Es ist möglich, dass deine Website mit Malware infiziert wurde.
Ich würde den PC mit einer Live-CD einer gängigen Linux-Distribution starten, mich damit im Backend anmelden und dann mit einem Scan-Tool wie Sucuri Scanner prüfen, ob Malware gefunden wird.
Der einfachste Weg, um Malware zu entfernen, ist ein Backup einer unkompromittierten Version wiederherzustellen. Solltest du selber keine Backups gemacht haben (das ist eigentlich schon grob fahrlässig), frag bei deinem Webhoster nach.
Der weitaus kompliziertere Weg ist, alle Dateien mit Ausnahme des Verzeichnisses wp-content/uploads
zu löschen und durch frisch heruntergeladene Dateien (WordPress-Core, Themes, Plugin) zu ersetzen und das Verzeichnis mit den eigenen Uploads sehr genau auf infiltrierte Skripte zu prüfen. Selbst vermeindliche Mediendateien können Skripte enthalten. Außerdem solltest du natürlich alle Zugangsdaten austauschen und dir Gedanken über eine zusätzliche Absicherung deiner Website machen.
Die DSGVO macht einige Vorgaben, wie bei gehackten Websites zu verfahren ist. Ich bin kein Jurist, aber in Kürze dargestellt, musst du soviel ich weiß als datenverarbeitendes Unternehmen den Vorfall sichern und dokumentieren und für den Fall, dass Informationen deiner Kunden einsehbar waren, eine Meldung bei der Aufsichtsbehörde einreichen.
Vielen Dank für die ausführliche Antwort.
Ich habe die Webseite mit dem Sucuri Scanner überprüfen lassen, jedoch hat dieser keine Malware gefunden. (Domain clean by Google Safe Browsing, by McAfee, by Sucuri Labs, by PhishTank und by Yandex)
Denke es macht trotzdem Sinn sicherheitshalber ein altes Backup einzuspielen oder?
Was gibt es für Möglichkeiten sich präventiv vor Malware zu schützen?
Die Meldung deines Antiviren-Programms kann auch einfach ein „False Positive“ sein. Eine Wiederherstellung eines einigermaßen aktuellen Backups kann sicher nicht schaden.
Grundsätzlich ist WordPress sicher, wenn du regelmäßig Updates durchführst (und so mögliche Sicherheitslücken schnell schließt), ausreichend komplexe Passwörter und eine verschlüsselte Verbindung zum Backend und für SFTP verwendest. Es gibt aber einige Maßnahmen, wie du deine Website zusätzlich absichern kannst. Dazu gibt es in der Referenz eine eigene Seite:
Hardening WordPress
Wenn du lieber einen Beitrag auf Deutsch lesen möchtest, finde ich diesen Beitrag hilfreich:
WordPress Sicherheit – 19 Schritte zum Verriegeln Deiner Website
Bitte sei so nett und markier den Thread noch als „gelöst“, wenn deine Frage ausreichend beantwortet wurde.
Vielen herzlichen Dank für deine Hilfe