Ein Website-Hack ist der Albtraum vieler Unternehmer:innen. Plötzlich erscheinen Spam-Inhalte, Weiterleitungen oder Fehlermeldungen – und Google warnt vor deiner Seite. Doch keine Panik: Wenn du schnell und systematisch reagierst, kannst du den Schaden begrenzen. Hier erfährst du, wie du erkennst, ob deine Website gehackt wurde – und was du tun musst.
1. Anzeichen für eine gehackte Website
Hacks zeigen sich oft auf unterschiedliche Weise. Typische Symptome sind:
- Plötzliche Weiterleitungen auf fremde Websites
- Unerklärliche Pop-ups oder Werbung
- Neue Benutzerkonten im WordPress-Backend
- Spam-Einträge in den Google-Suchergebnissen
- Deine Website ist plötzlich offline oder sehr langsam
- Google zeigt Warnmeldungen („Diese Website könnte gehackt sein“)
Wenn du eines dieser Anzeichen bemerkst, solltest du sofort handeln.
2. Sicherheit prüfen
Starte mit einem kostenlosen Malware-Check, z. B. mit:
Diese Tools durchsuchen deine Website nach bekannten Schadcode-Mustern.
Wenn sie etwas finden, isolier deine Seite sofort (siehe nächster Punkt).
3. Website offline schalten
Deaktiviere deine Website vorübergehend oder aktiviere den Wartungsmodus. So verhinderst du, dass Besucher:innen oder Suchmaschinen infizierte Seiten aufrufen. Wenn du WordPress nutzt, geht das z. B. mit Coming Soon Page & Maintenance Mode.
4. Passwort-Reset & Benutzerkonten prüfen
Ändere sofort alle Passwörter:
- WordPress-Login
- FTP/SFTP
- Datenbank
- Hosting-Account
- E-Mail-Zugang
Lösche verdächtige Benutzerkonten. Besonders kritisch: Wenn du neue Administrator:innen siehst, die du nicht angelegt hast.
5. Schadcode entfernen
Wenn du technisches Wissen hast, kannst du den Code manuell bereinigen:
- Scanne deine Dateien mit Wordfence oder Sucuri
- Vergleiche geänderte Dateien mit sauberen Backups
- Entferne unbekannte Scripts oder iframes
Wenn du unsicher bist, lass das von einem Profi machen – sonst riskierst du, dass versteckte Schadsoftware bleibt.
6. Backup wiederherstellen
Falls du ein sauberes Backup hast: Setze deine Website auf den Stand vor dem Angriff zurück. Nutze dafür Tools wie UpdraftPlus. Achte darauf, dass du keine infizierten Dateien erneut hochlädst.
7. Hosting-Anbieter informieren
Teile deinem Hoster mit, dass deine Website kompromittiert wurde. Viele Anbieter helfen bei der Bereinigung oder stellen eine Sicherheitskopie zur Verfügung. Bei wiederholten Angriffen kann dein Hosting-Anbieter auch die IP-Adressen der Angreifer blockieren.
8. Sicherheitsmaßnahmen verschärfen
Nach der Bereinigung solltest du deine Website dauerhaft härten:
- Alle Plugins und Themes aktualisieren
- Unnötige Erweiterungen löschen
- Sicherheitsplugin installieren (z. B. Wordfence oder iThemes Security)
- Login-URL ändern
- Regelmäßige Backups einplanen
9. Google informieren
Wenn Google deine Website als gefährlich markiert hat, kannst du nach der Bereinigung eine erneute Überprüfung beantragen. Das geht in der Google Search Console unter „Sicherheitsprobleme“. Nach ein bis zwei Tagen verschwindet die Warnmeldung in der Regel, wenn alles sauber ist.
10. Kommunikation mit Kund:innen
Wenn personenbezogene Daten betroffen sind (z. B. durch ein Kontaktformular), musst du laut DSGVO eventuell die Datenschutzbehörde und betroffene Personen informieren.
Das gilt insbesondere bei Online-Shops oder Kundendatenbanken.
Transparenz schafft Vertrauen – auch im Krisenfall.
Ein Hack ist ärgerlich, aber kein Weltuntergang. Mit kühlem Kopf, guten Backups und klaren Abläufen kannst du den Schaden schnell beheben und deine Website sogar sicherer machen als zuvor. Prävention bleibt der beste Schutz – also regelmäßige Updates, starke Passwörter und Sicherheitsplugins aktivieren.
Mach jetzt deinen Website-Check!
Willst du wissen, wie gut deine Website wirklich optimiert ist? Schick mir einfach deine Domain – wir analysieren sie und zeigen dir deine größten Chancen.