Webseite gehackt? Sofort handeln.
Ihre Seite leitet auf fremde Adressen weiter? Google zeigt eine Warnung im Suchergebnis? Unbekannte Admin-Benutzer im WordPress? Wir bereinigen, härten und stellen den Betrieb wieder her. Im akuten Notfall starten wir innerhalb 1 bis 2 Stunden. Schweizer Pikett aus Bern, persönlich erreichbar.
- Komplette Malware-Bereinigung mit Wordfence und ClamAV
- Forensische Analyse: wie kam der Angreifer rein?
- Sauberes Backup oder Hand-Rebuild, je nach Schaden
- Härtung: Updates, 2FA, WAF, Monitoring eingerichtet
Die häufigsten Symptome
Sechs Anzeichen, die in 95 Prozent der Fälle auf einen aktiven Hack hindeuten.
Malware in PHP-Dateien
Verdächtige PHP-Dateien in wp-content oder im Root, oft mit Namen wie wp-config-sample-2.php oder kryptischen Hashes. Inhalt: eval(base64_decode()), gzinflate-Aufrufe, ungewöhnliche obfuskierte Strings. Wordfence und ClamAV finden die meisten Signaturen sofort.
.htaccess manipuliert
Ihre .htaccess enthält Redirects, die Sie nie gesetzt haben: RewriteRules zu fremden Domains, User-Agent-basierte Weiterleitungen (Google-Bot sieht sauberen Inhalt, normale Besucher Spam). Klassischer SEO-Hijack. Wir vergleichen mit der letzten sauberen Version und stellen wieder her.
Unbekannte Admin-Benutzer
In WordPress unter Benutzer plötzlich Konten mit Namen wie wp_admin_2, system_user oder zufälligen Strings. Rolle: Administrator. Diese wurden vom Angreifer angelegt, um nach einem Bereinigungs-Versuch wieder reinzukommen. Müssen entfernt und Datenbank-Tabelle wp_users geprüft werden.
Defacement der Startseite
Ihre Startseite zeigt plötzlich fremde Inhalte, oft politische Botschaften, Werbung für illegale Substanzen oder schlicht eine Hacker-Signatur. Manchmal nur auf bestimmten URLs, manchmal global. Wir stellen Inhalte wieder her und finden die Eintrittsstelle.
Fremde Weiterleitung
Besucher landen auf pharma-spam.ru, casino-online.tk oder ähnlichen Spam-Domains. Oft nur bei bestimmten User-Agents (Mobile, externer Referrer) und nicht beim Admin selbst, weshalb der Hack lange unentdeckt bleibt. JavaScript-Injection in Theme-Dateien oder Datenbank-Optionen.
Google-Warnung
Im Google-Suchergebnis erscheint "Diese Seite kann Ihren Computer schädigen" oder "Trügerische Seite". Search Console zeigt im Bereich Sicherheit konkrete URLs. Bei Online-Shops zusätzlich Verlust der Zahlungs-Provider, viele blockieren kompromittierte Seiten automatisch.
Sofort-Massnahmen in 5 Schritten
Was Sie sofort selbst tun können, während wir Ihren Fall annehmen. Reihenfolge ist wichtig.
Nicht panisch löschen
Erste Reaktion vieler Kunden: alles löschen und Backup einspielen. Das vernichtet Spuren, die wir für die Forensik brauchen, und das Backup ist oft selbst infiziert. Bitte erst stoppen und uns kontaktieren.
Passwörter ändern
Alle Admin-Konten in WordPress und vom Hosting-Provider auf neue, lange Passwörter umstellen. Auch FTP, SSH und Datenbank-Zugangsdaten. Wenn Sie diese E-Mail-Adresse für anderes nutzen, dort ebenfalls. Idealerweise einen Passwort-Manager wie Bitwarden oder 1Password verwenden.
Hosting-Provider informieren
Hostpoint, Infomaniak und cyon haben spezielle Notfall-Prozesse für kompromittierte Konten. Sie helfen mit temporärer Sperre, sauberen Logs und manchmal mit Server-Snapshots vom Tag vor dem Hack. Wichtig: bevor sie die Seite selbst sperren.
Search Console prüfen
In Google Search Console unter Sicherheit nachsehen, welche URLs als kompromittiert markiert sind. Das hilft, die infizierten Bereiche einzugrenzen. Auch unter Manuelle Massnahmen prüfen, ob Google bereits eine Ranking-Strafe verhängt hat.
revDSG-Meldung prüfen
Falls Kundendaten betroffen sein könnten (Kontaktformulare, Shop-Bestellungen, Benutzerkonten), müssen Sie nach revDSG den EDÖB innerhalb 72 Stunden informieren. Wir helfen bei der Einschätzung, ob meldepflichtig, und mit der Vorlage für die Meldung.
So helfen wir
Strukturierte Bereinigung mit Festpreis. Im Pikett innerhalb 1 bis 2 Stunden.
Erstdiagnose (CHF 240)
Im Notfall-Pikett innerhalb 1 bis 2 Stunden: Scan, erste Isolation, Schaden-Einschätzung, Berichts-Entwurf. Bei revDSG-Pflicht zusätzlich Vorlage für EDÖB. Wird bei Beauftragung der Bereinigung angerechnet.
Bereinigung CHF 580 bis 1'400
Malware vollständig entfernen, fremde Admin-Konten löschen, .htaccess wiederherstellen, sauberes Backup einspielen oder Hand-Rebuild, anschliessend Härtung mit Updates, 2FA, WAF und Monitoring.
Komplex CHF 1'500 bis 4'500
Forensische Analyse mit Server-Logs, Identifikation der Eintrittsstelle, Datenexfiltrations-Prüfung, mehrere Server oder kompromittierte Konten, EDÖB-Meldung mit Begleitung, Migration zu sicherer Umgebung.
Notfall-Hilfe bei Schweizer Hostern
Hostpoint: Hat einen dedizierten Notfall-Support rund um die Uhr und stellt auf Wunsch Server-Snapshots der letzten 30 Tage zur Verfügung. Wenn der Hack noch nicht zu lange her ist, können wir damit eine saubere Basis wiederherstellen. Wichtig: bevor Hostpoint die Seite selbst sperrt, was sie bei Spam-Versand oder Malware-Verteilung automatisch tut.
Infomaniak: Bietet täglich automatische Backups über 30 Tage zurück und einen Sicherheitsbereich im Manager mit Malware-Scanner und Wartungs-Modus. Bei kompromittierten WordPress-Installationen können wir die Seite in Wartung schalten, in einer isolierten Umgebung bereinigen und dann wieder freigeben.
cyon: Verlässlicher Support, Backup-Strategie bietet 14 tägliche Snapshots. cyon-Webseiten profitieren besonders von der ModSecurity WAF, die wir nach der Bereinigung mit strengeren Regeln nachschärfen. Bei wiederholten Hacks empfehlen wir Wechsel auf cyon Managed-WordPress mit Auto-Updates.
Bei revDSG-relevanten Hacks: Falls Kontaktformulare, Shop-Bestellungen oder Benutzerkonten betroffen sind, ist eine Meldung an den EDÖB innerhalb 72 Stunden Pflicht. Wir liefern den Fakten-Bericht mit forensischen Details, den der Datenschutz-Verantwortliche für die Meldung verwenden kann.
Verwandte Themen
Härtung, Wiederherstellung und Infrastruktur, die einen erneuten Hack verhindern.
Notfall? Jetzt kontaktieren.
Im akuten Hack-Fall starten wir innerhalb 1 bis 2 Stunden mit der Isolation. Erstdiagnose CHF 240, bei Beauftragung der Bereinigung kostenlos angerechnet.
Notfall-Hilfe anfordernHäufige Fragen zu gehackten Webseiten
Meine Webseite wurde gehackt, was soll ich sofort tun?
Nichts überstürzt löschen, Passwörter aller Admin- und FTP-Konten ändern, Hosting-Provider informieren, uns im 24h-Pikett kontaktieren. Bei Kundendaten-Betroffenheit zusätzlich EDÖB-Meldung innerhalb 72h nach revDSG.
Wie erkenne ich, dass meine Webseite gehackt wurde?
Google-Warnung im Suchergebnis, Weiterleitungen auf fremde Domains, unbekannte Admin-Benutzer, kürzlich modifizierte Dateien in wp-content, Performance-Einbruch oder Spam-Mails von Ihrer Domain.
Wie kann eine Webseite überhaupt gehackt werden?
Meist veraltete WordPress-Plugins mit bekannten Lücken (~70%), schwache Passwörter, kompromittierte FTP-Daten, Brute-Force auf wp-login.php oder veraltete PHP-Versionen. Selten Misskonfigurationen oder Drittanbieter-Skripte.
Welche Tools nutzt ihr zur Malware-Erkennung?
Wordfence Premium, Sucuri SiteCheck, ClamAV auf dem Server, manuelle Inspektion per diff gegen offizielle Core- und Plugin-Releases. Zusätzlich .htaccess, Cron-Jobs und Datenbank-Optionen prüfen.
Wie lange dauert eine Bereinigung?
Einfacher Fall 2-4 Stunden, Standard 4-8 Stunden, komplex 1-3 Tage inklusive Forensik. Im Notfall-Pikett starten wir innerhalb 1-2 Stunden mit der Isolation.
Kann ich einfach ein altes Backup zurückspielen?
Nur wenn das Backup vor dem Hack erstellt wurde. Viele Hacks bleiben Wochen unentdeckt, das Backup kann selbst infiziert sein. Wir prüfen vor dem Restore und schliessen die Eintrittsstelle.
Was kostet eine Webseiten-Bereinigung?
Erstdiagnose Notfall-Pikett CHF 240. Standard-Bereinigung CHF 580-1'400. Komplexe Fälle mit Forensik CHF 1'500-4'500. Anschliessende Wartung ab CHF 80 monatlich.
Kontakt aufnehmen
Lass uns etwas
Grossartiges bauen.
Ob neue App, Web-Plattform oder Rebranding, wir sind bereit für die nächste Herausforderung. Erzähl uns von deiner Vision.