Malware entfernen: Wie Sie eine gehackte WordPress-Site reparieren

Der Stand: WordPress ist das überwiegende Angriffsziel

Das Sicherheitsunternehmen Sucuri untersucht infizierte Websites und erstellt mit den gesammelten Daten informative Sicherheits-Reports. Das Unternehmen analysierte im Jahr 2018 über 33.000 gehackte Websites. 90 Prozent der erfolgreich attackierten Websites wurden mit WordPress betrieben! Auf Platz zwei und drei der Liste folgen Magento mit 4,6 Prozent und Joomla! mit 4,3 Prozent.

Die Folgen eines Cyberangriffs auf Ihre Website

Seitenbesucher können zum Angriffsziel der Malware gehören. Dafür leiten Hacker die Besucher zum Beispiel über gesetzte Weiterleitungen auf schädliche Websites. Mögliche Folgen sind:

• Schädigung des guten Rufs der eigenen Website
• Verlust des Rankings in den Suchmaschinen
• Diebstahl von Kundendaten
• Ohne Back-up der Website und Datenbank vollständiger Datenverlust

Malware entfernen: Was tun bei einer gehackten WordPress Website?

Wenn Sie weiterhin Zugriff auf Ihre Website haben, können Sie ein Security-Plug-in für WordPress installieren und damit Malware entfernen.

1. Sicherheits-Erweiterung installieren und Website scannen

Für WordPress gibt es mehrere gute und kostenlose Security-Plug-ins. Diese schützen mit ihrer Firewall vor Angriffen und beseitigen Malware. Zu den beliebtesten und am häufigsten installierten Erweiterungen gehören:

1. Wordfence Security – Firewall & Malware Scan
2. All in One WP Security & Firewall
3. Sucuri Security – Auditing, Malware Scanner und Security Hardening

Nach der Installation scannen die Erweiterungen die Website und untersuchen die Integrität aller Core-Dateien. Tools wie Sucuri Security erkennen Änderungen in den Root-Verzeichnissen, in WP-Admin und WP-Includes.

Weitere Schritte beinhalten die Prüfung zuletzt veränderter Dateien; im nächsten Schritt untersucht das Tool die zuletzt veränderten Dateien und zeigt eine Liste der User-Anmeldungen an.

Wenn Sie Wert auf ein umfangreiches Leistungspaket legen, dann ist ein allgemeines Website-Sicherheits-Programm eine sichere Alternative. Sucuri Website Security erhalten Sie beispielsweise in verschiedenen Preis- und Serviceklassen. 

Der Vorteil: Das cloudbasierte Website-Security-System scannt Ihre Online-Präsenz kontinuierlich. So stellt Sucuri sicher, dass Ihre Internetseite frei von Malware, schädlichem JavaScript, verdächtigen Umleitungen, schadhaften iframes, Spam-Links und vielem mehr ist.

Ergänzend sollten auch lokale Endgeräte überprüft werden, insbesondere wenn regelmäßig über FTP oder das CMS-Backend gearbeitet wird. Adware und potenziell unerwünschte Programme (PUPs) können Ihre Zugänge ausspähen oder schädlichen Code einschleusen, ohne dass Sie es bemerken. Tools wie Malwarebytes oder AdwCleaner sind darauf spezialisiert, versteckte Werbe- oder Spionageprogramme aufzuspüren und zu entfernen. Führen Sie regelmäßig einen vollständigen Scan durch – auch auf USB-Sticks, Cloud-Ordner und Backup-Medien.

Für besonders hartnäckige Infektionen auf dem lokalen Rechner bietet sich zusätzlich ein sogenannter Offline-Scan an. Viele Antivirus-Hersteller stellen sogenannte „Rescue Disks“ bereit – bootfähige Systeme auf USB-Stick oder CD, mit denen sich der Rechner unabhängig vom laufenden Betriebssystem scannen und reinigen lässt. Beispiele sind die Kaspersky Rescue Disk oder das Bitdefender Rescue Image. Sie helfen dabei, Malware zu entfernen, die sich tief im System eingenistet hat.

2. Gefundene Malware entfernen

Wenn die Antimalware-Software in den Core-Dateien oder installierten Erweiterungen einen Angriff erkennt, lässt sich die Malware mithilfe der Plug-ins entfernen. Dies erfolgt automatisch oder per Anleitung. Für manuelles Entfernen von schadhaftem Code wird in der Regel ein erfahrener Programmierer eingesetzt.

3. Datenbank untersuchen und Malware entfernen

Malware kann sich nicht nur in den WordPress-Dateien einnisten, sondern ebenfalls in der Datenbank. Die Erweiterungen durchsuchen die Datenbank nach möglichen Infizierungen und zeigen diese an.

4. Nutzerkonten überprüfen

Verschafft sich ein Hacker unerlaubten Zugriff auf eine Website, legt er häufig einen neuen Anwender mit Admin-Rechten an. Auf diese Weise hat er vollständigen Zugriff auf sämtliche Daten.

Prüfen Sie die Nutzer-Konten. Es sollte zur Sicherheit einen einzigen Admin geben und jeder andere Nutzer sollte nur die Rechte erhalten, die seine Aufgaben erfordern.

5. Hintertüren schließen

Die Sicherheits-Erweiterungen können Hintertüren entdecken, über die Hacker auf die Website zugreifen, und diese schließen.

Darüber hinaus ist es sinnvoll, Browser auf ungewöhnliches Verhalten zu überprüfen: Plötzliche Startseitenänderungen, dubiose Toolbars oder unerwünschte Weiterleitungen können auf Adware oder Browser-Hijacker hinweisen. Diese verändern oft die Standardkonfigurationen von Chrome, Firefox oder Edge. Nutzen Sie die Reset-Funktion Ihres Browsers und entfernen Sie verdächtige Erweiterungen manuell. Tools wie HitmanPro oder Malwarebytes Browser Guard helfen dabei zusätzlich.

6. Suchmaschinen und Antivirenprogramme informieren

Wenn Ihre WordPress-Website gehackt wurde, landet diese schnell im Malware-Register von Antivirenprogrammen und Suchmaschinen. Google und andere Suchmaschinen führen zum Schutz ihrer Nutzer eine schwarze Liste aller infizierten Seiten. Sie zeigen den potenziellen Seitenbesuchern in diesem Fall nicht die Website, sondern eine Warnung an. Wenn die Malware erfolgreich von der Website entfernt wurde, sollten Sie jetzt einen Review beantragen. Häufig wird die Warnung dann innerhalb eines Tages aufgehoben.

In diesem Zusammenhang lohnt sich auch ein Blick in die Google Search Console und die Webmaster Tools anderer Suchmaschinen. Diese Dienste zeigen oft konkrete Hinweise auf betroffene Seitenbereiche oder Code-Schnipsel an, die problematisch sind. Achten Sie darauf, auch Weiterleitungen und Meta-Daten zu bereinigen, da hier häufig versteckte Schadverweise platziert werden.

Wichtige Maßnahmen zum Schutz vor weiteren Angriffen

Spätestens jetzt ist der richtige Zeitpunkt gekommen, um Ihre Website bestmöglich vor zukünftigen Angriffen zu schützen.

Software aktualisieren & nicht verwendete Komponenten deinstallieren

Eine Hauptursache für gehackte WordPress-Websites ist veraltete Software.

Aufgabe: Updaten Sie auf die aktuelle WordPress-Version, die aktuellen Versionen aller Plug-ins und des verwendeten Themes. Löschen Sie außerdem alle nicht verwendeten Plug-ins und Themes.

Installieren Sie Erweiterungen und Themes ausschließlich aus offiziellen Quellen – entweder über das WordPress-Verzeichnis oder direkt vom Entwickler. Vermeiden Sie Angebote auf dubiosen Portalen, die kostenlose Premium-Themes oder „Nulled Plugins“ anbieten. Diese enthalten oft Schadcode oder versteckte Backdoors.

Nutzerkonten resetten und Rechtevergabe optimieren

Eine weitere Schwachstelle sind unsichere Passwörter der Nutzer. Zudem sollten sämtliche Nutzer nur die Zugriffsrechte haben, die sie für ihre Aufgaben brauchen.

Aufgabe: Erstellen Sie für alle Konten neue starke Passwörter und schränken Sie die Zugriffsrechte für alle Nutzer sinnvoll ein.

Aufgabe: Erstellen Sie für alle Konten neue starke Passwörter und schränken Sie die Zugriffsrechte für alle Nutzer sinnvoll ein.

Back-ups erstellen!

Jetzt ist ebenfalls der richtige Zeitpunkt für ein Back-up. Eine der am häufigsten und beliebtesten kostenlosen Erweiterungen für WordPress-Back-ups ist UpdraftPlus. Mit der Erweiterung erstellen Sie externe Back-ups, zum Beispiel bei einem Cloud-Anbieter. Der Vorteil: Im Fall einer erneuten Infizierung stellen Sie die saubere Version wieder her.

Sichern Sie zusätzlich auch Ihre lokalen Systeme. Backups der wichtigsten Konfigurationsdateien, Zugangsdaten und Serverlogins sollten ebenfalls verschlüsselt in einem sicheren Offline-Speicher oder Passwort-Manager hinterlegt werden. Für professionelle Umgebungen empfiehlt sich eine Backup-Strategie mit mehreren Generationen (z. B. täglich, wöchentlich, monatlich), um auch nachträglich schadhafte Änderungen zu identifizieren.
Wenn sich Schadsoftware tief in das Windows-System eingenistet hat und andere Maßnahmen scheitern, kann eine Systemwiederherstellung auf einen früheren Wiederherstellungspunkt helfen. In den Windows-Sicherheitseinstellungen lässt sich eine solche Wiederherstellung meist mit wenigen Klicks anstoßen. Vorher sollte geprüft werden, ob die Schadsoftware nicht bereits im Wiederherstellungspunkt enthalten ist.

Sucuri Website Security ist für alle Websites geeignet

Sucuri Website Security ist plattformunabhängig, egal ob Sie WordPress verwenden oder nicht. Sucuri behebt alle Malware-Infektionen auf Ihren Webseiten und ist auf Open Source Content Management Systeme spezialisiert. Sucuri Website Security wird in vier unterschiedlichen Tarifen angeboten. Das Express-Paket kann Ihnen auch dann noch helfen, wenn Ihre Website bereits gehackt wurde. Weitere Infos zu den einzelnen Paketen finden Sie auf unserer Sucuri Website Security-Seite.

Fazit: Malware entfernen in WordPress mit Security-Plug-ins

WordPress ist das beliebteste CMS auf dem Markt und bildet die Basis für Millionen aktiver und erfolgreicher Websites. Die Folge sind unzählige Angriffsversuche mit dem Ziel, Malware einzuschleusen. Tatsächlich findet global alle 39 Sekunden ein Hackerangriff auf Unternehmen und deren IT statt. Ihre WordPress-Website schützen Sie am besten mit einer Sicherheits-Erweiterung mit integrierter Firewall. Die Tools entfernen Malware und unterstützen bei der Einrichtung einer robusten Konfiguration. Zum Schutz erstellen Sie von der sauberen Installation regelmäßig Back-ups.

Der beste Schutz ist eine Kombination aus proaktiver Überwachung, technischen Vorkehrungen und eigenem Verhalten: Klicken Sie keine unbekannten E-Mail-Anhänge an, führen Sie keine FTP-Verbindungen über offene Netzwerke aus und verzichten Sie auf fragwürdige Themes oder Plugins aus unsicheren Quellen. Wer alle Ebenen – vom lokalen System über das CMS bis zum Server – absichert, schafft langfristig ein stabiles und sicheres Online-Fundament.

Dieser Artikel ist am 31.07.2019 erschienen und wurde am 31.03.2025 aktualisiert.