WordPress gehackt? WordPress Hacker CMS ADMINS WordPress gehackt

Hilfe, WordPress gehackt? Die Sicherheits-Experten von CMS ADMINS helfen.

NOTFALL?
24/7 erreichbar. Reaktionszeit ab 24 h, gestaffelt nach gebuchtem SLA-Tarif

TL;DR. WordPress gehackt: was jetzt zählt

  • Reaktionszeit: Drei SLA-Stufen. Critical 24 h · Express 48 h · Standard 3 Werktage. Sie wählen je nach Dringlichkeit.
  • Risiko: Gehackte Websites verlieren Google-Rankings, schaden der Reputation und werden von Browsern mit Warnungen belegt.
  • Vorgehen: Erstprüfung kostenlos, danach verbindliches Festpreis-Angebot. Backup-Restore plus Malware-Bereinigung plus Code-Audit, je nach Befund.
  • Nach der Recovery: 6 Monate reportedIP Pro inklusive Setup ohne Aufpreis. Brute-Force-Schutz, 2FA mit SMS, IP-Reputation aus dem deutschen Bedrohungs­netzwerk.
  • Zukunfts-Schutz: Laufender Wartungsvertrag mit Updates, Backups und 24/7-Monitoring schützt vor erneuten Angriffen.

Veröffentlicht: 2024 · Letzte Aktualisierung: 03.05.2026

Kurz gesagt: Wenn Ihre WordPress-Website gehackt wurde, starten wir die Wiederherstellung je nach gebuchtem SLA-Tarif in 24 Stunden, 48 Stunden oder 3 Werktagen, entfernen Malware, schließen die Einfallstür und sichern die Seite gegen den nächsten Angriff. Sofort-Kontakt: +49 89 21550588-8 oder über das Formular unten.

WordPress betreibt weltweit über 40 Prozent aller Websites. Das macht es zum Hauptziel automatisierter Angriffe. Wenn Ihre Seite gerade auf fremde Domains umleitet, Google eine Warnmeldung zeigt oder Besucher Spam-Inhalte sehen, zählt jede Stunde: Je länger die Seite kompromittiert online bleibt, desto größer der Schaden an Ranking, Reputation und Umsatz. Als WordPress Agentur München mit über 10 Jahren Notfall-Erfahrung reagieren wir sofort.

Gehackte WordPress-Websites erkennen

Was ist eine kompromittierte WordPress-Website?

Eine WordPress-Website gilt als kompromittiert, sobald unautorisierter Code (Malware), unautorisierte Admin-Accounts, manipulierte Datenbank-Einträge oder geänderte Routing-Regeln (z. B. Weiterleitungen auf fremde Domains) auf der Installation aktiv sind. Häufige Einbruchspforten 2026: ungepatchte Plugin-Sicherheitslücken (Patchstack-/wpscan-CVEs), Brute-Force-Angriffe auf Admin-Logins, kompromittierte FTP-Zugänge.

Hu00e4ufige Arten von WordPress-Hacks in 2026

Angreifer setzen 2026 auf automatisierte Tools, die Tausende WordPress-Installationen gleichzeitig auf bekannte Schwachstellen scannen. Die h\u00e4ufigsten Angriffsarten, mit denen wir t\u00e4glich konfrontiert sind:

Malware-Injektion

Schadcode wird in PHP-Dateien, die Datenbank oder das Theme eingepflanzt. Ziel: Browser-Weiterleitungen, Spam-Versand, Krypto-Mining im Hintergrund. Erkennung: Site-Check mit Wordfence oder Sucuri Scanner.

Backdoor-Installation

Angreifer legen versteckte PHP-Shells ab, \u00fcber die sie jederzeit wieder Zugriff erhalten \u2014 auch nach einer oberfl\u00e4chlichen Bereinigung. Deshalb reicht ein einfaches Passwort-Reset nicht aus.

SEO-Spam (Pharma-Hack)

Tausende versteckte Seiten mit Spam-Keywords (Medikamente, Gl\u00fccksspiel) werden in Ihrer Domain angelegt. Google sieht sie, Besucher nicht \u2014 bis die Rankings abst\u00fcrzen und Google eine manuelle Penalty ausspricht.

Brute-Force auf wp-admin

Automatisierte Login-Versuche mit Passwort-Listen. Ohne 2-Faktor-Authentifizierung und Login-Schutz reicht ein kompromittiertes Passwort f\u00fcr vollst\u00e4ndigen Zugriff. Besonders gef\u00e4hrdet: Standard-Benutzernamen wie „admin“.

Plugin-Sicherheitsl\u00fccken (CVEs)

\u00dcber 95 % aller WordPress-Hacks nutzen bekannte Schwachstellen in veralteten Plugins aus. Patchstack registriert monatlich Hunderte neue WordPress-CVEs. Ein Wartungsvertrag mit automatischem Update-Management schlie\u00dft diese L\u00fccke.

Cross-Site-Scripting (XSS)

Schadcode wird in Kommentarfelder, Formulare oder Theme-Einstellungen eingeschleust und beim n\u00e4chsten Admin-Besuch im Browser ausgef\u00fchrt. Ergebnis: Session-Hijacking, unautorisierte Admin-Aktionen.

Bei jedem Bereinigungsauftrag analysieren wir, welche Angriffsart genutzt wurde, dokumentieren die Einfallst\u00fcr und schlie\u00dfen sie dauerhaft \u2014 nicht nur den sichtbaren Schaden.

Kurzer Gegencheck: Wurde Ihre WordPress-Website gehackt? Es spricht alles dafür, wenn …

  • … Ihre Website auf andere, fremde Domains umgeleitet wird.
  • … sich Pop-ups zu fremden Inhalten öffnen.
  • … in der Suchmaschinen­ergebnisliste ganz andere Meta-Descriptions oder wirre Zeichen­kombinationen unter Ihrer Website-Domain angezeigt werden.
  • … Ihr Hoster Sie über verdächtige Spam-Aktivitäten informiert.
  • … Ihre WordPress-Website massenweise Mails versendet, die Sie gar nicht erstellt oder beauftragt haben.
  • … Anti-Virenprogramme und Browser vor dem Besuch Ihrer Website warnen.
  • … das WordPress-Backend langsamer reagiert oder plötzlich PHP-Fehler anzeigt.
  • … Sie eine Erpresser-Mail erhalten (typisch: „Zahlen Sie Bitcoin, sonst legen wir Ihre Seite lahm“). Viele dieser Mails sind Bluff ohne echten Zugriff. Prüfen Sie erst, bevor Sie reagieren.

Trifft mindestens einer dieser Punkte zu, ist Ihre Seite mit hoher Wahrscheinlichkeit kompromittiert. Der nächste Schritt: strukturiert vorgehen, nicht unkoordiniert reparieren.

WordPress wurde gehackt, was tun?

Erste Schritte bei einer gehackten WordPress-Seite

Reihenfolge zählt. Diese Schritte decken die meisten Fälle ab. Bei einer professionellen Wiederherstellung übernehmen wir sie für Sie.

  • Wenn Ihre WordPress-Seite gehackt wurde, sollten Sie zunächst einmal Ruhe bewahren.
  • Versuchen Sie nicht, den Hacker selbst zu finden oder zu kontaktieren. Das kann die Situation nur verschlimmern.
  • Informieren Sie sofort Ihren Webhoster und/oder Ihre Website-Sicherheitsfirma. Je schneller Sie handeln, desto größer die Chance einer sauberen Wiederherstellung.
  • Stellen Sie sicher, dass alle Passwörter geändert werden und ein sicherer Passwort-Manager im Einsatz ist.
  • Prüfen Sie alle Plugins und Themes auf Schadsoftware. Ein einziges infiziertes Plugin gefährdet die gesamte Installation.
  • Halten Sie WordPress-Core, Plugins und Themes konsequent aktuell. Auch Sicherheits-Updates für Themes und Plugins müssen regelmäßig eingespielt werden.
  • Setzen Sie ein DSGVO-konformes Sicherheits-Plugin ein. Wir empfehlen reportedIP Pro mit deutschem Hosting und integrierter 2FA.

Die beste Absicherung gegen einen zweiten Hack ist eine laufende Wartung: WordPress-Core, Plugins und Themes aktuell halten, Monitoring, tägliche Backups. Wir bieten das als laufenden Wartungsvertrag mit transparenten Festpreis-Stufen. Oder übernehmen einmalig die Bereinigung, wenn Sie intern weiterbetreuen.

Sofortma\u00dfnahmen in den ersten 60 Minuten

  1. Website offline nehmen (wenn m\u00f6glich). Beim Hoster die Website vor\u00fcbergehend deaktivieren oder auf eine Wartungsseite umleiten. Verhindert weiteren Schaden f\u00fcr Besucher und weiteres Ranking-Risiko.
  2. Alle Passw\u00f6rter sofort \u00e4ndern: WordPress-Admin, FTP/SFTP, Hosting-Panel, Datenbank. Von einem sauberen Ger\u00e4t aus \u2014 nicht vom m\u00f6glicherweise infizierten Rechner.
  3. Unbekannte Admin-Accounts l\u00f6schen. WordPress \u2192 Benutzer \u2192 alle Admins pr\u00fcfen. Nicht erkannte Accounts sofort entfernen.
  4. Letztes sauberes Backup identifizieren. Wann war das letzte Backup vor der Kompromittierung? Wichtig f\u00fcr die Recovery-Entscheidung: Restore vs. Bereinigung.
  5. Google Search Console pr\u00fcfen (falls eingerichtet): Gibt es Sicherheitswarnungen oder manuelle Ma\u00dfnahmen? Screenshot sichern f\u00fcr die Dokumentation.
  6. Hoster informieren. Viele Hoster haben eigene Sicherheitsteams und k\u00f6nnen serverseitige Logs liefern, die den Angriffszeitpunkt eingrenzen.
  7. CMS ADMINS kontaktieren. Parallel zu Schritt 1\u20136: +49 89 21550588-8 anrufen oder Formular ausf\u00fcllen. Wir \u00fcbernehmen ab hier die vollst\u00e4ndige Bereinigung.

Wichtig: F\u00fchren Sie keine vollst\u00e4ndige Neuinstallation durch, bevor die Einfallst\u00fcr identifiziert ist. Eine saubere Installation mit dem gleichen kompromittierten Passwort oder dem gleichen verwundbaren Plugin f\u00fchrt sofort zum n\u00e4chsten Angriff.

Welche wirtschaftlichen Folgen hat ein WordPress-Hack?

Ein Hack ist kein technisches Detail. Er ist ein Geschäfts-Vorfall. Vier konkrete Konsequenzen sehen wir aus über tausend Wiederherstellungs-Projekten seit 2012:

  • Sie verlieren potenzielle Kunden, die Ihre Website besuchen wollten. Und auf Glücksspiel-, Pharma- oder Pornoseiten umgeleitet werden. Das schadet der Reputation und führt langfristig zu Umsatzeinbrüchen.
  • Google straft gehackte Webseiten ab. Sie verlieren gute Positionen in den Suchmaschinen­ergebnis­listen und müssen nach einem Hack deutlich mehr investieren, um ehemals gute Positionen erneut zu erreichen. Google selbst warnt im Search-Console-Sicherheits-Center vor Reputations-Schäden bei kompromittierten Domains. Auch das BSI dokumentiert die Folgen für Unternehmen.
  • Sie verkaufen nichts. Ein gehackter eCommerce-Shop oder eine gehackte WordPress-Seite wirken unseriös. Sie verlieren konkret Umsätze. Akut und langfristig, weil Kunden unsichere Shops meiden und zum nächsten Wettbewerber mit sicherer Webpräsenz wechseln.
  • Sie haften für DSGVO-Verstöße. Bei einem Datenleck infolge des Hacks gilt die 72-Stunden-Meldepflicht an die Aufsichts­behörde. Bei mangelnder TOM-Dokumentation drohen Bußgelder.

Der beste Weg, WordPress vor Hacking-Angriffen zu schützen: professionelle Wartung plus DSGVO-konforme Sicherheits-Stack. Beides liefern wir aus einer Hand.

Wie wir Ihre gehackte WordPress-Seite reparieren. Schritt für Schritt

Wir folgen einem festen Recovery-Prozess. Von der Erstprüfung bis zur dokumentierten Übergabe. Jeder Schritt wird schriftlich festgehalten, damit Sie im Audit-Fall nachweisen können, dass die Bereinigung vollständig war.

1. Prüfung

Unsere Sicherheits-Experten prüfen die betroffene Seite auf WordPress-Hacks, Malware und schadhafte Verlinkungen. Erstprüfung kostenlos und unverbindlich.

2. Analyse + Angebot

Sie erhalten den Analyse-Bericht per E-Mail plus ein verbindliches Festpreis-Angebot. Falsch-Alarme kommen vor und sind kein Problem.

3. Rettung + Schutz

Nach Freigabe starten wir die Bereinigung. Malware-Removal, Backup-Restore, Sicherheits-Härtung. Auf Wunsch übernehmen wir die laufende Wartung.

Sie bleiben handlungsfähig. Wir kümmern uns um die Technik. Ab Wiederherstellung läuft Ihre Seite unter Monitoring: tägliche Scans, Updates und Echtzeit-Backups inklusive.

Bonus nach der Bereinigung. 6 Monate reportedIP Pro inklusive

Wer einmal gehackt wurde, will sich nicht zum zweiten Mal hacken lassen. Deshalb erhalten Sie zu jedem Notfall-Auftrag eine 6-monatige reportedIP-Pro-Lizenz inklusive Setup. Geschenkt, ohne Aufpreis.

Linke Seite zerbrochene rote Hack-Trümmer rechts saubere deutsche Server unter grünem Schutzschild. Bereinigung plus reportedIP-Pro-Schutz

reportedIP Pro Plugin

12 Angriffssensoren · IP-Reputation aus deutschem Bedrohungs­netzwerk · 2FA mit integriertem SMS-Versand · Hide-Login · REST-Burst-Drosselung. Die Pro-Lizenz ist 6 Monate inklusive.

Setup gratis

Wir richten reportedIP direkt nach der Bereinigung ein. Plugin, DSGVO-Modus, 2FA mit SMS, Hide-Login, Test mit echtem Login. Das komplette Setup-Paket ist im Notfall-Auftrag ohne Aufpreis enthalten.

DSGVO-konform statt US-Cloud

Anders als Wordfence oder Sucuri werden Ihre Daten nicht in US-Datacentern aggregiert. Hosting in Deutschland, Auftragsverarbeitungs­vertrag verfügbar. Im Detail im Blog.

So läuft es ab: Nach Abschluss der Bereinigung schalten wir das Plugin frei und richten es im selben Termin ein. Die 6-Monats-Lizenz beginnt mit der Übergabe. Danach können Sie regulär verlängern oder einfach laufen lassen. Ohne Auto-Verlängerung, ohne Verpflichtung.

Notfall-Wiederherstellung: 3 SLA-Stufen

Standard

Unsere Basis-Stufe für nicht-zeitkritische Fälle. Reaktionszeit innerhalb von 3 Werktagen nach Beauftragung. Solide Wiederherstellung ohne Express-Aufschlag.

  • Reaktionszeit: bis 3 Werktage
  • Reaktivierung aus 60-Tage-Backups
  • Malware-Entfernung
  • Security-Hardening
  • Monatlicher Support-Chat

Express

Beschleunigte Wiederherstellung mit priorisierter Bearbeitung und Live-Updates. Reaktionszeit innerhalb von 48 Stunden.

  • Reaktionszeit: 48 Stunden
  • Priorität: erhöht gegenüber Standard
  • Live-Status-Updates
  • 60-Tage-Backups
  • Malware-Entfernung + Hardening

Critical

Maximale Priorität für akute Notfälle. Reaktionszeit innerhalb von 24 Stunden. Incident-Team rund um die Uhr erreichbar.

  • Reaktionszeit: 24 Stunden
  • 24/7 Incident-Team · maximale Priorität
  • Direkte Kontaktaufnahme per Telefon
  • 60-Tage-Backups
  • Malware-Entfernung + Hardening

Verbindliches Festpreis-Angebot vor Beauftragung. Der Aufwand richtet sich nach SLA-Stufe und Tiefe der Kompromittierung.

WordPress gehackt? Hilfe naht.

Bitte füllen Sie das untenstehende Formular aus. Wir melden uns so schnell wie möglich zurück. Bei akutem Notfall: +49 89 21550588-8

Häufige Fragen zur Wiederherstellung

Wie kann ich meine gehackte WordPress-Seite wiederherstellen?

Melden Sie sich telefonisch unter +49 89 21550588-8 oder über das Formular auf dieser Seite. Wir prüfen den Zustand Ihrer Installation und starten je nach gebuchtem SLA-Tarif (Critical 24 h · Express 48 h · Standard bis 3 Werktage) die Wiederherstellung aus einem 60-Tage-Backup, entfernen Malware und schließen die Sicherheitslücke. Den kompletten Ablauf dokumentieren wir schriftlich.

Was kostet die Wiederherstellung?

Für bestehende Wartungskunden ist die Wiederherstellung Teil des Vertrags. Für Neukunden erstellen wir nach einer kostenlosen Erstprüfung ein verbindliches Festpreis-Angebot vor Beauftragung. Der Aufwand hängt von der Tiefe des Angriffs ab. Reine Backup-Wiederherstellung ist deutlich schneller als eine vollständige Malware-Reinigung mit Code-Audit.

Wie lange dauert die Wiederherstellung?

Die Reaktionszeit richtet sich nach dem gebuchten SLA-Tarif: Critical startet innerhalb von 24 Stunden, Express innerhalb von 48 Stunden, Standard innerhalb von 3 Werktagen. Sobald die Bereinigung läuft, haben wir saubere Seiten meist am selben Werktag wieder online. Bei tieferen Infektionen oder umfangreichen Shops kann die vollständige Bereinigung zwei bis drei Tage dauern.

Was sind Anzeichen für eine gehackte Website?

Typische Warnzeichen: plötzliche Weiterleitungen auf fremde Domains, unbekannte Links im Footer oder in Beiträgen, wirre Meta-Descriptions in Google-Snippets, rote Browser-Warnungen vor dem Seitenaufruf, massenhafter Spam-Versand über die Seite oder eine Sperrmeldung vom Hoster. Auch erhöhte Serverlast und unerklärliche Admin-Accounts im Backend deuten auf eine Kompromittierung hin.

Wie schütze ich mein WordPress zukünftig?

WordPress-Core, Plugins und Themes regelmäßig aktualisieren, nicht genutzte Komponenten entfernen, starke Passwörter plus 2FA für Admin-Accounts, tägliche Backups mit ausreichender Retention, laufendes Monitoring. Im Notfall-Auftrag enthalten: 6 Monate reportedIP Pro mit kompletter Einrichtung. Brute-Force-Schutz, IP-Reputation aus dem deutschen Bedrohungs­netzwerk, 2FA per SMS. Wer das nicht intern abdecken will, schließt zusätzlich einen Wartungsvertrag.

Verliere ich Daten bei der Wiederherstellung?

In der Regel nicht. Unser Echtzeit-Backup sichert Änderungen kontinuierlich. Nicht nur einmal pro Nacht. Im Ernstfall spielen wir den letzten sauberen Stand zurück, der oft nur Minuten alt ist. Bestellungen, Kundenaccounts, Kommentare und Medien-Uploads bleiben erhalten. Ein realistisches Restrisiko besteht nur, wenn das Backup selbst kompromittiert wurde. Dafür prüfen wir Integrität beim Restore.

Was ist beim Notfall-Auftrag inklusive?

Bereinigung, Sicherheits-Update, dokumentierter Recovery-Bericht. Und seit 2026 zusätzlich 6 Monate reportedIP Pro mit kompletter Einrichtung. Das Plugin schützt Sie nach der Recovery vor erneuten Angriffen: Brute-Force-Sensoren, IP-Reputation aus dem deutschen Bedrohungs­netzwerk, 2FA mit integriertem SMS-Versand, Hide-Login. Sowohl die Plugin-Lizenz für ein halbes Jahr als auch das vollständige Setup-Paket sind ohne Aufpreis im Notfall-Auftrag enthalten.

Muss ich nach einem Hack einen DSGVO-Datenleck-Vorfall melden?

Wenn personen­bezogene Daten kompromittiert wurden. Etwa Kundenaccounts mit Mailadressen, Bestellhistorien, Bezahldaten. Gilt nach Art. 33 DSGVO eine 72-Stunden-Meldepflicht an die zuständige Aufsichtsbehörde. Wir helfen bei der Sachverhalts-Dokumentation und der Einschätzung, ob eine Meldepflicht greift.