Jede Woche werden tausende WordPress-Seiten gehackt. Die meisten Angriffe sind nicht gezielt — sie nutzen automatisierte Bots, die nach bekannten Schwachstellen suchen. Wer ein paar Grundregeln befolgt, gehört nicht zu den leichten Opfern.
Hier ist der komplette Leitfaden, der dir zeigt, wo die größten Risiken liegen und wie du sie minimierst.
Warum WordPress ein beliebtes Ziel ist
WordPress läuft auf über 40 Prozent aller Websites weltweit. Das macht es zum attraktivsten Ziel für Angreifer — nicht weil es unsicher ist, sondern weil die Masse an Installationen die Erfolgsaussichten für Hacker erhöht.
Die häufigsten Einbruchspunkte:
- Veraltete Plugins mit bekannten Lücken
- Schwache Passwörter für Admin-Accounts
- Fehlende Updates für WordPress-Core
- Unsichere Dateiberechtigungen auf dem Server
- Keine Firewall oder Rate-Limiting
Die wichtigsten Sicherheitsmaßnahmen
1. Updates sofort einspielen
WordPress veröffentlicht Sicherheitsupdates regelmäßig. Wer diese nicht zeitnah installiert, lässt bekannte Lücken offen.
Was hilft:
- Automatische Minor-Updates aktivieren (WordPress 6.x macht das standardmäßig)
- Major-Updates innerhalb von 14 Tagen testen und einspielen
- Plugin-Updates wöchentlich prüfen — kritische Sicherheitsupdates sofort
- Themes aktuell halten, auch wenn sie nicht aktiv genutzt werden
2. Sicherheits-Plugin einsetzen
Ein gutes Sicherheits-Plugin ist das Minimum für jede WordPress-Seite. Es blockt Brute-Force-Angriffe, scannt auf Malware und überwacht Dateiänderungen.
Empfohlene Lösungen:
- Wordfence — Kostenlos, Firewall, Malware-Scan, Login-Limits
- Sucuri Security — Datei-Integrity-Monitoring, Blacklist-Checks
- iThemes Security — Zwei-Faktor-Authentifizierung, Passwort-Policy
- Solid Security (ehemals iThemes) — umfassende Härtung
Minimum-Konfiguration:
- Login-Versuche auf 5 pro Stunde begrenzen
- Zwei-Faktor-Authentifizierung für alle Admin-Accounts
- Dateiänderungen überwachen (daily scan)
- Firewall-Regeln aktivieren (Block IPs nach wiederholten Fehlversuchen)
3. Passwörter und Benutzerrechte härten
Der Standard-Admin-Account mit dem Namen „admin“ ist das erste Ziel von Brute-Force-Bots.
Was hilft:
- Admin-Account umbenennen (nicht „admin“ oder „administrator“)
- Starke Passwörter erzwingen (mindestens 16 Zeichen, gemischt)
- Zwei-Faktor-Authentifizierung für alle Benutzer mit Editor-Rechten oder höher
- Benutzerrollen minimal halten: Wer nur bloggt, braucht keine Admin-Rechte
- Inaktive Accounts deaktivieren
4. Server-seitige Härtung
WordPress läuft auf einem Server — und der Server muss ebenfalls geschützt sein.
Was hilft:
- PHP-Version aktuell: PHP 8.2 oder 8.3 nutzen (PHP 7.4 ist End-of-Life und unsicher)
- Dateiberechtigungen: wp-config.php auf 640 setzen, Uploads auf 755
- SSL-Zertifikat: HTTPS für alle Seiten erzwingen (Let\u0027s Encrypt reicht)
- Datenbank-Präfix ändern: Nicht
wp_verwenden, sondern zufälliges Präfix wiea7x9_ - XML-RPC deaktivieren: Wenn nicht für die App oder externe Tools benötigt
wp-config.php härten:
define(\u0027DISALLOW_FILE_EDIT\u0027, true);
define(\u0027FORCE_SSL_ADMIN\u0027, true);5. Backup-Strategie etablieren
Kein Sicherheitskonzept funktioniert ohne funktionierende Backups. Wer kein Backup hat, hat nach einem Hack keine Optionen.
Was hilft:
- Tägliche automatische Backups (mindestens 14 Tage aufbewahren)
- Backups außerhalb der Website speichern (Cloud-Speicher, nicht auf demselben Server)
- Wiederherstellung testen — ein Backup, das nicht funktioniert, ist wertlos
- Datenbank und Dateien getrennt sichern
Empfohlene Tools:
- UpdraftPlus — Kostenlos, Cloud-Integration (Google Drive, Dropbox)
- BlogVault — Managed Backups mit Staging-Funktion
- WPvivid — Kostenlos, Migration inklusive
6. Firewall und CDN vorschalten
Eine Web Application Firewall (WAF) filtert bösartige Anfragen, bevor sie deinen Server erreichen.
Was hilft:
- Cloudflare (kostenlos): DNS-Proxy, DDoS-Schutz, Basis-WAF
- Sucuri Firewall: Erweiterte WAF, Malware-Entfernung inklusive
- Wordfence Firewall: Server-seitige Firewall, kein externes CDN nötig
Minimale Cloudflare-Einstellungen:
- Security Level: Medium
- Bots fight mode: On
- Always Use HTTPS: On
- Auto Minify: JS, CSS, HTML
Der 15-Minuten-Sicherheitscheck
So prüfst du den aktuellen Stand deiner Website:
- WordPress-Version: Aktuell? (Dashboard → Updates)
- Plugins: Veraltete oder deaktivierte Plugins entfernen
- Benutzer: Nur notwendige Accounts aktiv, starke Passwörter?
- Sicherheits-Plugin: Installiert und konfiguriert?
- Backup: Letztes Backup erfolgreich? Wiederherstellung getestet?
- SSL: HTTPS aktiv? (Browser-Lock-Symbol prüfen)
- wp-config.php: File-Editing deaktiviert?
Was tun, wenn du gehackt wurdest?
Schnelles Handeln limitiert den Schaden:
- Website offline nehmen — Wartungsmodus oder Hosting-Provider kontaktieren
- Backup analysieren — Wann wurde das letzte saubere Backup erstellt?
- Passwörter ändern — Alle Accounts, Datenbank, FTP, Hosting
- WordPress-Core neu installieren — Frische Dateien per FTP hochladen
- Plugins prüfen — Alle deaktivieren, einzeln reaktivieren
- Sicherheits-Scan — Wordfence oder Sucuri auf Malware prüfen
- Google Search Console — Prüfen, ob die Seite auf Blacklists steht
- Wieder online — Nach gründlicher Reinigung
Fazit
WordPress-Sicherheit ist kein einmaliges Projekt, sondern eine kontinuierliche Disziplin. Die wichtigsten Maßnahmen sind simpel: Updates zeitnah einspielen, starke Passwörter erzwingen, ein Sicherheits-Plugin aktivieren und regelmäßige Backups sicherstellen.
Wer diese vier Punkte umsetzt, ist bereits sicherer als 90 Prozent aller WordPress-Installationen weltweit. Die restlichen Härtungen (Firewall, CDN, Server-Konfiguration) sind das zusätzliche Investment für professionelle Websites und Shops.
Prüfe deine Website jetzt mit dem 15-Minuten-Check oben. Die Ergebnisse zeigen dir exakt, wo du ansetzen musst.
