl die beschädigten Daten, als auch deinen Datenmüll entfernt.
Sollte es zu einem Angriff auf deine Daten kommen, wirst du darüber informiert.
Detaillierte Informationen rund um das Thema Datenbank bei WordPress kannst du hier nachlesen:
💾 WordPress Datenbank erstellen und verwalten – Schritt-für-Schritt-Anleitung.
Den WordPress Core neu installieren
Der WordPress-Kern muss daher manuell installiert werden. Dazu musst du die Dateien zunächst bei wordpress.org herunterladen und auf deinen Server überspielen. Über deinen Hosting-Anbieter bekommst du dazu einen neuen Zugangscode für SFTP. Mit einem passenden Client-Programm kannst du nun alle benötigten Dateien neu hochladen.
Achtung: Die Dateien wp-config.php und .htaccess solltest du nicht ersetzen. Hier sind die wesentlichen Konfigurationen deiner Seite gespeichert und sollten erhalten bleiben. Da hierbei jedoch gelegentlich Fehler passieren, ist es empfehlenswert, zunächst eine Sicherungskopie der beiden Dateien zu erstellen.
Halte dich immer auf dem neuesten Stand mit den WordPress Core Updates, zum Beispiel mit dem WordPress 6.8 Major Release.
Die Themes und Plugins kontrollieren
Grundsätzlich gilt es deshalb auf eine vertrauensvolle Quelle zu achten oder ausschließlich auf das WordPress Repo zurückzugreifen. Hier findet eine automatische Sicherheitskontrolle statt. Ihr solltet dennoch unbedingt von Gratis-Kopien ursprünglich kostenpflichtiger Themes und Plugins absehen, da diese häufig Malware enthalten.
Eigene entwickelte Tools für spezifische Anwendungen könnt ihr natürlich trotzdem verwenden.
Die Kontrolle deiner Themes und Plugins ist also essentiell, um die Hacker-Implementierungen vollständig erkennen zu können. Solltest du trotzdem Zweifel an einem deiner Tools haben, kannst du diese einfach löschen und durch eine Alternative ersetzen.
Immer auf eine(n) vertrauenswürdige Quelle oder Anbieter achten, um ein Sicherheitsniveau zu garantieren.
4. So schützt du deine Webseite vor Hackern
Wenn deine WordPress-Webseite gehackt wurde , sind schnelle und effektive Gegenmaßnahmen besonders essentiell, um weitere Schäden zu verhindern.
An erster Stelle solltest du daher einen kühlen Kopf bewahren und deine Seite in den Wartungsmodus versetzen. So ist deine Seite für Besucher nicht mehr zu erreichen. Alle folgenden Maßnahmen musst du nun individuell an deinen Problemen orientieren. Als nächstes gilt es die Themes und Plugins zu aktualisieren sowie alle deine Passwörter zu erneuern. Bei schwerwiegenden Hacker-Angriffen kann es aber auch notwendig sein, Themes und Plugins zu ersetzen, den WordPress-Kern auszutauschen oder die Datenbank zu bereinigen.
Mit den richtigen Tipps und Tricks 💡 ist es also gar nicht schwer, deine Webseite wieder auf Vordermann zu bringen. 🚀
