Warnung bei Google
In den Suchergebnissen oder im Browser steht „Diese Website wurde möglicherweise gehackt“ oder eine rote Sicherheitswarnung.
Soforthilfe · Sicherheit · WordPress
„Diese Website wurde möglicherweise gehackt“, eine Sperre vom Hoster oder Weiterleitungen auf fremde Seiten: Ein gehackter Auftritt kostet ab der ersten Stunde Vertrauen, Sichtbarkeit und Umsatz. Diese Seite erklärt, was Sie sofort tun sollten – und was auf keinen Fall –, und wie eine gehackte Website sauber bereinigt und wieder abgesichert wird.
Fehlerbild
Ein Hack sieht nicht immer dramatisch aus. Oft ist das erste Zeichen eine Warnung von Google oder dem Hoster – nicht die eigene Startseite. Diese Bilder tauchen typischerweise auf:
In den Suchergebnissen oder im Browser steht „Diese Website wurde möglicherweise gehackt“ oder eine rote Sicherheitswarnung.
Der Provider hat den Account wegen Schadcode oder Spam-Versand gesperrt oder die Seite abgeschaltet.
Besucher landen plötzlich auf fremden, dubiosen Seiten – oft nur vom Handy oder nur über Google.
Unbekannte Seiten, Pop-ups, seltsame Links im Quelltext oder Admin-Konten, die niemand angelegt hat.
Warum jede Stunde zählt
Anders als ein normaler Fehler richtet ein Hack aktiv Schaden an, solange er läuft – nach außen sichtbar und für Google messbar. Deshalb ist schnelles, aber überlegtes Handeln wichtig.
Erste Hilfe
Die häufigsten Folgeschäden entstehen nicht durch den Hack selbst, sondern durch überstürzte Reaktionen. Diese Reihenfolge hilft:
Hintergrund
Die meisten Betroffenen suchen „WordPress gehackt“ – und meist steckt keine gezielte Attacke dahinter, sondern eine automatisiert ausgenutzte Lücke. Sie müssen keine Technik verstehen, aber es hilft zu wissen, wo der Weg hinein üblicherweise liegt. Wenn WordPress zusätzlich einen kritischen Fehler zeigt, kann das eine Folge des Befalls sein.
Bekannte Sicherheitslücken in nicht aktualisierten Erweiterungen sind der mit Abstand häufigste Einstieg.
Einfache oder wiederverwendete Admin-Passwörter werden automatisiert durchprobiert (Brute Force).
Wurde der Zugang selbst übernommen, hilft eine reine WordPress-Bereinigung nicht – der Weg hinein bleibt offen.
Angreifer legen eigene Konten oder versteckte Dateien an, um jederzeit wieder hereinzukommen.
Wichtiger Hinweis
Wenn bei einem Hack personenbezogene Daten betroffen sein könnten – etwa Kundendaten, Kontaktformular-Einträge oder Shop-Bestellungen –, greift unter Umständen eine Meldepflicht: Nach Art. 33 DSGVO muss eine meldepflichtige Datenschutzverletzung der zuständigen Aufsichtsbehörde grundsätzlich innerhalb von 72 Stunden gemeldet werden.
Das ist ein Hinweis, keine Rechtsberatung. Ob, wann und wie gemeldet werden muss, klärt im Zweifel ein Anwalt oder Ihr Datenschutzbeauftragter. Wichtig ist, den Punkt früh mitzudenken – nicht erst, wenn die Frist fast abgelaufen ist.
So läuft die Bereinigung
Eine Bereinigung, die nur die sichtbaren Spuren entfernt, hält nicht. Deshalb gehe ich in dieser Reihenfolge vor:
Vollständiges Backup des befallenen Zustands (Dateien und Datenbank) als Ausgangspunkt und Beweis.
Feststellen, was betroffen ist, wo der Schadcode sitzt und – soweit möglich – wie er hereinkam.
Schadcode, fremde Dateien, manipulierte Einträge und unbekannte Benutzer gezielt entfernen.
Passwörter neu setzen, Updates einspielen, Sicherheits-Grundlagen setzen, Hintertüren schließen.
Bei einer Safe-Browsing- oder Blacklist-Warnung die erneute Überprüfung über die Search Console anstoßen.
Erneut prüfen, ob wirklich alles sauber ist, und beobachten, dass nichts zurückkommt.
Entscheidung
Nicht jede gehackte Seite muss neu gebaut werden – aber manchmal ist ein sauberer Neuaufbau günstiger und sicherer als eine aufwendige Rettung. Ehrliche Kriterien:
Preis-Orientierung
Eine Bereinigung beginnt bei rund 349 € netto – das gilt für eine WordPress-Installation ohne Shop bei überschaubarem Befall. In der Praxis liegen umfangreichere Bereinigungen bei 490 bis 890 € netto. Was in Ihrem Fall nötig ist, sehe ich nach einer kostenlosen Prüfung – danach gibt es einen Festpreis. Keine Abrechnung nach Aufwand ohne vorherige Zusage. Geht es nur um einen einzelnen Fehler ohne Befall, beginnt das bei rund 89 € netto.
Was den Preis nach oben treibt
Eine WordPress-Installation, kein Shop, überschaubarer Befall.
Mehrere Installationen, Shop mit Bestelldaten, tiefer Befall oder kompromittiertes Konto.
Ein einzelnes Problem an der Website, ohne Kompromittierung.
Alle Preise netto, zzgl. USt., als Orientierung. Der verbindliche Festpreis kommt nach der kostenlosen Prüfung.
Danach
Ein Hack nutzt fast immer eine Lücke, die vorher schon offen war: veraltete Erweiterungen, fehlende Updates, ein schwaches Passwort. Nach der Bereinigung geht es deshalb darum, dass die Seite nicht beim nächsten automatisierten Scan wieder auffällt.
Das kann ein einmaliges Absichern sein oder eine laufende WordPress-Wartung mit regelmäßigen Updates und Backups. Beides ist optional – aber ohne geschlossene Ursache ist die nächste Warnung nur eine Frage der Zeit.
Passende nächste Schritte
Wenn die Seite nicht kompromittiert, sondern schlicht nicht erreichbar ist.
Mehr dazuWenn WordPress einen kritischen Fehler zeigt statt einer Hack-Warnung.
Mehr dazuWenn der Browser vor der Seite warnt, aber kein Hack dahintersteckt.
Mehr dazuDamit die Seite nach der Bereinigung dauerhaft abgesichert bleibt.
Mehr dazuDer Einstieg: kostenlose Prüfung, danach ein Festpreis für die Bereinigung.
Mehr dazuFAQ
Typische Zeichen: eine Google-Warnung „möglicherweise gehackt“, Weiterleitungen auf fremde Seiten, unbekannte Inhalte oder Admin-Konten, eine Hoster-Sperre oder plötzlicher Spam-Versand über Ihre Domain.
Zuerst wird die Seite sauber bereinigt und abgesichert. Danach lässt sich über die Google Search Console eine erneute Überprüfung beantragen, damit die Warnung wieder entfernt wird.
Meist nicht. Schadcode sitzt oft in der Datenbank, in Uploads oder in Konfigurationsdateien und überlebt eine Neuinstallation. Ohne Ursachensuche bleibt die Lücke offen und der Befall kommt zurück.
Das lässt sich erst nach der Analyse einschätzen. Wenn personenbezogene Daten abgeflossen sein könnten, kann eine Meldepflicht nach Art. 33 DSGVO bestehen – das klärt im Zweifel ein Anwalt oder Datenschutzbeauftragter.
Eine Bereinigung beginnt bei rund 349 € netto (eine WordPress-Installation, kein Shop, überschaubarer Befall). Umfangreichere Fälle liegen bei 490 bis 890 € netto. Den Festpreis gibt es nach einer kostenlosen Prüfung.
Das hängt vom Befall ab und lässt sich erst nach der Prüfung seriös sagen. Ein fester Zeitpunkt wird nicht vorab versprochen – wichtiger ist, dass die Seite am Ende wirklich sauber ist.
Ziel ist, die Ursache zu schließen, nicht nur die Symptome. Eine hundertprozentige Garantie gibt es im Sicherheitsbereich nie – deshalb gehören eine Absicherung und, auf Wunsch, laufende Wartung dazu.
Nächster Schritt
Der Website-Check ordnet zuerst kostenlos ein, wie schwer der Befall ist. Danach gibt es einen Festpreis für die Bereinigung – keine Abrechnung nach Aufwand ohne Zusage.
Jetzt prüfen lassenBewertet mit Google 4,9 und ProvenExpert 5,0.