Meine Website wurde gehackt – was soll ich tun?

Sie haben entdeckt, dass Ihre Website gehackt wurde. Vielleicht hat Google die Warnung "Diese Website kann Ihren Computer beschädigen" angezeigt, vielleicht wurden Besucher auf eine seltsame Seite weitergeleitet, oder Sie haben unbekannte Dateien auf dem Server bemerkt. Egal wie Sie es erfahren haben, Panik ist verständlich – aber es ist wichtig, schnell und methodisch zu reagieren. Dieser Leitfaden führt Sie durch jeden Schritt von der Erkennung bis zur vollständigen Wiederherstellung und Prävention zukünftiger Angriffe.

Wie erkennt man, dass eine Website gehackt wurde?

Es gibt mehrere Anzeichen, die auf einen Hack hindeuten. Eine Google-Warnung in der Suche ("Diese Website ist möglicherweise gefährlich") ist das offensichtlichste Zeichen. Die Weiterleitung von Besuchern auf andere Websites (in der Regel auf Glücksspiel- oder Pharma-Websites) ist eine häufige Folge eines Hacks. Unbekannter Inhalt auf der Website – Spam-Seiten, Links zu verdächtigen Websites oder ein verändertes Aussehen. Eine deutlich langsamere Website kann auf Cryptojacking (Kryptowährungs-Mining) hindeuten. Unbekannte Benutzer im WordPress-Admin-Panel. Verdächtige Dateien auf dem Server mit seltsamen Namen. E-Mails vom Hosting-Anbieter über verdächtige Aktivitäten. Ein Rückgang im Google-Ranking ohne offensichtlichen Grund.

Schritt 1: Keine Panik, aber sofort reagieren

Das Erste und Wichtigste – löschen Sie nichts und ändern Sie keine Passwörter auf der gehackten Website, bevor Sie sie isolieren. Der Hacker hat möglicherweise immer noch Zugriff und kann jede Ihrer Aktionen sehen. Notieren Sie stattdessen alles, was Sie bemerken – welche Seiten betroffen sind, wann Sie das Problem zum ersten Mal bemerkt haben, ob Sie eine Benachrichtigung erhalten haben. Diese Informationen sind für die Analyse und Bereinigung nützlich.

Schritt 2: Versetzen Sie die Website in den Wartungsmodus

Schalten Sie die Website offline, um Besucher vor Malware zu schützen und weiteren Schaden zu verhindern. In cPanel können Sie den public_html-Ordner umbenennen oder eine Wartungsseite einrichten. Wenn Sie WordPress verwenden, können Sie eine .maintenance-Datei im Root-Ordner erstellen. Bei BeoHosting kontaktieren Sie den Support, und wir helfen Ihnen, die Website schnell ohne Datenverlust zu isolieren. Es ist wichtig, dass die Website nicht erreichbar ist, bis sie bereinigt ist – Google wird sie weiterhin als gefährlich markieren, solange die Malware existiert.

Schritt 3: Ändern Sie alle Passwörter von einem anderen Gerät aus

Ändern Sie von einem ANDEREN Gerät (nicht dem Computer, den Sie für den Zugriff auf die Website verwenden, da er kompromittiert sein kann) folgende Passwörter: cPanel-Zugang, FTP-Konten, SSH-Schlüssel, Datenbank (MySQL-Benutzer), WordPress-Admin-Konto, E-Mail-Konten auf der Domain und Hosting-Konto. Verwenden Sie starke, einzigartige Passwörter für jedes Konto – mindestens 16 Zeichen mit einer Kombination aus Buchstaben, Zahlen und Sonderzeichen. Verwenden Sie einen Passwort-Manager zur Aufbewahrung der Passwörter.

Schritt 4: Erstellen Sie ein Backup der gehackten Website

Bevor Sie mit der Bereinigung beginnen, erstellen Sie ein vollständiges Backup der gehackten Website – Dateien UND Datenbank. Das klingt kontraintuitiv, aber dieses Backup dient der forensischen Analyse. Sie können es verwenden, um zu identifizieren, wie der Hacker eingedrungen ist, welche Dateien er geändert hat und ob er eine Hintertür hinterlassen hat. BeoHosting bewahrt automatisch tägliche Backups bis zu 120 Tage rückwirkend auf, was bedeutet, dass Sie fast sicher eine saubere Version der Website vor dem Hack haben.

Schritt 5: Website auf Malware scannen

Verwenden Sie spezialisierte Tools zum Malware-Scanning. Für WordPress ist Wordfence (kostenloses Plugin) eine ausgezeichnete Wahl – es wird auf einer sauberen WordPress-Installation installiert und scannt alle Dateien. Sucuri SiteCheck (Online-Tool) kann die Website von außen ohne Installation scannen. ImunifyAV auf dem Server (verfügbar bei BeoHosting) scannt alle Dateien im Hosting-Konto. Eine manuelle Überprüfung ist ebenfalls wichtig – suchen Sie nach Dateien mit seltsamen Namen, base64-codiertem PHP-Code und Dateien, die zum Zeitpunkt des Hacks geändert wurden.

Schritt 6: Malware entfernen

Es gibt zwei Bereinigungsansätze: manuelle Bereinigung und Restore aus dem Backup. Das Restore aus dem Backup ist schneller und zuverlässiger. Finden Sie das letzte Backup vor dem Hack (prüfen Sie die Änderungsdaten verdächtiger Dateien, um zu bestimmen, wann der Hack begann). Bei BeoHosting können Sie jedes Backup der letzten 120 Tage über cPanel oder durch Kontaktaufnahme mit dem Support wiederherstellen.

Für die manuelle Bereinigung: Löschen Sie alle unbekannten Dateien, insbesondere PHP-Dateien in Upload-Ordnern, Dateien mit base64_decode-, eval- oder gzinflate-Funktionen und Dateien mit Namen wie "wp-config-sample.php.bak" oder "about.php" an unerwarteten Orten. Prüfen Sie die .htaccess-Datei auf unbekannte Umleitungsregeln. Prüfen Sie wp-config.php auf unbekannten Code am Anfang oder Ende der Datei. Prüfen Sie die Datenbank auf unbekannte Admin-Benutzer und verdächtige Inhalte in Beiträgen.

Schritt 7: Alles aktualisieren

Nach der Bereinigung aktualisieren Sie absolut alles: WordPress-Core auf die neueste Version, alle Plugins (löschen Sie diejenigen, die Sie nicht verwenden), das Theme (löschen Sie inaktive Themes), die PHP-Version auf die neueste stabile (8.3 oder 8.4). Veraltete Software ist die häufigste Ursache von WordPress-Hacks. Über 50 % der gehackten Websites verwendeten veraltete Plugins mit bekannten Schwachstellen.

Schritt 8: Sicherheit verstärken

Implementieren Sie folgende Maßnahmen, um zukünftige Angriffe zu verhindern. Installieren Sie ein Sicherheits-Plugin (Wordfence oder Sucuri). Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Konten. Ändern Sie das WordPress-Datenbank-Präfix, falls es das Standard-"wp_" ist. Deaktivieren Sie die PHP-Ausführung im Ordner wp-content/uploads. Begrenzen Sie die Anzahl der Anmeldeversuche (Limit Login Attempts). Verbergen Sie die wp-admin-Login-Seite. Setzen Sie korrekte Dateiberechtigungen (644 für Dateien, 755 für Ordner, 600 für wp-config.php). Aktivieren Sie das SSL-Zertifikat, falls es nicht bereits aktiv ist.

Schritt 9: Überprüfung von Google anfordern

Wenn Google Ihre Website als gefährlich markiert hat, sollten Sie nach der Bereinigung eine Überprüfung anfordern. Melden Sie sich bei der Google Search Console an, gehen Sie zum Abschnitt "Security Issues" und klicken Sie auf "Request a Review". Beschreiben Sie, was Sie zur Bereinigung der Website getan haben und welche Maßnahmen Sie ergriffen haben, um zukünftige Angriffe zu verhindern. Google überprüft den Antrag normalerweise innerhalb von 72 Stunden. Während der Überprüfung wird Ihre Website weiterhin als gefährlich in der Suche markiert.

Schritt 10: Monitoring und Prävention

Nach der Wiederherstellung etablieren Sie ein Monitoring-System. Richten Sie Benachrichtigungen für Dateiänderungen auf dem Server ein (File Integrity Monitoring). Scannen Sie die Website regelmäßig auf Malware (wöchentlich). Verfolgen Sie Zugriffsprotokolle auf verdächtige Aktivitäten. Richten Sie automatische Backups ein (BeoHosting erstellt tägliche Backups). Verfolgen Sie die Google Search Console auf Sicherheitswarnungen. Aktualisieren Sie regelmäßig alle Komponenten der Website. Erwägen Sie die Verwendung einer WAF (Web Application Firewall) für zusätzlichen Schutz.

Häufigste Hack-Methoden

Das Verständnis, wie Hacker eindringen, hilft bei der Prävention. Veraltete Plugins mit bekannten Schwachstellen sind in über 50 % der Fälle die Ursache. Schwache Passwörter (Brute-Force-Angriffe) sind die zweithäufigste Ursache. Nicht aktualisierte Themes mit Code-Schwachstellen. Unsicherer FTP-Zugang ohne Verschlüsselung. Cross-Site-Scripting (XSS) durch Formulare und Kommentare. SQL-Injection durch unsichere Plugins. Phishing-Angriffe auf Website-Administratoren, die ihre Passwörter preisgeben. File-Inclusion-Schwachstellen in schlechtem PHP-Code.

Prävention: Sicherheits-Checkliste

Verwenden Sie diese Liste als monatliche Sicherheitsprüfung Ihrer Website. Sind alle Plugins auf die neuesten Versionen aktualisiert? Ist der WordPress-Core aktualisiert? Sind alle Passwörter stark und einzigartig? Ist 2FA für Admin-Konten aktiviert? Funktioniert das Sicherheits-Plugin und scannt regelmäßig? Sind die Backups funktionsfähig (testen Sie das Restore mindestens einmal pro Quartal)? Sind ungenutzte Plugins und Themes gelöscht? Ist die PHP-Version aktuell? Sind die Dateiberechtigungen korrekt? Ist das SSL-Zertifikat gültig?

Wann sollte man einen Profi rufen?

Wenn der Hack schwerwiegend ist (Ransomware, kompromittierte Datenbank, mehrere Websites auf demselben Konto betroffen), empfehlen wir, einen Sicherheitsprofi zu engagieren. BeoHosting bietet kostenlose Bereinigungshilfe für Kunden in Business-Paketen, einschließlich forensischer Analyse, manueller Malware-Entfernung und Implementierung von Sicherheitsmaßnahmen. Für kleinere Pakete kann unser Support-Team bei den grundlegenden Wiederherstellungsschritten helfen.

Fazit

Ein Website-Hack ist eine stressige Erfahrung, kann aber mit dem richtigen Ansatz innerhalb weniger Stunden gelöst werden. Der Schlüssel ist, schnell zu reagieren, die Schritte methodisch zu befolgen und nach der Wiederherstellung Präventionsmaßnahmen zu implementieren, damit sich dasselbe nicht wiederholt. Bei BeoHosting bietet die Kombination aus täglichen Backups (120 Tage), ImunifyAV-Scanning, ModSecurity-WAF und unserem Support-Team mehrschichtigen Schutz für Ihre Website. Lesen Sie unseren vollständigen Leitfaden zur Website-Sicherheit. Wenn Sie vermuten, dass Ihre Website gehackt wurde, kontaktieren Sie unseren Support sofort – eine schnelle Reaktion ist entscheidend.