Kurz: zuerst die offensichtlichen Symptome prüfen, dann mit Plugins/Logs tiefer graben.
1) Sicht-Checks (5 Minuten)
Tauchen auf der Website ungewöhnliche Inhalte auf? (Spam-Texte, fremde Links, Popups).
Gibt es rote Warnmeldungen in Browsern beim Aufruf (Safe Browsing / Malware-Warnung)?
Funktionieren Formulare plötzlich nicht oder leiten auf fremde Seiten weiter?
Wenn ja → höhere Priorität, sofort weiter zu Scan/Logs.
2) Mail-/Spam-Indikatoren (5–15 Min)
Plötzliche Erhöhung ausgehender Mails? (Im Hosting-Panel oder Mail-Logs prüfen.)
Empfänger melden Spam, oder Mailserver-Provider hat Warnungen/Quotas erreicht?
Wenn ausgehende Mailmengen stark steigen → sehr verdächtig (Server kann als Spam-Relay genutzt werden).
3) Schnelle Plugin-/Theme-Prüfung (10–20 Min)
WP-Admin → Plugins & Themes: neue, unbekannte Plugins? deaktivierte Plugins?
Sind Core/Theme/Plugins stark veraltet? (Versionen prüfen)
Prüfen: unbekannte Admin-User vorhanden?
4) Scanner / Plugins (einfach & empfehlenswert)
Installiert eines oder mehrere der folgenden (nur nutzen, wenn vertrauenswürdig installiert):
Wordfence — Scan + Firewall (übersichtlicher Malware-Scan).
Sucuri Security — Audit Log + Scanner.
MalCare — automatischer Malwarescan & Cleanup (kostenpflichtig, aber gut).
iThemes Security oder WP Activity Log — für Audit/Logging.
→ Plugin laufen lassen, Scan-Report exportieren, Auffälligkeiten notieren (Dateien, URLs, Backdoors).
5) Dateisystem-Check (Hosting-Panel oder SSH; 10–20 Min)
Letzte Änderungszeiten prüfen: sind viele Dateien kürzlich verändert (z. B. in wp-content/plugins oder wp-content/uploads)?
Falls SSH möglich: ls -lt in relevanten Verzeichnissen oder find . -mtime -7 (zeigt Dateien geändert in den letzten 7 Tagen).
Auffällige PHP-Dateien in Upload-Ordnern? (Uploads sollten keine .php Dateien enthalten)
Such nach typischen Obfuskationsmustern in PHP: eval( oder base64_decode( — nur als Indikator, nicht automatisch löschen.
Hinweis: SSH-Commands nur verwenden, wenn sicher damit umgegangen wird – sonst Hosting-Support bitten.
6) .htaccess / wp-config.php / Robots.txt (5 Min)
.htaccess auf unerwartete Redirects oder erzwungene Weiterleitungen prüfen.
wp-config.php: keine unbekannten Einträge, keine zusätzlichen DB-Credentials oder eval-Statements.
Robots.txt: ungewöhnliche Allow/Disallow-Einträge? (Manche Angreifer verstecken Backdoors.)
7) Logs prüfen (Hosting / Server / PHP / Webserver / Mail) (15–30 Min)
Webserver-Access- und Error-Logs auf 404/500-Wellen, ungewöhnliche POST-Anfragen, viele Login-Versuche.
Mail-Logs auf Outgoing-Spikes.
PHP-Errors oder ModSecurity-Regeln, die oft auf Bots hinweisen.
Wenn keine Log-Zugänge vorhanden → Hosting-Support kontaktieren und um die letzten 7–14 Tage Logs bitten.
8) Externe Checks (2–5 Min)
Google Safe Browsing / Search Console: Gibt es Warnungen?
MXToolbox / Blacklist-Checks: Domain oder Server IP auf Blacklists?
Kurzer Scan mit Sucuri SiteCheck (extern) — nur als Hinweis, nicht als Beweis.
9) Admin-Konten & Backups (5–10 Min)
WordPress-Adminliste checken: unbekannte Admin-Accounts sofort deaktivieren.
Backup-Verfügbarkeit prüfen: saubere, intakte Backup-Version vor dem verdächtigen Datum identifizieren.
10) Wenn etwas auffällig ist — Sofortmaßnahmen
Sofortmodus: Site in Wartungsmodus / offline nehmen (wenn möglich) oder Zugänge sperren.
Backup: Vollständiges Backup (Files + DB) sofort anlegen (auch wenn verdächtig).
Passwörter ändern: Admin-Passwörter, DB-Passwort, Hosting-Control-Panel, FTP, Mail.
Logs sammeln & sichern (für Diagnose oder externen Cleaner).
Professionelle Bereinigung in Erwägung ziehen (bezahlter Service), wenn Malware/Backdoor bestätigt ist — sauberes Entfernen ist oft aufwändiger als erster Scan vermuten lässt.
Falls Spam/Blacklisting besteht → Mailserver-Provider informieren / temporäre Sperre setzen.