Wird eine WordPress-Installation gehackt, geschieht das oft unbemerkt. Erst später fallen unerwartete Casino-Links in Beiträgen, merkwürdige Weiterleitungen oder manipulierte PHP-Dateien ins Auge. Solche Infektionen wirken zunächst alarmierend, lassen sich aber mit einem klaren Vorgehen gut bereinigen. Im Folgenden findest du einen strukturierten Leitfaden, der erklärt, wie man eine kompromittierte WordPress-Seite wieder sauber bekommt und dauerhaft absichert.
Infektionsanzeichen erkennen
Malware in WordPress zeigt sich häufig durch eingefügte Links zu Spam-Seiten oder durch automatisch platzierte Werbeabschnitte in Beiträgen und Seiten. Ein weiteres Warnsignal sind PHP-Dateien, die Funktionen wie eval() oder base64_decode() enthalten – besonders dann, wenn sie in Dateien auftauchen, die normalerweise einfaches Template-Markup enthalten sollten. Kritisch ist zudem der Ordner /wp-content/uploads/: Hier dürfen sich ausschließlich Medien befinden. Sobald dort PHP-Dateien oder andere ausführbare Inhalte auftauchen, ist klar, dass Angreifer versucht haben, diesen Ordner als Einstiegspunkt oder Backdoor zu nutzen.
Sofortmaßnahmen nach dem Fund
Nachdem ein Befall erkannt wurde, sollte die Website umgehend in den Wartungsmodus versetzt oder offline geschaltet werden, um weiteren Schaden zu verhindern. Bevor irgendwelche Reparaturen beginnen, ist ein vollständiges Backup der aktuellen Installation entscheidend. Auch wenn dieses Backup infiziert ist, kann es später bei der Analyse oder zum Vergleich sehr wertvoll sein. Ebenfalls unverzichtbar ist der sofortige Wechsel aller Zugangsdaten – dazu gehören WordPress-Logins, FTP- oder SSH-Zugänge, Datenbank-Passwörter und der Hosting-Account. Nur so lässt sich verhindern, dass Angreifer weiterhin Zugriff behalten.
Bereinigung der Datenbank
Häufig betreffen Hacks nicht nur Dateien, sondern auch die Datenbank. Besonders die Tabelle wp_posts wird oft manipuliert, indem dort automatisch Spam-Links eingefügt werden. Mit phpMyAdmin oder Adminer kann man gezielt nach verdächtigen Begriffen suchen und betroffene Einträge bereinigen. Je nach Ausmaß können auch weitere Tabellen wie wp_postmeta oder wp_options betroffen sein, etwa wenn Schadcode über Cronjobs oder versteckte Optionen ausgeführt wird. Bei umfangreichen Veränderungen kann ein Tool für kontrolliertes Suchen-und-Ersetzen hilfreich sein, allerdings sollte jede Änderung sorgfältig geprüft werden, um keine legitimen Inhalte zu beschädigen.
Schadcode in Dateien entfernen
Die eigentliche Herausforderung bei der Bereinigung liegt oft in den infizierten Dateien. Angreifer platzieren Schadcode gerne in Theme- oder Plugin-Dateien, manchmal sogar mehrfach, damit ihre Backdoor bestehen bleibt. Deshalb empfiehlt es sich, nach verdächtigen Funktionen zu suchen und alle betroffenen Dateien zu ersetzen oder zu löschen. Besonders effektiv ist es, die WordPress-Core-Dateien komplett neu einzuspielen. Die Ordner wp-admin und wp-includes können bedenkenlos gelöscht und durch frische Dateien ersetzt werden, da sie keine benutzerdefinierten Inhalte enthalten. Auch Themes und Plugins sollten überprüft und möglichst aus vertrauenswürdigen Quellen neu hochgeladen werden. Nicht mehr benötigte Erweiterungen sollten vollständig entfernt werden, da sie unnötige Angriffsflächen bieten.
Uploads-Verzeichnis prüfen und absichern
Ein besonders wichtiger Bereich ist der Uploads-Ordner. Da WordPress hier Medien speichert, ist dieser Ordner beschreibbar – und genau deshalb ein häufig genutztes Einfallstor. Ausführbare Dateien wie .php oder .phtml haben dort für gewöhnlich nichts verloren. Werden solche Dateien entdeckt, sollten sie überprüft und ggf. entfernt werden. Zusätzlich kann man mit einer einfachen .htaccess-Regel verhindern, dass PHP-Dateien in diesem Ordner überhaupt ausgeführt werden. So entsteht eine zusätzliche Schutzschicht, die viele gängige Angriffsstrategien wirkungsvoll blockiert und auch bei zukünftigen Sicherheitslücken einen Teil des Risikos abfängt.
Nach der Bereinigung: Sicherheit stärken
Nachdem die Bereinigung abgeschlossen ist, sollte die Website durch zusätzliche Sicherheitsmaßnahmen geschützt werden. Ein gutes Sicherheitsplugin – etwa Wordfence oder Sucuri – kann ungewöhnliche Aktivitäten überwachen und frühzeitig alarmieren. Ebenso wichtig ist es, WordPress, Themes und Plugins stets aktuell zu halten, da viele Angriffe über veraltete Komponenten erfolgen. Auch korrekte Dateirechte und das Entfernen unnötiger Benutzerkonten tragen zur langfristigen Sicherheit bei. Mit diesen Schritten lässt sich das Risiko erneuter Infektionen deutlich reduzieren.
Fazit
Eine gehackte WordPress-Installation ist unangenehm, aber kein Grund zur Panik. Wer strukturiert vorgeht – Datenbank und Dateien gründlich bereinigt, Core-Dateien ersetzt und den Uploads-Ordner absichert – kann die meisten Angriffe vollständig beseitigen. In Kombination mit regelmäßigen Updates, starken Passwörtern und solider Sicherheitssoftware bleibt die Installation anschließend nicht nur stabil, sondern auch langfristig geschützt.
Wenn Du ebenfalls vor der Herausforderung stehst, eine kompromittierte WordPress-Installation zu bereinigen oder Deine Website langfristig sicher aufzustellen, unterstützen wir Dich dabei gerne mit unserer Erfahrung.
Melde Dich einfach bei uns, wenn Du Hilfe benötigst oder eine sichere und stabile Webumgebung aufbauen möchtest.