Ihre Website wurde gehackt? Ein sauberes Backup ist Ihre schnellste Rettung.
Ein Backup einzuspielen klingt einfach – aber nach einem Hack lauern Fallstricke, die viele Website-Betreiber übersehen. Das häufigste Problem: Das neueste Backup enthält bereits die Malware, weil der Hack Tage oder Wochen unbemerkt blieb. Und selbst ein sauberes Backup löst das eigentliche Problem nicht, wenn Sie die Sicherheitslücke danach nicht schließen. In diesem Artikel zeige ich Ihnen, wie Sie Ihre Website nach einem Hack wiederherstellen: ein sauberes Backup identifizieren, es richtig einspielen und Ihre Website anschließend so absichern, dass der Angreifer nicht durch dieselbe Tür zurückkommt. Die vollständige Anleitung zur manuellen Malware-Bereinigung finden Sie in meinem Ratgeber Website gehackt – Was tun?.
Vor dem Restore – Ist Ihr Backup überhaupt sauber?
Der kritischste Schritt kommt vor dem eigentlichen Restore: Sie müssen herausfinden, wann der Hack passiert ist. Denn Malware schlummert oft wochen- oder monatelang unbemerkt im System, bevor sie aktiv wird. Laut dem Sucuri Hacked Website Report hatten knapp 50 Prozent aller kompromittierten Websites mindestens eine Backdoor installiert – oft über Monate hinweg. Das bedeutet: Ihr neustes Backup ist nicht automatisch das sauberste.
So grenzen Sie den Hack-Zeitpunkt ein: Prüfen Sie die Server-Log-Dateien (Access Log und Error Log) auf verdächtige Zugriffe – etwa ungewöhnliche POST-Requests, Zugriffe auf Dateien wie shell.php oder wp-tmp.php, oder massenhafte Login-Versuche. In cPanel finden Sie die Logs direkt im Control Panel, bei anderen Hostern unter /var/log/. Sortieren Sie außerdem die Dateien auf Ihrem Server nach Änderungsdatum: Konzentriert auftretende Änderungen an PHP-Dateien markieren oft den tatsächlichen Angriffszeitpunkt.
Zusätzliche Anhaltspunkte liefern die Google Search Console (ab wann wurden Sicherheitsprobleme gemeldet?), Ihr Malware-Scanner (wann schlug er erstmals Alarm?) und die FTP-Logs (gab es unbekannte Logins?). Wählen Sie ein Backup, das mindestens einen Tag vor dem geschätzten Hack-Zeitpunkt erstellt wurde. Ist der Zeitpunkt unklar, gehen Sie sicherheitshalber 30 Tage oder weiter zurück.
⚠️ Ein infiziertes Backup einzuspielen macht alles schlimmer
Wer blind das neueste Backup einspielt, ohne den Hack-Zeitpunkt zu kennen, riskiert, die Malware gleich mitzurestoren. Im schlimmsten Fall glauben Sie, das Problem sei gelöst – während die Backdoor weiterhin aktiv ist. Prüfen Sie immer zuerst, ob Ihr Backup sauber ist. Im Zweifel: Spielen Sie das Backup in eine isolierte Testumgebung ein und scannen Sie es mit einem Malware-Scanner, bevor es live geht.
Backup wiederherstellen – Drei gängige Methoden
Bevor Sie Ihr Backup nach dem Hack einspielen: Nehmen Sie Ihre Website offline (Wartungsmodus oder temporäre Weiterleitung). Das verhindert, dass Besucher während des Restores auf eine halb funktionierende Seite treffen – und stoppt gleichzeitig die aktive Malware. Wichtig: Sichern Sie den aktuellen Zustand vorher als Beweismaterial, falls Sie den Vorfall melden müssen (DSGVO Art. 33, 72-Stunden-Frist – gilt, wenn personenbezogene Daten betroffen sind und ein Risiko für Betroffene besteht).
Methode 1: Über das Hosting-Panel (cPanel, Plesk) – Die schnellste und einfachste Methode. In cPanel öffnen Sie den Bereich JetBackup (oder den Backup-Manager Ihres Hosters), wählen das gewünschte Datum und klicken auf Restore. Sie können Dateien und Datenbank getrennt wiederherstellen – stellen Sie aber immer beides aus demselben Zeitpunkt wieder her, sonst passen Dateien und Datenbankstand nicht zusammen. Die meisten Hoster bewahren Backups standardmäßig 7 bis 14 Tage auf – manche Premium-Tarife länger. Prüfen Sie in Ihrem Kundenpanel, wie weit Ihre Backup-Historie zurückreicht, bevor ein Hack passiert.
Methode 2: Manuell über FTP und phpMyAdmin – Wenn Ihr Hoster kein Panel-Backup anbietet oder Sie mehr Kontrolle brauchen. Verbinden Sie sich per FTP-Client (z. B. FileZilla) mit frischen Zugangsdaten und laden Sie die Backup-Dateien auf den Server hoch. Die Datenbank importieren Sie über phpMyAdmin: Wählen Sie die richtige Datenbank aus, klicken Sie auf Import und laden Sie die .sql-Datei hoch. Prüfen Sie danach die Konfigurationsdatei Ihres CMS (z. B. wp-config.php bei WordPress): Datenbankname, Benutzer und Passwort müssen zum aktuellen Server passen. Diese Methode erfordert technisches Grundverständnis, funktioniert aber bei jedem Hosting-Anbieter.
Methode 3: Über CMS-Plugins – Wenn Sie vor dem Hack ein Backup-Plugin wie UpdraftPlus (WordPress), Akeeba Backup (Joomla) oder Duplicator eingerichtet haben, können Sie das Backup direkt über das CMS-Backend einspielen. Bei UpdraftPlus navigieren Sie zu Einstellungen > UpdraftPlus Backups, wählen das gewünschte Datum und klicken auf Wiederherstellen. Der große Vorteil: Wenn Ihre Backups auf einem externen Speicher liegen (Google Drive, Dropbox, S3), haben Sie auch dann Zugriff, wenn der Server kompromittiert ist. Die Einschränkung: Das Plugin muss vor dem Hack installiert und konfiguriert gewesen sein.
💡 Dateien und Datenbank immer gemeinsam wiederherstellen
Ein häufiger Fehler: Nur die Dateien oder nur die Datenbank aus dem Backup wiederherstellen. Das Ergebnis sind Inkompatibilitäten, weiße Seiten oder – noch schlimmer – Backdoors, die im nicht wiederhergestellten Teil überleben. Spielen Sie immer beides aus demselben Backup-Zeitpunkt ein. Dateien ohne passende Datenbank (oder umgekehrt) sind wie ein halbes Puzzle.
Nach dem Restore – Diese Schritte sind Pflicht
Das Backup ist eingespielt – aber die Arbeit ist noch nicht getan. Das wiederhergestellte System enthält exakt dieselbe Sicherheitslücke, die den Hack überhaupt erst ermöglicht hat. Wenn Sie jetzt einfach live gehen, ist es nur eine Frage der Zeit, bis der Angreifer durch dasselbe Einfallstor zurückkehrt. Laut Patchstack wurden 2024 insgesamt 7.966 neue WordPress-Schwachstellen gemeldet – 96 Prozent davon in Plugins. Wer nach dem Restore nicht sofort aktualisiert, lässt die Tür buchstäblich offen stehen.
✅ Checkliste: 7 Pflichtschritte nach dem Backup-Restore
- Alle Passwörter ändern – CMS-Admin (alle Benutzer!), FTP/SFTP, Datenbank, Hosting-Panel und verknüpfte E-Mail-Konten. Verwenden Sie für jeden Zugang ein einzigartiges, langes Passwort. Laut Sucuri hatten über 55 Prozent der Websites mit Datenbank-Malware mindestens einen bösartigen Admin-Account – ein klares Zeichen, dass alle Zugangsdaten vollständig erneuert werden müssen.
- CMS, Plugins und Themes aktualisieren – Updaten Sie alles auf die neueste Version, bevor Sie die Seite live schalten. Deinstallieren Sie inaktive Plugins und Themes komplett – inaktiv heißt nicht sicher.
- Sicherheitslücke identifizieren und schließen – Prüfen Sie die Log-Dateien: War es ein veraltetes Plugin? Ein Brute-Force-Angriff auf den Login? Schwache Passwörter? Schließen Sie genau diese Lücke. Detaillierte Anleitungen dazu finden Sie in meinem Ratgeber zur Malware-Entfernung.
- Versteckte Admin-Accounts prüfen – Öffnen Sie die Benutzerverwaltung Ihres CMS und löschen Sie alle Accounts, die Sie nicht selbst angelegt haben.
- Cron-Jobs kontrollieren – Angreifer nutzen serverseitige Cron-Jobs, um Malware nach einer Bereinigung automatisch neu herunterzuladen. Prüfen Sie die Cron-Jobs in Ihrem Hosting-Panel und entfernen Sie unbekannte Einträge.
- Zwei-Faktor-Authentifizierung aktivieren – Für alle Admin-Zugänge. Das ist der wirksamste Schutz gegen Brute-Force-Angriffe und gestohlene Passwörter.
- Website scannen und testen – Prüfen Sie die wiederhergestellte Website mit einem Malware-Scanner, bevor Sie sie live schalten. Testen Sie alle wichtigen Funktionen: Formulare, Login, Warenkorb, Weiterleitungen.
Nicht vergessen: Wenn Google Ihre Website auf die Blacklist gesetzt hat, müssen Sie nach der Bereinigung eine Überprüfung über die Search Console anfordern. Ohne diesen Schritt bleibt die rote Warnseite im Browser bestehen – auch wenn Ihre Website längst sauber ist.
Sonderfall: Website wiederherstellen ohne sauberes Backup
Kein Backup, das weit genug zurückreicht? Oder alle vorhandenen Backups sind bereits infiziert? Dann bleiben für Ihre gehackte Website zwei Wege:
Option A: Manuelle Bereinigung. Bei WordPress ersetzen Sie die Core-Dateien komplett durch frische Downloads von wordpress.org – nur den wp-content-Ordner und die wp-config.php behalten Sie. Löschen Sie alle Plugins und Themes und installieren Sie frische Versionen. Durchsuchen Sie den uploads-Ordner manuell nach verdächtigen PHP-Dateien (dort gehören nur Mediendateien hin) und prüfen Sie die Datenbank auf eingeschleusten Code. Eine Schritt-für-Schritt-Anleitung finden Sie in meinem Ratgeber zur Malware-Entfernung. Wichtig: Manuelle Bereinigung ist fehleranfällig. Ein einziger übersehener Schadcode-Schnipsel reicht, damit der Angreifer zurückkehrt.
Option B: Neuaufbau. Bei stark kompromittierten Websites ist ein sauberer Neuaufbau manchmal die sicherste und langfristig günstigste Lösung. Retten Sie Ihre Inhalte (Texte, Bilder) aus dem Google-Cache, der Wayback Machine oder lokalen Sicherungen. Setzen Sie eine frische CMS-Installation auf und übertragen Sie nur die reinen Inhalte – keine Datenbank-Dumps, keine alten Konfigurationsdateien.
🛠️ Kein Backup? Professionelle Hilfe spart Zeit und Nerven
Manuelle Bereinigung erfordert Erfahrung mit Serverstrukturen, Datenbank-Analyse und Schadcode-Erkennung. Wenn Sie unsicher sind oder Ihre Website geschäftskritisch ist, lohnt sich professionelle Unterstützung. Ich analysiere Ihre Website, entferne die Malware serverseitig und sichere Ihr System ab. Sie erhalten vorab eine kostenlose Einschätzung und einen verbindlichen Festpreis – ohne Überraschungen.
So prüfen Sie, ob Ihre Website wirklich sauber ist
Bevor Sie Ihre Website wieder live schalten, sollten Sie sichergehen, dass die Wiederherstellung erfolgreich war und keine Restinfektionen vorliegen. Kombinieren Sie dafür externe und serverseitige Prüfungen:
- Remote-Scanner: Prüfen Sie Ihre URL mit Sucuri SiteCheck und dem Google Transparency Report. Diese Scanner erkennen Malware im Frontend und prüfen den Blacklist-Status bei Google, McAfee, Norton und weiteren Diensten.
- Server-seitiger Scan: Installieren Sie einen serverseitigen Scanner wie Wordfence (WordPress) oder ClamAV. Diese Tools prüfen jede einzelne Datei und vergleichen sie mit bekannten sauberen Versionen.
-
Manuelle Prüfpunkte: Kontrollieren Sie die Benutzerliste auf unbekannte Admin-Accounts, die
.htaccess-Datei auf fremde Redirect-Regeln, die CMS-Konfigurationsdatei auf eingeschleusten Code und die Cron-Jobs auf unbekannte Einträge. - Andere Websites auf demselben Server: Wenn Sie mehrere Websites auf demselben Hosting-Account betreiben, prüfen Sie alle. Cross-Site-Contamination ist eine der häufigsten Ursachen für Reinfektionen.
Wer seine Website nach einem Hack wiederherstellen musste, sollte die Lektion nutzen: Richten Sie ein automatisches Backup nach der 3-2-1-Regel ein – 3 Kopien, 2 verschiedene Speichermedien, 1 externe Kopie. So haben Sie im Ernstfall immer ein sauberes Backup zur Hand. Eine Anleitung dazu finden Sie in meinem Artikel zum Thema Backups. Und denken Sie daran: Ein ungetestetes Backup ist kein Backup. Spielen Sie Ihre Sicherungen regelmäßig testweise ein, um sicherzugehen, dass sie im Ernstfall funktionieren.
Häufig gestellte Fragen zur Wiederherstellung nach einem Hack
Vergleichen Sie das Erstellungsdatum des Backups mit dem geschätzten Hack-Zeitpunkt. Anhaltspunkte liefern Server-Log-Dateien, das Änderungsdatum verdächtiger Dateien und der Zeitpunkt, ab dem Google Sicherheitswarnungen anzeigt. Im Zweifel: Spielen Sie das Backup in eine isolierte Testumgebung ein und scannen Sie es mit einem Malware-Scanner.
Technisch ja, aber das Risiko eines erneuten Hacks ist sehr hoch. Das Backup enthält dieselbe Schwachstelle, die den Hack ermöglicht hat. Identifizieren Sie zuerst die Ursache (veraltetes Plugin, schwaches Passwort, falsche Dateiberechtigungen) und schließen Sie sie direkt nach dem Restore.
Ja. Alle Änderungen zwischen Backup-Datum und Restore gehen verloren: neue Seiten, Blog-Posts, Bestellungen, Kommentare, Formular-Eingänge. Dokumentieren Sie diese Inhalte vorher, damit Sie sie nach dem Restore manuell nachpflegen können. Bei Online-Shops sollten Sie offene Bestellungen und Kundendaten besonders sorgfältig sichern.
Ein vollständiges Server-Backup Ihres Hosters (Dateien und Datenbank) ist am zuverlässigsten, weil es unabhängig vom CMS funktioniert. CMS-Plugins wie UpdraftPlus sichern oft nur CMS-spezifische Daten. Am besten kombinieren Sie beides: Hoster-Backup als Basis, Plugin-Backup auf externem Speicher als zusätzliche Absicherung.
Beides. Die 3-2-1-Regel empfiehlt 3 Kopien auf 2 verschiedenen Medien, davon 1 extern. Beispiel: Tägliches Hoster-Backup, wöchentliches Plugin-Backup auf Google Drive oder Dropbox, monatliches manuelles Backup auf einer lokalen Festplatte. So sind Sie auch bei Hoster-Problemen abgesichert.
Die wichtigsten Maßnahmen: CMS, Plugins und Themes immer aktuell halten, starke und einzigartige Passwörter verwenden, Zwei-Faktor-Authentifizierung aktivieren, regelmäßige Backups erstellen und einen Malware-Scanner einrichten. Einen umfassenden Leitfaden finden Sie im Ratgeber Website-Sicherheit für Unternehmen.
⚖️ Wichtiger Hinweis
Dieser Artikel dient der allgemeinen Information und ersetzt weder eine rechtliche noch eine IT-sicherheitstechnische Beratung. Die beschriebenen Maßnahmen ersetzen keine professionelle Sicherheitsanalyse. Für verbindliche Auskünfte zur DSGVO-Meldepflicht wenden Sie sich bitte an einen Rechtsanwalt oder Datenschutzbeauftragten.
🔗 Weitere Artikel zum Thema
Kein Backup oder unsicher beim Restore? Ich helfe Ihnen.
Sie kommen alleine nicht weiter, haben kein sauberes Backup oder möchten sichergehen, dass alle Backdoors entfernt sind? Ich stelle Ihre Website professionell wieder her, schließe die Sicherheitslücke und sichere Ihr System ab. Sie erhalten vorab eine kostenlose Einschätzung mit verbindlichem Festpreis.