Website gehackt – was tun?

Die meisten Website-Betreiber bemerken erst spät, dass ihre Website gehackt wurde. Oft vergehen Wochen, bis die ersten Anzeichen auffallen. Je schneller Sie reagieren, desto geringer ist der Schaden. Laut dem Sucuri 2023 Hacked Website & Malware Threat Report hatten knapp 50 Prozent aller kompromittierten Websites mindestens eine Backdoor installiert. Das bedeutet: Selbst wenn Sie ein Symptom beseitigen, kann der Angreifer durch die Hintertür zurückkehren.

Achten Sie auf diese typischen Anzeichen, die darauf hindeuten, dass Ihre Website gehackt wurde:

• Google-Warnung im Browser: Chrome, Firefox oder Safari zeigen eine rote Warnseite mit dem Hinweis "Diese Website enthält Malware" oder "Betrügerische Website". Google Safe Browsing schützt über fünf Milliarden Geräte und löst täglich über drei Millionen Nutzerwarnungen aus.
• Ungewollte Weiterleitungen: Besucher landen auf fremden Seiten, obwohl sie Ihre URL eingegeben haben. Besonders tückisch: Oft funktionieren Weiterleitungen nur bei Besuchern über Google, nicht beim direkten Aufruf.
• Spam-Inhalte auf Ihrer Website: Plötzlich erscheinen fremde Texte, Links zu Online-Casinos, Pharma-Seiten oder gefälschten Shops. SEO-Spam betraf 2023 rund 20 Prozent der von Sicherheitsdienstleistern bereinigten Websites.
• Veränderte oder unbekannte Dateien: Neue PHP-Dateien im Webspace, die Sie nicht erstellt haben. Häufig mit kryptischen Namen wie wp-tmp.php, about.php oder versteckt in Unterverzeichnissen.
• Unbekannte Administrator-Accounts: In Ihrem CMS tauchen Benutzerkonten auf, die Sie nie angelegt haben. Laut Sucuri hatten 55 Prozent der kompromittierten Websites mit Datenbankmalware mindestens einen schädlichen Admin-User in der Datenbank.
• Plötzlich langsame Ladezeiten: Ihre Website reagiert träge, obwohl sich am Hosting nichts geändert hat. Hintergrund: Schädlicher Code belastet den Server mit zusätzlichen Prozessen.
• Spam-E-Mails von Ihrem Server: Ihr Hoster meldet ungewöhnlich hohen E-Mail-Versand. Angreifer missbrauchen gehackte Server häufig als Spam-Schleuder.
• Hoster sperrt Ihren Account: Ihr Hosting-Anbieter deaktiviert Ihre Website und informiert Sie über Malware-Fund oder auffällige Aktivitäten.
• Google Search Console meldet Sicherheitsprobleme: Unter "Sicherheit und manuelle Maßnahmen" erscheinen Warnungen zu Malware, Phishing oder gehackten Inhalten.
• Suchmaschinen-Ergebnisse zeigen fremde Texte: Ihre Seiten erscheinen in Google mit japanischen, chinesischen oder englischen Spam-Titeln und Beschreibungen.

Sie haben den Verdacht bestätigt: Ihre Website wurde gehackt. Jetzt zählt jede Minute. Ein strukturierter Notfallplan verhindert Panik und minimiert den Schaden. Aus meiner Erfahrung als Webentwickler empfehle ich folgendes Vorgehen.

Schritt 1: Website offline nehmen. Schalten Sie Ihre Website sofort in den Wartungsmodus oder nehmen Sie sie komplett vom Netz. Das verhindert, dass Besucher mit Malware infiziert werden und stoppt die weitere Ausbreitung. Bei den meisten Hostern können Sie das direkt im Kundenpanel erledigen. Alternativ benennen Sie die Hauptdatei (index.php, index.html) um und laden eine einfache Wartungsseite hoch.

Schritt 2: Alle Passwörter ändern. Ändern Sie umgehend alle Zugangsdaten – und zwar von einem sauberen Gerät aus, nicht vom möglicherweise kompromittierten Computer. Betroffen sind: CMS-Administrator, FTP/SFTP-Zugang, Datenbank-Passwort, Hosting-Panel (cPanel, Plesk), E-Mail-Konten auf dem Server und SSH-Zugänge. Verwenden Sie für jedes Konto ein einzigartiges, starkes Passwort mit mindestens 16 Zeichen.

Schritt 3: Hoster informieren. Kontaktieren Sie Ihren Hosting-Anbieter und melden Sie den Vorfall. Viele Hoster haben spezialisierte Support-Teams für Sicherheitsvorfälle und können serverseitige Logs bereitstellen, die für die Analyse wichtig sind. Manche Anbieter führen auch eigene Malware-Scans durch.

Schritt 4: Beweissicherung. Bevor Sie irgendetwas bereinigen, sichern Sie Beweise. Erstellen Sie Screenshots der sichtbaren Symptome. Laden Sie die Server-Logdateien herunter (access.log, error.log). Sichern Sie den kompletten Webspace als Archiv. Diese Daten können später für eine forensische Analyse, für die Meldung bei der Datenschutzbehörde oder für eine Strafanzeige relevant sein.

Schritt 5: Sauberes Backup identifizieren. Prüfen Sie Ihre Backups: Gibt es eine Sicherung von vor dem Zeitpunkt der Kompromittierung? Je nach Hack kann der Angriff Wochen oder sogar Monate zurückliegen. Vergleichen Sie Dateien aus verschiedenen Backup-Zeitpunkten, um den Infektionszeitpunkt einzugrenzen.

Website gehackt und die Sofortmaßnahmen sind abgeschlossen? Dann beginnt jetzt die eigentliche Bereinigung. Die Malware muss vollständig entfernt werden – ein einzelner übersehener Schadcode-Schnipsel genügt, damit der Angreifer zurückkehrt. Ich empfehle ein systematisches Vorgehen in drei Phasen: Scannen, manuell prüfen und Datenbank bereinigen.

Phase 1: Online-Scanner einsetzen. Starten Sie mit kostenlosen Remote-Scannern, um einen ersten Überblick zu bekommen. Sucuri SiteCheck scannt Ihre URL auf bekannte Malware, Blacklist-Status und veraltete Software. VirusTotal prüft Ihre Domain gegen über 70 Sicherheitsanbieter gleichzeitig. Und die Google Search Console zeigt unter "Sicherheit und manuelle Maßnahmen", ob Google bereits Probleme erkannt hat.

Wichtig zu wissen: Remote-Scanner erkennen nur Malware, die im Frontend sichtbar ist. Serverseitige Backdoors, versteckte PHP-Dateien oder injizierter Datenbankcode bleiben oft unentdeckt. Deshalb ist die manuelle Prüfung unverzichtbar.

Phase 2: Dateien manuell prüfen. Nachdem Sie die Malware auf Ihrer Website mit einem Scanner identifiziert haben, verbinden Sie sich per FTP oder SFTP mit Ihrem Webserver und suchen Sie nach verdächtigen Mustern:

• Unbekannte PHP-Dateien: Suchen Sie nach Dateien, die nicht zu Ihrer Installation gehören. Häufige Fundorte: Root-Verzeichnis, Upload-Ordner, Theme- und Plugin-Verzeichnisse. Verdächtige Dateinamen sind oft generisch (about.php, class.php, wp-tmp.php) oder kryptisch (x7fgh2.php).
• Verdächtige Code-Muster: Suchen Sie in PHP-Dateien nach typischen Malware-Signaturen: eval(base64_decode(...)), str_rot13(), gzinflate() oder auf älteren Systemen preg_replace mit dem /e-Modifier (seit PHP 7.0 entfernt, auf Legacy-Servern aber noch anzutreffen). Diese Funktionen werden von Angreifern genutzt, um Schadcode zu verschleiern.
• Veränderte Core-Dateien: Vergleichen Sie die Dateien Ihres CMS mit einer frischen Installation derselben Version. Bei WordPress laden Sie das entsprechende Release von wordpress.org herunter und vergleichen die Dateien in wp-includes/ und wp-admin/. Geänderte Core-Dateien sind ein starkes Indiz für eine Kompromittierung.
• .htaccess prüfen: Kontrollieren Sie alle .htaccess-Dateien im Webspace. Angreifer fügen häufig Redirect-Regeln ein, die Besucher auf schädliche Seiten umleiten. Vergleichen Sie mit der Standard-.htaccess Ihres CMS.

Phase 3: Datenbank bereinigen. Erstellen Sie zuerst ein vollständiges Datenbank-Backup, bevor Sie Änderungen vornehmen – fehlerhafte Eingriffe können zu Datenverlust führen. Verbinden Sie sich dann mit phpMyAdmin oder einem vergleichbaren Tool mit Ihrer Datenbank. Suchen Sie nach injiziertem Code in Content-Tabellen (bei WordPress: wp_posts, wp_options, wp_comments). Häufig werden schädliche JavaScript-Schnipsel oder iframes in Beiträge und Seiten eingeschleust. Prüfen Sie die Benutzertabelle auf unbekannte Administrator-Accounts und entfernen Sie diese. Kontrollieren Sie auch die Options-Tabelle auf manipulierte URLs (siteurl, home).

CMS-spezifische Hinweise: Die Grundprinzipien gelten für jedes CMS. Bei WordPress konzentrieren Sie sich auf wp-content/uploads/ und wp-content/plugins/. Bei Joomla prüfen Sie die Verzeichnisse /tmp/, /cache/ und /images/. Bei TYPO3 achten Sie besonders auf das fileadmin/-Verzeichnis und die Extension-Ordner. Bei statischen Websites vergleichen Sie jede Datei mit Ihrem lokalen Original und suchen nach eingeschleusten Script-Tags.

Wenn Ihre Website gehackt wurde, reicht die Bereinigung allein nicht aus. Wenn Sie die Sicherheitslücke nicht finden und schließen, wird Ihre Website erneut kompromittiert – oft innerhalb weniger Tage. Laut dem Patchstack State of WordPress Security Report 2025 wurden 2024 insgesamt 7.966 neue Schwachstellen im WordPress-Ökosystem entdeckt, ein Anstieg von 34 Prozent gegenüber dem Vorjahr. Und das betrifft nur WordPress.

Die häufigsten Einfallstore bei einer gehackten Website:

• Veraltete Software: 39 Prozent aller kompromittierten Websites liefen zum Zeitpunkt der Infektion mit veraltetem CMS. Nicht aktualisierte Plugins sind das größte Risiko: 96 Prozent der WordPress-Schwachstellen stecken in Plugins, nur 4 Prozent im Core. Rund 33 Prozent der 2024 gemeldeten Sicherheitslücken waren Anfang 2025 noch nicht gepatcht.
• Schwache oder gestohlene Passwörter: Brute-Force-Angriffe auf Login-Seiten gehören zu den häufigsten Attacken. 2024 blockierte Wordfence über 55 Milliarden Passwort-Angriffe allein gegen WordPress-Seiten. Standard-Benutzernamen wie "admin" und einfache Passwörter machen es Angreifern leicht.
• Unsichere Plugins oder Themes: Plugins aus inoffiziellen Quellen, sogenannte "nulled" Themes (gecrackte Premium-Themes) oder Erweiterungen von unbekannten Entwicklern können bewusst eingebaute Backdoors enthalten. 43 Prozent der 2024 entdeckten Schwachstellen benötigten keine Authentifizierung zur Ausnutzung.
• Server-Konfigurationsfehler: Veraltete PHP-Versionen, falsche Dateiberechtigungen oder offene Verzeichnislistung können Angreifern den Zugang erleichtern. PHP 8.1 hat im Dezember 2025 das End-of-Life erreicht – wer diese Version noch einsetzt, erhält keine Sicherheitsupdates mehr. Aktuell empfohlen: PHP 8.4 oder 8.5.
• Cross-Site-Scripting (XSS): XSS war 2024 die am häufigsten gemeldete Schwachstellenart im WordPress-Ökosystem. Dabei schleusen Angreifer schädlichen JavaScript-Code über verwundbare Eingabefelder oder Plugin-Funktionen ein.

Log-Dateien auswerten: Ihre wichtigste Informationsquelle sind die Server-Logdateien. Die access.log zeigt alle Zugriffe auf Ihren Server – suchen Sie nach ungewöhnlichen POST-Requests auf PHP-Dateien, die nicht zu Ihrer Installation gehören. Die error.log verrät fehlgeschlagene Dateiaufrufe und PHP-Fehler, die auf Exploit-Versuche hindeuten. Filtern Sie nach dem geschätzten Infektionszeitpunkt und arbeiten Sie sich systematisch durch die Einträge.

Ein oft übersehener Aspekt, wenn Ihre Website gehackt wurde: Wenn personenbezogene Daten betroffen sein könnten, greift die Meldepflicht nach der Datenschutz-Grundverordnung. Das betrifft praktisch jede Unternehmenswebsite, die Kontaktformulare, Newsletter-Anmeldungen, Kundenkonten oder einen Online-Shop betreibt. Eine Übersicht aller relevanten Pflichten finden Sie in meinem Ratgeber DSGVO-Checkliste für Websites.

Art. 33 DSGVO: Meldung an die Aufsichtsbehörde. Sobald eine Verletzung des Schutzes personenbezogener Daten bekannt wird, müssen Sie diese unverzüglich und möglichst binnen 72 Stunden der zuständigen Datenschutzbehörde Ihres Bundeslandes melden. Eine Ausnahme besteht nur, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Im Zweifel melden Sie lieber zu viel als zu wenig.

Art. 34 DSGVO: Information der Betroffenen. Hat die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge, müssen Sie diese zusätzlich unverzüglich benachrichtigen. Das ist beispielsweise der Fall, wenn Passwörter, Zahlungsdaten oder sensible persönliche Informationen abgeflossen sein könnten.

Wann greift die Meldepflicht konkret? Wenn Sie nicht sicher ausschließen können, dass bei einem Hack personenbezogene Daten betroffen waren, gehen Sie vom schlimmsten Fall aus. Ein Angreifer mit Zugriff auf Ihre Datenbank hatte potenziell Zugang zu allen gespeicherten Daten. Typische Szenarien: gestohlene E-Mail-Adressen aus Kontaktformularen, ausgelesene Kundendaten aus Shop-Systemen oder kompromittierte Benutzerdatenbanken mit Passwort-Hashes.

Bußgelder bei Nichtmeldung. Ein Verstoß gegen die Meldepflicht kann mit empfindlichen Bußgeldern geahndet werden. Die DSGVO sieht Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes vor. Auch wenn diese Höchststrafen selten gegen KMU verhängt werden: Die Aufsichtsbehörden prüfen zunehmend, ob Unternehmen ihrer Meldepflicht nachkommen. Dokumentieren Sie deshalb jeden Schritt Ihrer Reaktion auf den Vorfall.

Website gehackt, Malware entfernt und Sicherheitslücke geschlossen? Jetzt ist der richtige Zeitpunkt, Ihre Website so abzusichern, dass ein erneuter Angriff deutlich schwieriger wird. Denn Angreifer markieren erfolgreich gehackte Websites und versuchen es erneut. Eine umfassende Absicherung ist deshalb keine Option, sondern Pflicht.

Software konsequent aktuell halten. Installieren Sie alle verfügbaren Updates für Ihr CMS, sämtliche Plugins und Themes. Entfernen Sie nicht genutzte Erweiterungen komplett – jede inaktive Komponente ist ein potenzielles Einfallstor. Aktivieren Sie automatische Updates, wo Ihr System das unterstützt. Mehr dazu erfahren Sie in meinem Ratgeber Website Sicherheit für Unternehmen.

Starke Passwörter und Zwei-Faktor-Authentifizierung. Verwenden Sie für jeden Zugang ein einzigartiges Passwort mit mindestens 16 Zeichen. Nutzen Sie einen Passwort-Manager wie Bitwarden oder KeePass. Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle administrativen Zugänge. Mit 2FA benötigt ein Angreifer selbst bei einem gestohlenen Passwort zusätzlich den zweiten Faktor von Ihrem Smartphone.

Regelmäßige Backups einrichten. Richten Sie automatisierte Backups ein und testen Sie die Wiederherstellung regelmäßig. Speichern Sie Backups an einem externen Ort, nicht nur auf demselben Server. Eine detaillierte Anleitung mit der 3-2-1-Backup-Regel finden Sie in meinem Artikel WordPress Backup erstellen.

Sicherheits-Plugins oder -Tools installieren. Je nach CMS stehen Ihnen verschiedene Werkzeuge zur Verfügung: Für WordPress empfehle ich Wordfence oder Sucuri Security mit Firewall und Malware-Scanner. Für Joomla bietet Admin Tools vergleichbare Funktionen. Bei TYPO3 sorgt eine gehärtete Server-Konfiguration für Schutz. Bei statischen Websites setzen Sie auf eine Web Application Firewall (WAF) beim Hoster oder als Cloudflare-Dienst.

Dateiberechtigungen korrekt setzen. Auf Linux-Servern sollten Verzeichnisse die Berechtigung 755 und Dateien 644 haben. Konfigurationsdateien wie die wp-config.php oder .htaccess schützen Sie mit 440 oder 400. Schreibrechte (777) sollten auf keinem Verzeichnis gesetzt sein.

SSL-Zertifikat prüfen und HTTPS erzwingen. Stellen Sie sicher, dass Ihre Website ausschließlich über HTTPS erreichbar ist. Richten Sie eine permanente Weiterleitung von HTTP auf HTTPS ein. Falls Ihr SSL-Zertifikat Probleme bereitet, hilft mein Ratgeber SSL-Zertifikat Fehler beheben.

Monitoring einrichten. Richten Sie eine Überwachung ein, die Sie bei Auffälligkeiten sofort benachrichtigt – so erkennen Sie frühzeitig, wenn Ihre Website gehackt wurde. Die Google Search Console informiert Sie über erkannte Sicherheitsprobleme. Externe Monitoring-Dienste prüfen Ihre Website regelmäßig auf Erreichbarkeit und Veränderungen. Je früher Sie einen erneuten Angriff bemerken, desto schneller können Sie reagieren.

Website gehackt und keine Erfahrung mit der Bereinigung? Nicht jeder hat die Zeit, das Wissen oder die Nerven, das selbst durchzuführen. In vielen Fällen ist professionelle Hilfe die bessere Wahl – besonders wenn die Infektion komplex ist oder Sie sich bei der Datenbank-Bereinigung unsicher fühlen. Hier ein realistischer Überblick zu den Kosten.

Eigene Reparatur: Wenn Sie die Bereinigung selbst durchführen, fallen keine direkten Kosten an. Rechnen Sie aber mit einem Zeitaufwand von 4 bis 12 Stunden, je nach Schwere der Infektion und Ihrer Erfahrung. Das Risiko: Übersehene Backdoors führen dazu, dass Ihre Website gehackt wird – erneut, oft innerhalb weniger Tage. Ohne Erfahrung in der forensischen Analyse ist die Wahrscheinlichkeit hoch, dass Reste der Malware übrigbleiben.

Professionelle Bereinigung: Die Kosten für eine fachmännische Malware-Entfernung liegen marktüblich zwischen 150 und 500 Euro (zzgl. MwSt.), abhängig vom Umfang der Infektion, der Größe der Website und dem eingesetzten CMS. Bei besonders komplexen Fällen mit mehreren Backdoors, verschlüsseltem Schadcode oder Datenbankmanipulationen können die Kosten auch höher ausfallen. Seriöse Anbieter arbeiten mit Festpreisen oder geben nach einer Erstanalyse einen verbindlichen Kostenvoranschlag.

Was beinhaltet eine professionelle Bereinigung? In der Regel umfasst der Service: vollständige Malware-Entfernung, Identifikation und Schließung der Sicherheitslücke, Wiederherstellung der Website-Funktionalität, grundlegende Absicherung gegen erneute Angriffe und bei Bedarf Unterstützung bei der Google-Blacklist-Entfernung. Gute Dienstleister bieten zusätzlich eine Nachkontrolle über 30 Tage an.