wordpress

WordPress-Sicherheit: Best Practices

2026-02-10 · Von Katharina Schneider · 8 min Lesezeit

Warum WordPress-Sicherheit so wichtig ist

WordPress betreibt ueber 43 Prozent aller Websites weltweit. Diese enorme Verbreitung macht es gleichzeitig zum meistattackierten Content-Management-System im Internet. Jeden Tag werden tausende WordPress-Websites gehackt – nicht weil WordPress grundsaetzlich unsicher waere, sondern weil viele Betreiber grundlegende Sicherheitsmassnahmen vernachlaessigen.

Die Folgen eines erfolgreichen Angriffs koennen verheerend sein: Datenverlust, gestohlene Kundendaten, Malware-Verbreitung ueber Ihre Website, Blacklisting durch Google und ein massiver Reputationsschaden. All das laesst sich mit den richtigen Vorkehrungen vermeiden.

In diesem Leitfaden zeige ich Ihnen die wichtigsten Massnahmen, um Ihre WordPress-Installation zuverlaessig zu schuetzen – von einfachen Sofortmassnahmen bis hin zu fortgeschrittenen Sicherheitsstrategien.

Sofortmassnahmen: Das Fundament der WordPress-Sicherheit

WordPress, Themes und Plugins aktuell halten

Die mit Abstand wichtigste Sicherheitsmassnahme ist trivial: Halten Sie alles auf dem neuesten Stand. Die ueberwiegende Mehrheit erfolgreicher Angriffe nutzt bekannte Sicherheitsluecken in veralteten WordPress-Versionen, Themes oder Plugins aus.

  • Aktivieren Sie automatische Updates fuer Minor-Releases von WordPress
  • Pruefen Sie woechentlich auf verfuegbare Updates fuer Themes und Plugins
  • Testen Sie Updates in einer Staging-Umgebung, bevor Sie sie auf der Live-Site einspielen
  • Entfernen Sie nicht genutzte Themes und Plugins komplett – auch deaktivierte Erweiterungen koennen Sicherheitsluecken enthalten

Starke Passwoerter und Benutzernamen

Es klingt offensichtlich, aber schwache Passwoerter sind nach wie vor eine der haeufigsten Ursachen fuer gehackte WordPress-Websites.

  • Verwenden Sie niemals “admin” als Benutzernamen. Erstellen Sie einen individuellen Administrator-Account und loeschen Sie den Standard-Admin.
  • Nutzen Sie einen Passwort-Manager wie Bitwarden oder 1Password, um fuer jeden Dienst ein einzigartiges, starkes Passwort zu generieren.
  • Mindestens 16 Zeichen mit Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Aendern Sie Passwoerter sofort, wenn ein Mitarbeiter das Team verlaesst.

Zwei-Faktor-Authentifizierung einrichten

Zwei-Faktor-Authentifizierung (2FA) ist eine der effektivsten Sicherheitsmassnahmen ueberhaupt. Selbst wenn ein Angreifer Ihr Passwort kennt, kann er sich ohne den zweiten Faktor nicht einloggen.

Empfehlenswerte Plugins fuer 2FA:

  • WP 2FA – einfach einzurichten, unterstuetzt verschiedene 2FA-Methoden
  • Google Authenticator – klassische TOTP-basierte Loesung
  • Wordfence Login Security – kostenloses 2FA-Modul des beliebten Sicherheitsplugins

Die Login-Seite absichern

Die Login-Seite (wp-login.php) ist der haeufigste Angriffspunkt. Brute-Force-Attacken versuchen automatisiert, Benutzername-Passwort-Kombinationen zu erraten.

Login-Versuche begrenzen

Standardmaessig erlaubt WordPress unbegrenzt viele Login-Versuche. Das muessen Sie aendern:

  • Limit Login Attempts Reloaded – sperrt IP-Adressen nach einer definierten Anzahl fehlgeschlagener Versuche
  • Wordfence – bietet umfassenden Brute-Force-Schutz als Teil seiner Firewall
  • WPS Hide Login – aendert die URL der Login-Seite, um automatisierte Angriffe ins Leere laufen zu lassen

Die Login-URL aendern

Die Standard-Login-URL /wp-admin oder /wp-login.php ist allgemein bekannt. Durch das Aendern dieser URL auf einen individuellen Pfad – etwa /mein-zugang – werden automatisierte Brute-Force-Angriffe deutlich erschwert.

XML-RPC deaktivieren

Die XML-RPC-Schnittstelle wird fuer Brute-Force-Angriffe und DDoS-Amplification missbraucht. Wenn Sie keine externe Anwendung nutzen, die XML-RPC benoetigt (wie die WordPress-App oder Jetpack), sollten Sie die Schnittstelle deaktivieren:

  • Ueber ein Sicherheitsplugin wie Wordfence oder iThemes Security
  • Per .htaccess-Regel auf Apache-Servern
  • Per Nginx-Konfiguration

Backup-Strategie: Ihre Lebensversicherung

Kein Sicherheitskonzept ist zu hundert Prozent sicher. Deshalb ist eine zuverlaessige Backup-Strategie unverzichtbar.

Die 3-2-1-Regel fuer Backups

Befolgen Sie die bewaehrte 3-2-1-Backup-Regel:

  1. 3 Kopien Ihrer Daten (das Original plus zwei Backups)
  2. 2 verschiedene Speichermedien (zum Beispiel Server und Cloud)
  3. 1 Kopie an einem externen Standort (nicht auf demselben Server wie die Website)

Empfehlenswerte Backup-Plugins

  • UpdraftPlus – der Goldstandard fuer WordPress-Backups. Unterstuetzt automatische Zeitplanung und Cloud-Speicher wie Google Drive, Dropbox und Amazon S3.
  • BackWPup – deutsche Entwicklung mit umfangreichen Backup-Optionen und Unterstuetzung fuer viele Cloud-Dienste.
  • BlogVault – kombiniert Backups mit Staging und Migration. Speichert Backups auf eigenen Servern.
  • Duplicator Pro – besonders gut fuer Migration und Klonen von Websites geeignet.

Backup-Zeitplan festlegen

  • Taegliche Backups der Datenbank – diese aendert sich am haeufigsten
  • Woechentliche Backups der gesamten Website inklusive aller Dateien
  • Vor jedem groesseren Update ein manuelles Vollbackup erstellen
  • Regelmaessig testen, ob sich Backups auch tatsaechlich wiederherstellen lassen

Sicherheitsplugins: Die wichtigsten Optionen

Ein gutes Sicherheitsplugin buendelt viele Schutzmassnahmen in einer Loesung. Hier sind die fuehrenden Optionen:

Wordfence Security

Wordfence ist das beliebteste WordPress-Sicherheitsplugin mit ueber 4 Millionen aktiven Installationen. Es bietet:

  • Web Application Firewall (WAF) mit Echtzeit-Regeln
  • Malware-Scanner fuer Core-Dateien, Themes und Plugins
  • Brute-Force-Schutz und Login-Sicherheit
  • Laender-Blockierung und IP-Blacklisting
  • Zwei-Faktor-Authentifizierung

Sucuri Security

Sucuri bietet einen anderen Ansatz: Die Firewall sitzt als Cloud-Dienst vor Ihrer Website und filtert schaedlichen Traffic, bevor er Ihren Server erreicht.

  • Cloud-basierte WAF
  • DDoS-Schutz
  • CDN fuer bessere Performance
  • Malware-Bereinigung im Ernstfall

Solid Security (ehemals iThemes Security)

Solid Security bietet ueber 30 Sicherheitsmassnahmen in einem Plugin:

  • Erkennung von Dateiaenderungen
  • Erzwingung starker Passwoerter
  • Automatische Sperrung verdaechtiger IPs
  • Datenbank-Backups
  • Sicherheitsbewertung der Website

Server-Seitige Sicherheitsmassnahmen

Neben den WordPress-spezifischen Massnahmen gibt es wichtige server-seitige Einstellungen, die Ihre Sicherheit deutlich erhoehen.

SSL-Zertifikat einsetzen

Ein SSL-Zertifikat ist heute Pflicht. Es verschluesselt die Kommunikation zwischen Browser und Server und schuetzt sensible Daten wie Login-Informationen.

  • Die meisten Hoster bieten kostenlose Let’s-Encrypt-Zertifikate an
  • Erzwingen Sie HTTPS fuer die gesamte Website
  • Setzen Sie den HSTS-Header, um Downgrade-Angriffe zu verhindern

Die wp-config.php schuetzen

Die wp-config.php enthaelt die sensibelsten Informationen Ihrer WordPress-Installation, einschliesslich Datenbank-Zugangsdaten.

  • Verschieben Sie die Datei eine Ebene ueber das Web-Root-Verzeichnis
  • Setzen Sie die Dateiberechtigungen auf 400 oder 440
  • Blockieren Sie den Zugriff ueber die .htaccess-Datei
  • Generieren Sie neue Sicherheitsschluessel (Salt Keys) ueber die offizielle WordPress-API

Datei- und Verzeichnisberechtigungen

Falsche Dateiberechtigungen sind ein haeufiges Einfallstor:

  • Verzeichnisse: 755 (rwxr-xr-x)
  • Dateien: 644 (rw-r–r–)
  • wp-config.php: 400 oder 440
  • .htaccess: 444

Den Datei-Editor deaktivieren

WordPress enthaelt einen eingebauten Code-Editor, mit dem Theme- und Plugin-Dateien direkt im Dashboard bearbeitet werden koennen. Wenn ein Angreifer Zugang zum Dashboard erhaelt, kann er darueber beliebigen Code einschleusen. Deaktivieren Sie den Editor mit folgender Zeile in der wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Datenbank absichern

Tabellen-Praefix aendern

WordPress verwendet standardmaessig das Tabellen-Praefix wp_. Durch ein individuelles Praefix wie meinblog_7x_ erschweren Sie SQL-Injection-Angriffe, die auf das Standard-Praefix abzielen.

Wichtig: Aendern Sie das Praefix am besten bei der Installation. Eine nachtraegliche Aenderung erfordert Anpassungen in der Datenbank und der wp-config.php und sollte nur von erfahrenen Administratoren durchgefuehrt werden.

Regelmaessige Datenbank-Optimierung

  • Entfernen Sie alte Revisionen, Spam-Kommentare und Transients
  • Optimieren Sie Datenbanktabellen regelmaessig mit Plugins wie WP-Optimize
  • Beschraenken Sie die Anzahl der gespeicherten Revisionen:
define('WP_POST_REVISIONS', 5);

Monitoring und Reaktionsplan

Sicherheits-Monitoring einrichten

Eine gehackte Website wird oft erst spaet bemerkt. Richten Sie ein aktives Monitoring ein:

  • Uptime-Monitoring – lassen Sie sich benachrichtigen, wenn Ihre Website nicht erreichbar ist
  • Datei-Integritaetsueberwachung – erkennt unautorisierte Aenderungen an Core-Dateien
  • Google Search Console – warnt Sie, wenn Google Malware auf Ihrer Website entdeckt
  • Sucuri SiteCheck – kostenloser Online-Scan auf Malware und Blacklisting

Reaktionsplan fuer den Ernstfall

Erstellen Sie einen Plan, der im Falle eines Hacks sofort umgesetzt werden kann:

  1. Website offline nehmen – Wartungsmodus aktivieren, um Besucher zu schuetzen
  2. Passwoerter aendern – alle Passwoerter sofort zuruecksetzen (WordPress, FTP, Datenbank, Hosting)
  3. Backup wiederherstellen – ein sauberes Backup einspielen
  4. Schadensanalyse – herausfinden, wie der Angriff erfolgte
  5. Sicherheitsluecke schliessen – die Ursache des Angriffs beheben
  6. Malware-Scan – die gesamte Website gruendlich scannen
  7. Google informieren – falls Ihre Website auf einer Blacklist gelandet ist, eine erneute Ueberpruefung beantragen

Checkliste: WordPress-Sicherheit auf einen Blick

Nutzen Sie diese Checkliste, um den Sicherheitsstatus Ihrer WordPress-Website zu ueberpruefen:

  • [ ] WordPress-Core ist auf dem neuesten Stand
  • [ ] Alle Themes und Plugins sind aktuell
  • [ ] Nicht genutzte Themes und Plugins sind entfernt
  • [ ] Starke, einzigartige Passwoerter fuer alle Benutzer
  • [ ] Zwei-Faktor-Authentifizierung ist aktiviert
  • [ ] Login-Versuche sind begrenzt
  • [ ] SSL-Zertifikat ist installiert und HTTPS wird erzwungen
  • [ ] Automatische Backups sind eingerichtet und getestet
  • [ ] Ein Sicherheitsplugin ist installiert und konfiguriert
  • [ ] Der Datei-Editor ist deaktiviert
  • [ ] Dateiberechtigungen sind korrekt gesetzt
  • [ ] XML-RPC ist deaktiviert (falls nicht benoetigt)
  • [ ] Die wp-config.php ist zusaetzlich geschuetzt
  • [ ] Monitoring ist eingerichtet

Fazit

WordPress-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die gute Nachricht: Mit den in diesem Artikel beschriebenen Massnahmen schuetzen Sie Ihre Website bereits gegen die ueberwiegende Mehrheit aller Angriffe.

Beginnen Sie mit den Sofortmassnahmen – Updates, starke Passwoerter, 2FA und Backups – und arbeiten Sie sich dann durch die weiteren Empfehlungen. Jede einzelne Massnahme erhoeht die Sicherheit Ihrer WordPress-Installation.

Wenn Sie Unterstuetzung bei der Absicherung Ihrer WordPress-Website benoetigen, helfen wir Ihnen bei blogsandpages.com gerne weiter. Sicherheit ist ein zentraler Bestandteil unserer WordPress-Dienstleistungen.

Katharina Schneider

Katharina Schneider

Gründerin von blogsandpages.com – Expertin für Blogs, Unternehmenswebseiten und individuelle Publishing-Lösungen.

Bereit für Ihr nächstes Projekt?

Ob Blog, Unternehmenswebseite oder individuelle Plattform – lassen Sie uns gemeinsam bauen. Professionell, SEO-optimiert und auf Ihre Bedürfnisse zugeschnitten.

Projekt starten