Eines Tages wachst du auf und stellst fest, dass dein WordPress gehackt wurde. Die Startseite zeigt vielleicht einen Totenschädel und verhöhnt dich, weil du eventuell den einen Fehler begangen hast, der dem Hacker Zugriff gewährte. Jetzt hast du ein echtes Problem, denn egal welche Benutzernamen- und Passwort-Kombination du ausprobierst, du kommst einfach nicht mehr in den Adminbereich deiner Website. Bleib cool, auch auf diese Frage hat Dr. Web eine Antwort.
Natürlich funktioniert der Trick, den ich dir gleich zeigen werde, auch bei vergessenen Zugangsdaten. Was immer das Problem ist, egal wodurch du keinen Zugriff mehr auf deinen Admin-Account hast, es ist lösbar.
Wenn du keine Backups für deine Website hast, die du wieder einspielen könntest, dann musst du dir anders zu helfen wissen. Hast du allerdings eine gute Backup-Strategie, dann kannst du mit nur wenigen Klicks deine Website wiederherstellen. Wenn nicht, dann verfahre wie folgt:
Neue Zugangsdaten anlegen in phpMyAdmin
In circa 98 Prozent aller Fälle wird ein Hacker nicht alle Bereiche einer Website oder eines Servers kompromittieren wollen oder gar können. Du wirst also jederzeit Zugriff auf phpMyAdmin haben und damit auf deine Datenbank, welche von WordPress genutzt wird.
Wenn du auch keinen Zugriff mehr auf deinen Server / dein WordPress-Hostingpaket haben solltest, dann kontaktiere den Support deines Hosters.
Die Zugangsdaten stehen übrigens in der wp-config.php
, falls du sie vergessen haben solltest. Logge dich mit diesen Zugangsdaten also in deine phpMyAdmin-Oberfläche ein. Wähle dann die richtige Datenbank aus, falls du mehrere Websites hast.
Mache nun ein manuelles Backup deiner Datenbank, damit du sie wieder importieren kannst, wenn du bei der folgenden Arbeit einen kapitalen Fehler machen solltest.

Jetzt geht es an das Eingemachte. Wir werden neue Zugangsdaten in der Datenbank anlegen, damit du schnell wieder Zugriff bekommst und deine Website wieder herstellen kannst.
Neue Zugangsdaten in der Datenbank setzen
Klicke auf der linken Seite auf die Tabelle wp_users
. Bitte beachte, dass deine Tabelle auch anders heißen könnte, wenn du ein abweichendes Datenbank-Präfix als wp_
nutzt. Vielleicht heißt die Tabelle dann meinblog_users
. Auch das kannst du aus der wp-config.php
erfahren.
In der oberen Zeile klickst du auf den ersten Menüpunkt namens »Anzeigen«. Jetzt siehst du die Benutzer-Accounts und klickst bei deinem Administrator auf »Bearbeiten«.

Setze jetzt eine funktionierende E-Mail-Adresse in das Feld mit der E-Mail und speichere die Daten ab. Trage Sorge dafür, dass du auf diese E-Mail-Adresse wirklich Zugriff hast und damit auch Mails empfangen kannst.

Ein neues Passwort anfordern
Nachdem Du eine neue E-Mail-Adresse gesetzt hast, kannst du dich aus phpMyAdmin ausloggen und rufst den Adminbereich deiner Website mit der folgenden URL auf:
http://deine-website.de/wp-login.php
Nutze jetzt die WordPress-Funktion für ein vergessenes Passwort. Klicke auf »Passwort vergessen« und gebe in das sich nun öffnende Fenster deine soeben gesetzte E-Mail-Adresse ein.
WordPress sendet dir automatisch ein neues Passwort an die von dir in die Datenbank eingetragene E-Mail-Adresse zu. Somit hast Du wieder vollen Zugriff auf deine Website und kannst sie von Schadcode befreien.
Bitte wähle, nachdem du dich wieder einloggen kannst, ein wirklich sicheres Passwort mit mindestens 10 – besser 12 – Stellen, Buchstaben, Zahlen, sowie Groß- und Kleinschreibung. Mit einem vernünftigen Passwort machst du es dem nächsten Hacker sehr viel schwerer, in deine Website einzudringen.
Auf ein Wort: Die richtige Backup-Strategie
Die ganze Prozedur, die du soeben zu machen hattest, konnte nur geschehen, weil du deine Website nicht ausreichend gesichert oder nicht auf dem neuesten Stand gehalten hast. Ich weiß, das ist hart, solche Worte zu hören. Und doch ist es die Wahrheit.
Niemand muss es so einfach hinnehmen, dass sein Blog gehackt wurde. Du kannst viel dafür tun, das zu verhindern. Alles beginnt mit den Updates. Halte deine Seite, die Plugins und Minimal WordPress-Themes immer auf dem neuesten Stand. Damit schließt du Sicherheitslücken. Sorge für eine optimale .htaccess-Datei, die es Hackern fast unmöglich macht, in den Blog einzudringen. Nutze ein wirklich sicheres Passwort. So wirst du in Zukunft wesentlich besser schlafen können.
Meine Empfehlung für ein regelmäßiges Backup
Es gibt nichts wichtigeres als ein gutes Backup-Plugin, das nicht viel Fachwissen und Zeit bei einer Wiederherstellung eines Blogs erfordert. Zudem sichern die meisten Plugins ihre Backups auf dem eigenen Server. Ich arbeite bereits seit Jahren mit WP Staging, einem WordPress-Plugin aus Deutschland, welches sowohl in einem kostenlosen als auch in einem kostenpflichtigen Tarif zu haben ist. Dieses Plugin möchte ich dir ans Herz legen.
(dpe)
2 Antworten
Mein Account ist nicht gehackt worden sondern wieder mal durch ein widersprüchliches Plugin, in diesem Fall bb-press das wp-login.php nicht mehr möglich.
Und in der Benutzung eines FTP-Programmes, wie filezilla, nicht geübt.
Bin total er Dumme Laie.
Zum Glück ist meine Seite immer noch aufrufbar nuur das Wp-Login.php.
Muste in der Vergangenheit schon mehrfach den Blog neu aufsetzen lassen.
Mann oh Mann diese blöden viel versprechenden Plugin’s.
Sollte mal ein erfahrerener WordPress Blogbetreiber uns deutschen WordPress-Nutzern angeben welche dieser Plugins sinnfoll sind und welche überhaupt nicht.
Das wäre sehr hilfreich, für das aufklärende Posting würde ich auch einen Obulus leisten!
Das ist meine Seite: http://www.freddys-corner.com/fblog
Fritz Raddatz
Moin!
Ich habe seit kurzem das Problem, dass ich nachts eine oder mehrere Emails bekomme, dass mein Passwort zu Benutzer „XY“ geändert wurde. Bisher lediglich nur das.
Wenn ich auf Passwort zurücksetzen bzw. „Passwort vergessen“ gehe, kann ich mir immer wieder ein neues Passwort anlegen. Spätestens nachts, ist dann wieder jemand am Werk und ändert das Passwort.
Wie kann ich das Problem stoppen?
Meine Website: https://www.flusscam-buxtehude.de