WordPress Sicherheit: 12 Maßnahmen die Ihre Website wirklich schützen

Wie sicher ist WordPress wirklich?

WordPress betreibt über 43% aller Websites weltweit — und genau deshalb ist es ein attraktives Ziel für Angreifer. Aber hier kommt die gute Nachricht: Der WordPress-Core selbst ist bemerkenswert sicher. Laut dem Patchstack-Sicherheitsbericht 2025 stammen 96% aller WordPress-Schwachstellen aus Plugins und Themes, nicht aus dem Kern. Von den wenigen Core-Schwachstellen im Jahr 2024 war keine als schwerwiegend eingestuft.

Das Problem sind also nicht WordPress selbst, sondern schlecht gewartete Installationen, veraltete Plugins und nachlässige Konfiguration. Die folgenden 12 Maßnahmen decken die häufigsten Angriffsvektoren ab und sind in der Reihenfolge ihrer Wirksamkeit sortiert.

1. Updates sofort einspielen — immer

Das klingt banal, ist aber die mit Abstand wichtigste Maßnahme. Laut Sucuri waren 39% der gehackten WordPress-Installationen zum Zeitpunkt des Angriffs nicht auf dem neuesten Stand. Die meisten erfolgreichen Angriffe nutzen bekannte Schwachstellen in veralteten Plugins aus.

Was Sie tun sollten:

• WordPress-Core-Updates aktivieren (Auto-Updates für Minor-Versionen sind seit WordPress 5.6 Standard)
• Plugin- und Theme-Updates mindestens wöchentlich prüfen
• Vor jedem Update ein Backup erstellen (automatisch über Ihr Hosting oder ein Backup-Plugin)
• Nicht genutzte Plugins und Themes nicht nur deaktivieren, sondern komplett löschen

Ein häufiger Fehler: Plugins zu deaktivieren statt zu löschen. Auch deaktivierter Code kann Schwachstellen enthalten, die ausgenutzt werden.

2. Starke Passwörter und Zwei-Faktor-Authentifizierung

Brute-Force-Angriffe auf den WordPress-Login sind der zweithäufigste Angriffsvektor. Automatisierte Bots versuchen tausende Passwort-Kombinationen pro Minute.

Starke Passwörter:

• Mindestens 16 Zeichen, zufällig generiert
• Einen Passwort-Manager verwenden (Bitwarden, 1Password, KeePass)
• Niemals dasselbe Passwort für mehrere Dienste

Zwei-Faktor-Authentifizierung (2FA):

• Zusätzlich zum Passwort wird ein Einmalcode benötigt (App, SMS oder Hardware-Key)
• Empfohlene Plugins: WP 2FA von Melapress oder Two Factor (offizielles Feature-Plugin)
• TOTP-Apps wie Google Authenticator, Authy oder Microsoft Authenticator nutzen

Mit 2FA wird ein gestohlenes Passwort allein wertlos. Diese eine Maßnahme hätte die meisten Brute-Force-Einbrüche der letzten Jahre verhindert.

3. Login-Versuche begrenzen

Standardmäßig erlaubt WordPress unbegrenzte Login-Versuche. Das ist eine Einladung für Brute-Force-Bots.

Empfohlene Maßnahmen:

• Login-Versuche auf 3–5 pro 15 Minuten begrenzen (Plugin: Limit Login Attempts Reloaded)
• Nach mehreren Fehlversuchen die IP für 30–60 Minuten sperren
• Optional: Login-URL ändern (von /wp-admin/ auf eine individuelle URL) — kein absoluter Schutz, aber reduziert automatisierte Angriffe erheblich

4. Nur vertrauenswürdige Plugins installieren

96% der WordPress-Schwachstellen kommen aus Plugins. Die Plugin-Auswahl ist deshalb eine Sicherheitsentscheidung.

Prüfen Sie vor jeder Installation:

• Wann wurde das Plugin zuletzt aktualisiert? (Älter als 6 Monate → Vorsicht)
• Wie viele aktive Installationen hat es? (Unter 1.000 → genau prüfen)
• Gibt es bekannte Sicherheitslücken? (Patchstack-Datenbank oder WPScan)
• Wer ist der Entwickler? (Bekannte Entwickler oder Unternehmen sind vertrauenswürdiger)
• Sind Support-Anfragen im Forum beantwortet?

Faustregel: Weniger Plugins = weniger Angriffsfläche. Prüfen Sie regelmäßig, ob Sie alle installierten Plugins wirklich brauchen.

5. Security-Plugin einsetzen

Ein gutes Security-Plugin überwacht Ihre Website in Echtzeit und blockiert verdächtige Aktivitäten, bevor Schaden entsteht.

Wordfence (empfohlen für die meisten)

Wordfence ist das meistgenutzte WordPress-Sicherheits-Plugin mit Firewall, Malware-Scanner und Login-Schutz. Die kostenlose Version deckt die Grundlagen ab, die Premium-Version bietet Echtzeit-Firewall-Regeln und erweiterten Malware-Scan.

Sucuri Security

Sucuri setzt auf eine Cloud-basierte Web Application Firewall (WAF), die Angriffe abfängt, bevor sie Ihren Server erreichen. Besonders effektiv gegen DDoS und automatisierte Angriffe. Allerdings nur in der kostenpflichtigen Version vollumfänglich.

Solid Security (ehemals iThemes Security)

Solide Grundabsicherung mit Fokus auf Hardening: Dateiänderungserkennung, Datenbank-Backups, 2FA und Brute-Force-Schutz. Gute Wahl für Websites, die keine vollwertige WAF brauchen.

6. Regelmäßige Backups — extern und automatisch

Wenn trotz aller Maßnahmen etwas schiefgeht, ist ein aktuelles Backup Ihre Lebensversicherung. Ohne Backup kann ein gehackter Server Wochen an Arbeit vernichten.

Best Practices:

• Tägliche automatische Backups (bei Shops: stündlich)
• An einem externen Speicherort — nicht auf dem gleichen Server (Amazon S3, Google Cloud, separater FTP)
• Datenbank UND Dateien sichern (viele Backup-Lösungen vergessen die Uploads)
• Restore testen — ein Backup, das sich nicht wiederherstellen lässt, ist kein Backup
• Empfohlene Plugins: UpdraftPlus, BlogVault oder BackWPup

7. HTTPS erzwingen und SSL richtig konfigurieren

HTTPS verschlüsselt die Kommunikation zwischen Browser und Server. Das schützt Login-Daten, Formulareingaben und Kundendaten vor dem Abfangen.

Checkliste:

• SSL-Zertifikat installiert und aktiv (Let’s Encrypt ist kostenlos)
• HTTP auf HTTPS umleiten (in .htaccess oder über den Webserver)
• Mixed Content vermeiden (alle internen Ressourcen über HTTPS laden)
• In wp-config.php erzwingen: define('FORCE_SSL_ADMIN', true);

HTTPS ist seit Jahren ein Google-Ranking-Faktor. Für Shops ist es rechtlich ohnehin Pflicht.

8. Security Headers setzen

HTTP Security Headers sind Anweisungen an den Browser, wie er mit den Inhalten Ihrer Website umgehen soll. Sie schützen vor XSS, Clickjacking und MIME-Sniffing — ohne die Website selbst zu verändern.

Die wichtigsten Headers:

Header	Schutz vor	Empfohlener Wert
X-Content-Type-Options	MIME-Sniffing	nosniff
X-Frame-Options	Clickjacking	DENY oder SAMEORIGIN
Strict-Transport-Security	Downgrade-Angriffe	max-age=31536000; includeSubDomains
Referrer-Policy	Referrer-Leaks	strict-origin-when-cross-origin
Permissions-Policy	Feature-Missbrauch	camera=(), microphone=(), geolocation=()
Content-Security-Policy	XSS, Code-Injection	Individuell konfigurieren

Die Content-Security-Policy (CSP) ist am mächtigsten, aber auch am schwierigsten richtig zu konfigurieren. Starten Sie mit dem Report-Only-Modus und testen Sie gründlich, bevor Sie CSP erzwingen.

Security Headers können per Plugin (Headers Security Advanced & HSTS WP), über die .htaccess-Datei oder in der Server-Konfiguration (Nginx) gesetzt werden.

9. wp-config.php härten

Die wp-config.php ist die zentrale Konfigurationsdatei Ihrer WordPress-Installation. Hier stehen Datenbank-Zugangsdaten und Sicherheitsschlüssel. Entsprechend schützenswert ist diese Datei.

Empfohlene Härtungsmaßnahmen:

Dateibearbeitung im Dashboard deaktivieren — verhindert, dass Angreifer über den Admin-Bereich PHP-Code editieren können. Die Debug-Anzeige im Produktivbetrieb abschalten, damit keine sensiblen Serverinformationen nach außen gelangen. Den SSL-Zwang für den Admin-Bereich aktivieren.

Zusätzlich: Dateiberechtigungen der wp-config.php auf 400 oder 440 setzen (nur lesbar für Server und Eigentümer). Der Webserver-Zugriff auf die Datei sollte über die Server-Konfiguration komplett gesperrt werden.

10. Dateirechte korrekt setzen

Falsche Dateiberechtigungen sind ein häufig übersehenes Sicherheitsrisiko. Zu offene Berechtigungen erlauben es Angreifern, Dateien zu verändern oder Schadcode einzuschleusen.

Korrekte Berechtigungen:

• Verzeichnisse: 755 (rwxr-xr-x)
• Dateien: 644 (rw-r—r—)
• wp-config.php: 400 oder 440 (r— oder r—r-----)
• .htaccess: 644 (rw-r—r—)

Die Berechtigung 777 (alle dürfen alles) sollte niemals verwendet werden — auch nicht temporär.

11. XML-RPC deaktivieren

XML-RPC ist eine Schnittstelle, die ursprünglich für mobile Apps und Pingbacks gedacht war. Heute wird sie kaum noch benötigt, ist aber ein beliebtes Ziel für Brute-Force-Angriffe und DDoS-Verstärkung.

Wenn Sie keine Apps nutzen, die XML-RPC benötigen (ältere mobile WordPress-Apps, Jetpack über XML-RPC), sollten Sie die Schnittstelle deaktivieren. Das geht über die .htaccess-Datei, ein Security-Plugin oder über den Webserver.

12. Web Application Firewall (WAF) nutzen

Eine WAF filtert bösartigen Traffic, bevor er Ihre WordPress-Installation erreicht. Das schützt vor automatisierten Angriffen, SQL-Injection, XSS und bekannten Exploits.

Es gibt zwei Ansätze:

• Server-seitige WAF (Wordfence, Solid Security) — läuft auf Ihrem Server, nutzt dessen Ressourcen
• Cloud-basierte WAF (Sucuri, Cloudflare) — filtert Traffic bevor er Ihren Server erreicht, effizienter bei DDoS

Laut Sucuri hatten über 84% der gescannten Websites keine WAF aktiv. Das macht eine WAF zu einem der wirkungsvollsten Schritte, den Sie für die Sicherheit Ihrer Website tun können.

Bonus: Regelmäßiger Security-Check

Richten Sie einen monatlichen Security-Check ein:

• Alle Plugins und Themes aktuell?
• Ungenutzte Plugins gelöscht?
• Benutzerkonten plausibel? (Keine unbekannten Admin-Accounts?)
• Backup funktionsfähig? (Restore testen!)
• Security Headers aktiv? (Test unter securityheaders.com)
• SSL-Zertifikat gültig?
• Keine verdächtigen Dateien in den Upload-Verzeichnissen?

Fazit: WordPress-Sicherheit ist kein Hexenwerk

Die meisten WordPress-Hacks sind vermeidbar. Nicht durch teure Enterprise-Lösungen, sondern durch konsequente Grundlagen: Updates, starke Passwörter, 2FA, Backups und ein Security-Plugin. Wer diese 12 Maßnahmen umsetzt, ist besser geschützt als die große Mehrheit aller WordPress-Websites.

Wichtig ist: Sicherheit ist kein einmaliges Projekt, sondern ein laufender Prozess. Automatisieren Sie so viel wie möglich (Updates, Backups, Monitoring) und planen Sie regelmäßige Checks ein.

---

Sie möchten Ihre WordPress-Website professionell absichern lassen? Zur WordPress Agentur →