Malware auf WordPress-Websites

Was ist Malware?

Malware ist ein Oberbegriff für jede Art von schädlicher Software (malicious software), die ohne Wissen oder Zustimmung des Betreibers auf einem System installiert wird und dort unerwünschte oder schädliche Aktionen ausführt. Im Kontext von Websites und WordPress bezeichnet Malware in der Regel schadhaften Code, der über ausgenutzte Sicherheitslücken in die WordPress-Installation eingeschleust wurde.

Wie gelangt Malware auf eine WordPress-Website?

Die häufigsten Einfallstore:

• Plugin-Schwachstellen: Veraltete oder schlecht gewartete Plugins mit bekannten Lücken – mit Abstand der häufigste Weg
• Schwache Zugangsdaten: Ein Brute-Force-Angriff knackt den Admin-Account
• Gecrackte Premium-Plugins: Sogenannte „nulled plugins" aus inoffiziellen Quellen enthalten oft eingebaute Backdoors
• Kompromittiertes Hosting: Wenn ein Server schlecht abgesichert ist, können alle darauf liegenden Websites betroffen sein
• Infizierte Backups: Wer ein Backup einspielt, das bereits Malware enthält, stellt das Problem wieder her

Die häufigsten Malware-Typen auf WordPress

Backdoors: Versteckte Zugänge, über die ein Angreifer auch nach einer Bereinigung wieder auf die Website zugreifen kann. Oft in selten beachteten Verzeichnissen versteckt, z.B. im Uploads-Ordner unter einem harmlosen Dateinamen.

SEO-Spam-Injektionen: Der Schadcode platziert Tausende versteckte Links – oft auf Glücksspiel-, Pharma- oder Phishing-Seiten – im Quellcode der Website. Für Besucher unsichtbar, von Google aber indexiert. Die Folge: Google setzt die Domain auf eine Blacklist.

Redirect-Malware: Besucher, die über eine Suchmaschine auf die Website kommen, werden auf externe Seiten weitergeleitet. Eingeloggte Admins sehen die Weiterleitung oft nicht, weil der Code gezielt nur Besucher ohne aktive Session betrifft.

Phishing-Seiten: Gefälschte Login-Seiten bekannter Dienste (Microsoft 365, PayPal, Banken) werden auf der kompromittierten Website gehostet – mit der legitimen Domain als Tarnung.

Krypto-Mining-Scripts: Server-Ressourcen werden im Hintergrund für das Mining von Kryptowährungen genutzt. Erkennbar oft an einer deutlichen Verlangsamung des Servers.

Kreditkarten-Skimmer: Auf WooCommerce- und anderen Shop-Seiten schleust Malware Code in den Checkout-Prozess ein, der Zahlungsdaten abgreift.

Wie erkenne ich Malware auf meiner Website?

Malware ist darauf ausgelegt, unentdeckt zu bleiben. Typische Warnsignale:

• Google zeigt eine Sicherheitswarnung für die Domain
• Der Hoster sperrt das Hosting-Konto
• Besucher berichten von Weiterleitungen auf fremde Seiten
• Im Google-Index tauchen unbekannte Seiten auf (site:ihredomain.de in der Google-Suche)
• Der Server ist unerwartet langsam
• Unbekannte Dateien tauchen im Uploads-Verzeichnis auf

Malware-Scanner: Wie zuverlässig sind sie?

Malware-Scanner arbeiten mit unterschiedlichen Methoden (→ WAF und Malware-Scanner):

• Signaturbasierte Scanner erkennen bekannte Malware-Muster – aber keine neue, maßgeschneiderte Malware
• Integritätsprüfer vergleichen Dateien mit dem WordPress-Original – zuverlässiger bei modifiziertem Code
• Verhaltensbasierte Scanner analysieren, was der Code tut – am treffsichersten, aber langsamer

Kein Scanner findet alles. Ein sauberes Scan-Ergebnis schließt eine Infektion nicht aus.

Was tun nach einer Malware-Infektion?

1. Nicht sofort ein Backup einspielen – es könnte bereits infiziert sein
2. Alle Passwörter ändern (WordPress-Admin, Hosting, FTP, Datenbank)
3. Sicherheitsschlüssel in der wp-config.php erneuern
4. Alle aktiven Sessions forciert beenden
5. Malware-Scanner laufen lassen und Funde manuell prüfen
6. Nach der Bereinigung: Google über die Search Console benachrichtigen

Mehr dazu im Beitrag WordPress Sicherheitslücken: Der vollständige Leitfaden.

Fazit

Malware auf einer WordPress-Website ist kein Ausnahmefall – sie ist eine reale, alltägliche Bedrohung. Die beste Verteidigung ist Prävention: aktuelle Software, sichere Zugangsdaten, eine WAF und regelmäßige Backups als letztes Sicherheitsnetz.