Was ist das Erste, was ich tun soll, wenn meine Webseite gehackt wurde?

Wenn Sie sich nicht sicher sind, Webseite vorübergehend offline nehmen oder in den Wartungsmodus stellen. Dann: Passwörter aller Admin-Konten ändern (CMS, Hosting, FTP/SSH, Datenbank). Backups prüfen, was sauber war. Erst danach analysieren, was passiert ist. Vorschnelles Wiederherstellen ohne Sicherheitslücke zu schliessen, führt direkt zum nächsten Hack.

Wie erkenne ich überhaupt, dass meine Webseite gehackt wurde?

Typische Anzeichen: Google zeigt Sicherheitswarnung in den Suchergebnissen, Browser-Warnungen beim Aufruf, fremde Seiten oder Inhalte aufgetaucht, Webseite leitet plötzlich auf Spam-Seiten um, plötzlicher Traffic-Einbruch in der Search Console, Anti-Virus-Tools schlagen Alarm. Manchmal gibt es auch nur erhöhte Server-Last ohne sichtbare Veränderung, das ist dann oft Krypto-Mining-Malware.

Was sind die häufigsten Angriffsvektoren bei kleinen Webseiten?

Bei kleinen Schweizer KMU-Webseiten sind es typischerweise: veraltete WordPress-Plugins mit bekannten Schwachstellen, schwache Admin-Passwörter (Brute-Force-Angriffe), kompromittierte FTP-Zugänge durch malware-infizierte Laptops, veraltete PHP-Versionen, fehlende oder falsch konfigurierte Sicherheits-Plugins. Sehr selten ist es ein gezielter Angriff. Meistens ist es ein automatisierter Bot, der Schwachstellen scannt.

Wie viel kostet die professionelle Säuberung einer gehackten Webseite?

Eine Notfall-Säuberung mit Analyse, Cleanup, Hardening und Re-Submit bei Google liegt typischerweise zwischen CHF 950 und CHF 3'500 je nach Komplexität. Bei schweren Fällen mit verteilten Backdoors und Datenbank-Kompromittierung kann es höher gehen. Wichtig: nach der Säuberung muss Hardening (Plugin-Updates, Security-Setup, Backup-Strategie) gemacht werden, sonst kommt der Hack wieder.

Notfall-Anleitung

Webseite gehackt? Was Sie jetzt tun

Schritt-für-Schritt-Anleitung für die ersten Stunden, häufige Angriffsvektoren und wie Sie systematisch sauber rauskommen.

Von AmuraDesign•5. April 2026•9 Min. Lesezeit

Ein Anruf am Sonntagabend. Ich gehe ran und höre eine Stimme, die ich sofort als panisch erkenne. «Meine Webseite zeigt nur noch Werbung für Glücksspiel. Was mach ich jetzt?» Der Kunde betreibt eine kleine Buchhaltungs-Firma in Solothurn. Seine Kunden googeln ihn, finden statt seiner Webseite Casino-Werbung in fünf Sprachen.

Das passiert oft, häufiger als die meisten denken. Pro Woche höre ich mindestens einen solchen Fall. Die gute Nachricht: in 90 Prozent der Fälle ist es kein gezielter Angriff, sondern ein automatischer Bot, der irgendeine bekannte Schwachstelle ausgenutzt hat. Lässt sich beheben. Aber Sie müssen wissen, was zu tun ist und in welcher Reihenfolge.

Diese Anleitung schreibe ich, damit Sie nicht erst im Notfall googeln müssen. Lesen Sie sie jetzt, speichern Sie den Link. Und idealerweise: setzen Sie Backup und Security so auf, dass Sie sie nie brauchen.

Die ersten 60 Minuten

Ruhig bleiben. Panik führt zu Fehlern. Hier ist die Reihenfolge:

1. Beweise sichern, BEVOR Sie etwas änden

Machen Sie Screenshots von den befallenen Seiten. Speichern Sie die HTML-Quelltexte. Wenn möglich, ziehen Sie einen kompletten Snapshot der Webseite (FTP-Download des aktuellen Zustands). Das ist wichtig für die Analyse später, und im Ernstfall auch für eine Anzeige. Wenn Sie sofort alles säubern, wissen Sie hinterher nicht mehr, was passiert ist und wie der Angreifer reingekommen ist.

2. Webseite offline nehmen

Schalten Sie die Webseite in einen Wartungsmodus oder offline. Bei WordPress geht das mit einem Plugin wie WP Maintenance Mode oder einfach durch eine statische index.html. Bei anderen Setups: über htaccess eine 503-Antwort oder Weiterleitung auf eine Maintenance-Seite. So verhindern Sie weiteren Schaden für Ihre Besucher und für Ihre SEO-Reputation.

3. Passwörter ändern, alle

CMS-Admin, FTP/SFTP/SSH, Hosting-Control-Panel, Datenbank, E-Mail-Konten dieser Domain. Wenn Sie einen Passwort-Manager nutzen, neue starke Passwörter generieren (mindestens 20 Zeichen, zufällig). Aktivieren Sie wo immer möglich Zwei-Faktor-Authentifizierung. Falls Ihr Laptop verseucht war, wird das alleine nicht reichen, aber es ist der erste Schritt.

4. Hoster informieren

Schreiben Sie kurz an Ihren Hoster (Hostpoint, Infomaniak, Cyon, was auch immer). Viele haben ein Security-Team, das helfen kann, Server-Logs liefern oder bei bekannten Malware-Signaturen Hilfe leisten. Sie haben oft mehr Sichtbarkeit, was an Server-Seite passiert.

Wie kommt der Angreifer eigentlich rein?

Bei kleinen Webseiten sehe ich folgende Vektoren immer wieder:

WordPress-Plugins mit Lücken

Mit Abstand der häufigste Vektor. Ein Plugin, das nicht mehr gepflegt wird oder dessen Version 2 Jahre alt ist, hat oft bekannte Schwachstellen. Es gibt Bot-Netze, die ständig das gesamte Internet nach genau diesen Versionen scannen und bei Treffer sofort ausnutzen. Beliebte Einfallstore in den letzten Jahren: alte Versionen von Elementor, WPBakery, Slider Revolution, File Manager.

Schwache Admin-Passwörter (Brute-Force)

Bots probieren systematisch Tausende Passwörter pro Sekunde. Wenn Ihr Admin-Konto «admin» heisst und das Passwort «Sommer2024» ist, sind Sie in Minuten drin. Ohne Brute-Force-Schutz (Limit Login Attempts, Wordfence) sind solche Konten innerhalb von Wochen kompromittiert.

Alte PHP-Versionen

PHP 7.4 wird offiziell seit November 2022 nicht mehr unterstützt. Wer da noch drauf ist, kriegt keine Security-Patches mehr. PHP 8.0 endete Ende 2023. Wenn Ihr Hoster Sie nicht zwingt zu wechseln, sind Sie wahrscheinlich auf einer alten Version mit offenen Lücken. Mit PHP 8.2 oder 8.3 sind Sie auf der sicheren Seite.

Infizierte FTP-Zugänge

Sie haben sich vor zwei Jahren einen Trojaner eingefangen, der FTP-Passwörter aus Filezilla geklaut hat. Der Angreifer hat die Daten gespeichert und Sie irgendwann später angegriffen. Selbst wenn Ihre Webseite sauber ist, kommt er via FTP rein. Lösung: SFTP statt FTP, immer, und Passwörter nicht im Klient speichern.

Kompromittiertes Mitarbeiter-Konto

Bei Webseiten mit mehreren Admin-Konten: ein Konto wird via Phishing oder schwaches Passwort gekapert, dann wird ein zweites Backdoor-Konto angelegt. Selbst nach Bereinigung bleibt das zweite Konto, und der Angreifer kommt jederzeit wieder rein. Audit der Benutzerkonten ist nach jedem Hack Pflicht.

Systematische Säuberung: Was wirklich gemacht werden muss

Ehrliche Warnung: das ist meist nicht selbst zu schaffen, wenn Sie nicht aus dem Web-Bereich kommen. Aber wenn Sie wissen, was technisch passieren muss, können Sie auch besser beurteilen, ob ein Anbieter sauber arbeitet.

1. Wiederherstellung aus sauberem Backup

Wenn Sie ein Backup haben, das nachweislich vor dem Angriff liegt: das ist der schnellste Weg. WICHTIG: Sie müssen sicher sein, dass das Backup wirklich sauber ist. Manche Hacks sind monatelang unbemerkt aktiv. Backup von vor 6 Monaten ist oft sicherer als von vor 2 Wochen.

2. Wenn kein Backup: Cleanup-Scan

Tools wie Wordfence (für WordPress) scannen Core-Dateien gegen Originale, finden modifizierte Dateien und unbekannte Files. Sucuri SiteCheck zeigt von aussen, was sichtbar ist. Aber Vorsicht: Backdoors sind oft so geschickt versteckt, dass nur ein erfahrener Mensch sie findet. Automatisierte Scans erwischen vielleicht 80 Prozent.

3. Benutzerkonten audit

Alle Admin- und Editor-Konten anschauen. Unbekannte löschen. Aktivitäts-Logs prüfen, wann das letzte Login war. Passwörter aller Konten zurücksetzen, nicht nur die offensichtlichen.

4. Plugins und Themes auf aktuell

Alles aktualisieren auf neueste Version. Was nicht mehr gepflegt wird: rauswerfen. Was nicht aktiv genutzt wird: rauswerfen. Ziel: möglichst kleine Angriffsfläche.

5. Hardening & Re-Submit bei Google

Sicherheits-Plugin aktivieren (Wordfence, Solid Security), Login-URL ändern, Brute-Force-Schutz, automatische Updates für Plugins. Bei Google Search Console «Sicherheitsproblem behoben» melden, sonst zeigt Google weiter die Warnung. Bei Bedarf bei Norton, Avast und anderen Anti-Virus-Anbietern Whitelist anfordern.

Damit es nicht nochmal passiert

Nach jedem Hack: Hardening machen. Sonst ist es nur eine Frage von Tagen oder Wochen, bis Sie wieder dran sind. Die fünf wichtigsten Massnahmen:

Automatische Updates aktivieren

WordPress-Core, Plugins, Themes. Bei kritischen Updates innerhalb von 24 Stunden auf die neueste Version. Für KMU-Webseiten machen automatische Updates Sinn, auch wenn man theoretisch nichts kaputt-updaten will. Lieber Update-Risiko als Hack-Risiko.

Regelmässige Backups, automatisch

Tägliche Backups, mindestens 30 Tage aufbewahrt, an einem externen Ort (nicht auf demselben Server). UpdraftPlus, BackWPup, oder besser: server-seitige Backups vom Hoster. So haben Sie im Notfall einen sauberen Stand zum Wiederherstellen.

Starke Passwörter + 2FA

Passwort-Manager wie 1Password, Bitwarden, Vaultwarden. Zufallspasswörter, 20+ Zeichen. Zwei-Faktor-Authentifizierung für alle Admin-Konten. Damit ist Brute-Force praktisch unmöglich.

Aktuelle PHP-Version

Bei Ihrem Hoster prüfen, welche PHP-Version aktiv ist. Mindestens 8.2 oder 8.3. Wenn Ihr Hoster nur 7.4 oder 8.0 anbietet: wechseln oder upgraden.

Plugins minimieren

Jedes installierte Plugin ist eine potentielle Lücke. Was nicht aktiv genutzt wird: löschen, nicht nur deaktivieren. Bei Plugin-Wahl auf aktuelle Pflege achten (letztes Update unter 6 Monaten her, viele aktive Installationen).

Akut gehackt? Sofortige Hilfe

Wenn Sie gerade jetzt mitten in der Notlage stehen, schreiben Sie uns. Wir steigen typischerweise binnen weniger Stunden ein, machen Notfall-Säuberung mit Hardening und Re-Submit bei Google. Pauschal ab CHF 950.

Notfall-Hilfe anfordern Kostenlose Erstberatung

Weiterlesen

Webseite gehackt was tun (Service)

Notfall-Säuberung und Hardening für gehackte Webseiten.

DSG-konforme Webseite

Security & Compliance für Schweizer Webseiten.

Hosting-Vergleich Schweiz

Welche Hoster bei Security wirklich helfen.

SPF, DKIM, DMARC erklärt

E-Mail-Sicherheit für Ihr KMU.