Zurück zum Logbuch
Sicherheit 7. März 2026 4 Min. Lesezeit

Wurde Ihre WordPress-Website gehackt? 5 fatale Fehler, die Schweizer KMUs machen

Kirov Bone
Autor der Agentur

Stellen Sie sich vor, Sie verlassen abends Ihr Büro, schliessen die Tür ab, aktivieren die Alarmanlage und gehen beruhigt nach Hause. Niemand würde den Firmensafe über Nacht weit offen stehen lassen. Doch in der digitalen Welt machen tausende Schweizer kleine und mittlere Unternehmen (KMUs) jeden Tag genau das Gleiche mit ihrer WordPress-Website. Sie lassen die „digitale Eingangstür“ sperrangelweit offen.

Der größte Irrtum: «Wir sind zu klein, um gehackt zu werden»

Die häufigste Antwort, die ich von Geschäftsführern höre, lautet: „Warum sollte uns jemand hacken? Wir haben doch keine Geheimnisse oder Millionen auf dem Konto.“ Das ist ein fataler Denkfehler. Die meisten böswilligen Angriffe im Internet richten sich nicht gezielt gegen Ihr spezielles Unternehmen.

Stattdessen nutzen Hacker automatisierte Programme, sogenannte Bots, die pausenlos das gesamte Internet nach Schwachstellen und schlecht gesicherten Websites durchsuchen. Sie interessieren sich nicht für Ihre Betriebsgröße oder Ihre Branche. Sie wollen Ihre Website kapern, um:

  • Spam-Mails zu versenden: Ihre Domain wird genutzt, um tausende Spam-Mails zu verschicken, bis Ihre E-Mail-Adresse auf einer schwarzen Liste landet.
  • Ihre Kunden umzuleiten: Nichtsahnende Besucher Ihrer Seite werden plötzlich auf bösartige oder unseriöse Seiten umgeleitet.
  • Ihre Server-Ressourcen zu nutzen: Ihre Hosting-Leistung wird für das Mining von Kryptowährungen missbraucht, was Ihre Seite extrem langsam macht.
  • Ransomware zu platzieren: Ihre Daten werden verschlüsselt, und es wird ein Lösegeld gefordert.

Die wahren Kosten eines Hacks für ein Schweizer KMU

Ein Sicherheitsvorfall ist nicht nur ein technisches Ärgernis, sondern ein echtes Geschäftsrisiko. Die Folgen sind oft weitreichender, als man im ersten Moment denkt:

1. Reputationsverlust und Vertrauensbruch

Wenn ein langjähriger Kunde Ihre Website besucht und statt Ihres Angebots eine Virenwarnung von Google vermeldet bekommt («Diese Website wurde möglicherweise gehackt»), ist das Vertrauen sofort dahin. In der Schweiz, wo Zuverlässigkeit und Diskretion höchste Priorität haben, kann das den Verlust wichtiger Kunden bedeuten.

2. Das neue Schweizer Datenschutzgesetz (revDSG)

Seit September 2023 ist das revidierte Datenschutzgesetz (revDSG) in Kraft. Wenn Hacker über Ihre unzureichend gesicherte Website an Kundendaten gelangen (beispielsweise durch ein kompromittiertes Kontaktformular oder im schlimmsten Fall einen gehackten WooCommerce-Shop), können erhebliche rechtliche Konsequenzen drohen. Sie sind gesetzlich verpflichtet, angemessene technische Maßnahmen zum Schutz persönlicher Daten zu ergreifen.

3. SEO-Penalty: Google straft Sie ab

Google hasst gehackte Seiten. Sobald der Suchmaschinen-Gigant feststellt, dass Ihre Seite kompromittiert wurde, verlieren Sie Ihr Ranking. Im schlimmsten Fall werden Sie komplett aus dem Suchindex entfernt (Blacklisting). Selbst nach der Bereinigung kann es Monate dauern, bis Sie Ihre alte Sichtbarkeit zurückerlangen.

5 fatale Fehler, die Hackern die Tür öffnen

Wie kommt es überhaupt dazu, dass eine WordPress-Seite infiziert wird? Meistens liegt es an einem dieser fünf Fehler:

  1. Veraltete Software-Versionen: Ein Theme oder Plugin, das seit zwei Jahren kein Update mehr gesehen hat, ist eine tickende Zeitbombe. Hacker kennen die Sicherheitslücken (Exploits) alter Versionen ganz genau.
  2. Schwache Passwörter und keine 2-Faktor-Authentifizierung (2FA): «Admin123» ist kein Passwort, das Ihr Unternehmen schützt. Ohne 2FA ist Ihr Login-Bereich schutzlos gegen Brute-Force-Angriffe.
  3. Billiges Shared Hosting: Wer versucht, bei der Basis zu sparen und sich einen Server mit hunderten anderen (oft schlecht gewarteten) Seiten teilt, riskiert, dass Malware überspringt (Cross-Site Contamination).
  4. Verzicht auf regelmässige, sichere Backups: Wenn das Schlimmste passiert, ist ein Backup Ihre einzige Rettung. Doch viele Unternehmen merken erst im Notfall, dass das letzte Backup fehlerhaft ist oder auf demselben Server lag und ebenfalls gelöscht wurde.
  5. Verwendung von «Nulled» Plugins (Raubkopien): Der Versuch, 50 Franken für ein Premium-Plugin zu sparen, indem man eine illegale Gratis-Wersion aus dem Netz lädt, endet fast immer in einer massiven Malware-Infektion. Diese Dateien sind absichtlich mit Viren präpariert.

Wie Sie sich effektiv absichern und ruhig schlafen können

Ihre Website soll für Sie arbeiten, nicht gegen Sie. Die Zusammenarbeit mit einem professionellen Entwickler funktioniert wie eine erstklassige Versicherung für Ihre digitale Präsenz. Durch sauberen Code, regelmässige und kontrollierte Updates, starke Firewalls auf Serverebene (WAF) und dediziertes Hosting sorgen wir dafür, dass Ihre digitale Haustür immer fest verschlossen bleibt.

Lehnen Sie sich zurück und konzentrieren Sie sich auf das, was Sie am besten können: Ihr Geschäft. Um die Technik, die Sicherheit und den ruhigen Schlaf kümmere ich mich.

Teilen: