WordPress betreibt über 43 % aller Websites weltweit. Diese enorme Verbreitung macht es zum bevorzugten Ziel von Hackern und automatisierten Angriffen. Täglich werden tausende WordPress-Websites angegriffen – die meisten davon nicht gezielt, sondern durch automatisierte Bots, die bekannte Sicherheitslücken ausnutzen.
Die gute Nachricht: Mit den richtigen Maßnahmen ist WordPress sehr sicher zu betreiben. Hier sind die 10 wichtigsten Schritte.
1. WordPress, Themes und Plugins aktuell halten
Die häufigste Ursache für gehackte WordPress-Seiten sind veraltete Plugins und Themes. Updates schließen bekannte Sicherheitslücken. Aktivieren Sie automatische Updates für WordPress-Core und nutzen Sie nur aktiv gepflegte Plugins.
Praxis-Tipp: Überprüfen Sie wöchentlich, ob Updates verfügbar sind. Führen Sie Updates immer zuerst auf einer Testumgebung durch.
2. Starke Passwörter und 2-Faktor-Authentifizierung
Verwenden Sie für den WordPress-Admin, die Datenbank und das Hosting-Panel ausschließlich starke, einzigartige Passwörter (min. 16 Zeichen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen). Nutzen Sie einen Passwortmanager wie 1Password oder Bitwarden.
Aktivieren Sie zusätzlich die 2-Faktor-Authentifizierung (2FA) für den Admin-Login – Plugins wie "WP 2FA" machen das einfach.
3. Standard-Admin-Benutzername ändern
Der Benutzername "admin" ist der am häufigsten getestete Login. Erstellen Sie einen individuellen Administrator-Account mit unauffälligem Benutzernamen und löschen Sie den Standard-"admin"-Account.
4. Login-Versuche limitieren
Brute-Force-Angriffe testen automatisiert tausende Passwort-Kombinationen. Begrenzen Sie die Anzahl fehlgeschlagener Login-Versuche mit Plugins wie "Limit Login Attempts Reloaded" oder "Wordfence".
5. WordPress-Sicherheits-Plugin installieren
Ein gutes Sicherheits-Plugin übernimmt viele Schutzmaßnahmen automatisch:
- Wordfence: Firewall, Malware-Scanner, Login-Schutz
- Sucuri Security: Website-Firewall, Monitoring, Malware-Entfernung
- iThemes Security: Über 30 Sicherheits-Features in einem Plugin
6. SSL-Zertifikat und HTTPS erzwingen
Ein SSL-Zertifikat verschlüsselt die Datenübertragung zwischen Website und Besucher. Seit 2018 markiert Google alle HTTP-Seiten als "Nicht sicher". SSL ist heute ein absolutes Muss – auch als SEO-Faktor.
7. Regelmäßige Backups anlegen
Kein Sicherheitskonzept ist vollständig ohne Backups. Strategie:
- Täglich automatisches Backup (Datenbank + Dateien)
- Backup extern speichern (nicht auf dem gleichen Server)
- Restore-Prozess regelmäßig testen
- Plugins: UpdraftPlus, BackupBuddy
8. Datei-Editor im Backend deaktivieren
WordPress erlaubt standardmäßig die Bearbeitung von Theme- und Plugin-Dateien direkt im Backend. Deaktivieren Sie diese Funktion, indem Sie in der wp-config.php folgendes einfügen:
define('DISALLOW_FILE_EDIT', true);
9. XML-RPC deaktivieren
Die XML-RPC-Schnittstelle wird für ältere Apps und Dienste benötigt, ist aber auch ein häufiges Angriffsziel. Wenn Sie sie nicht benötigen, deaktivieren Sie sie über Ihr .htaccess-File oder ein Sicherheits-Plugin.
10. Sicherheits-Header setzen
HTTP-Sicherheits-Header teilen dem Browser mit, wie er Ihre Website behandeln soll. Wichtige Header:
- Content-Security-Policy (CSP)
- X-Frame-Options
- X-Content-Type-Options
- Strict-Transport-Security (HSTS)
WordPress-Sicherheit ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Wer regelmäßig investiert, schläft ruhiger.
Als Werbeagentur in Innsbruck bieten wir WordPress-Wartungsverträge an, die alle diese Sicherheitsmaßnahmen abdecken. Jetzt informieren →