WordPress Sicherheit erhöhen – Praxisleitfaden von Adrian Thommes, Webdesigner Saarland

Warum WordPress-Sicherheit 2026 keine Option ist

WordPress ist das meistgenutzte CMS der Welt – und genau das macht es zum bevorzugten Ziel. Sucuris jährlicher Hacked Website Report zeigt: WordPress ist regelmäßig für über 90 % aller analysierten CMS-Infektionen verantwortlich. Nicht weil die Software grundlegend unsicher ist, sondern weil veraltete Installationen, schwache Passwörter und nicht gepatchte Plugins eine riesige Angriffsfläche bieten.

Die Konsequenzen eines erfolgreichen Angriffs sind weitreichend: gestohlene Kundendaten, Blacklisting durch Google, DSGVO-Bußgelder wegen Datenschutzverletzung, Reputationsschäden und – am schmerzhaftesten – Umsatzausfall. Der durchschnittliche Schaden eines Website-Hacks für kleine und mittlere Unternehmen liegt laut BSI-Schätzungen im fünfstelligen Euro-Bereich.

Die gute Nachricht: 95 % aller erfolgreichen WordPress-Hacks sind vermeidbar. Mit den richtigen Maßnahmen, konsequent umgesetzt, ist WordPress ein sehr sicheres System. Dieses Wissen teile ich aus über 17 Jahren Erfahrung mit mehr als 2.700 betreuten digitalen Projekten.

Wichtig: WordPress-Sicherheit ist kein einmaliges Projekt – sie ist ein fortlaufender Prozess. Wer seine Installation einmal absichert und dann nie wieder hinschaut, hat in zwei Jahren eine unsichere Website.

Die häufigsten Angriffswege auf WordPress

Um sich wirkungsvoll zu schützen, muss man verstehen, wie Angreifer tatsächlich vorgehen. Die meisten Attacken sind keine gezielten, handgestrickten Hacks – sondern vollautomatisierte Scans und Bots, die rund um die Uhr nach bekannten Schwachstellen suchen.

Top-Angriffsvektoren auf WordPress-Websites:

  • Veraltete Plugins & Themes – Über 50 % aller kompromittierten WordPress-Sites hatten ungepatchte Plugin-Schwachstellen. Die CVE-Datenbank listet täglich neue Vulnerabilities.
  • Brute-Force-Angriffe – Automatisierte Bots probieren Millionen von Passwort-Kombinationen auf dem Standard-Login-Pfad /wp-admin.
  • SQL-Injection – Fehlerhafte Plugins erlauben das Einschleusen von Datenbankbefehlen und damit das Auslesen oder Manipulieren der gesamten WordPress-Datenbank.
  • Cross-Site Scripting (XSS) – Schadcode wird in Kommentare, Formulare oder Plugins injiziert und im Browser der Besucher ausgeführt.
  • Credential Stuffing – Gestohlene Zugangsdaten aus anderen Datenlecks werden auf WordPress-Logins ausprobiert.
  • File-Inclusion-Angriffe – Schwachstellen in Plugins erlauben das Einbinden externer Dateien oder das Lesen sensibler Serverdateien.

Updates: Die wichtigste Sicherheitsmaßnahme überhaupt

Ich weiß, es klingt banal. Trotzdem: Die Nummer-eins-Ursache für gehackte WordPress-Websites sind veraltete Installationen. Das WordPress Security Team schließt bekannte Sicherheitslücken in der Regel innerhalb weniger Tage nach Bekanntwerden – aber die Lücke besteht trotzdem, solange die Installation nicht aktualisiert ist.

Was muss aktuell gehalten werden?

  • WordPress Core – Minor-Updates (z. B. 6.5.1 → 6.5.2) können und sollten automatisch eingespielt werden. Major-Updates vorher auf einer Staging-Umgebung testen.
  • Plugins – Jedes installierte Plugin ist ein potenzieller Angriffsvektor. Nur aktiv genutzte Plugins installiert lassen, inaktive sofort löschen – deaktiviert reicht nicht.
  • Themes – Auch nicht aktive Themes werden gescannt und angegriffen. Nicht benötigte Themes vollständig entfernen.
  • PHP-Version – Veraltetes PHP (unter 8.1) bekommt keine Sicherheits-Patches mehr. Beim Hosting auf aktuelle PHP-Versionen achten.

Mein Rat: Automatische Updates für Minor-Releases aktivieren. Für Major-Updates eine Staging-Umgebung nutzen und vorher ein vollständiges Backup erstellen. Niemals ein Update live und ohne Fallback einspielen.

Login-Absicherung – die erste Verteidigungslinie

Der WordPress-Login ist das meistangegriffene Ziel – weil er standardmäßig für jeden erreichbar ist und weil schwache Passwörter immer noch erschreckend verbreitet sind. Diese Maßnahmen machen Brute-Force-Angriffe weitgehend wirkungslos.

Login-URL umbenennen

Standardmäßig ist der WordPress-Admin unter example.com/wp-admin erreichbar. Automatisierte Bots kennen diesen Pfad und scannen ihn rund um die Uhr. Mit dem Plugin WPS Hide Login lässt sich die Login-URL auf einen beliebigen, nicht erratbaren Pfad verschieben – ein einfacher aber sehr wirksamer Schutz.

Anmeldeversuche begrenzen

WordPress limitiert Login-Versuche standardmäßig nicht. Das Plugin Limit Login Attempts Reloaded sperrt IP-Adressen nach einer definierten Anzahl fehlgeschlagener Versuche automatisch aus und kann dich per E-Mail benachrichtigen. Die Einstellung: maximal 3–5 Versuche, dann 30-minütige Sperrung.

Zwei-Faktor-Authentifizierung (2FA)

Ein gestohlenes Passwort reicht damit allein nicht mehr zum Login. Mit Plugins wie WP 2FA oder Google Authenticator wird beim Login ein zweiter Faktor per App oder E-Mail abgefragt. Besonders für Administrator-Accounts ist 2FA heute unverzichtbar – das OWASP Top Ten nennt fehlende oder schwache Authentifizierung als eines der kritischsten Sicherheitsrisiken überhaupt.

Starke Passwörter & kein Standard-Benutzername

Den Benutzernamen „admin" solltest du nicht verwenden – er ist der erste Treffer bei jedem Brute-Force-Angriff. Ein sicheres Passwort hat mindestens 16 Zeichen, kombiniert Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Ein Passwort-Manager macht das praktisch handhabbar.

WordPress-Konfiguration härten

Einige wenige Zeilen in der wp-config.php machen WordPress deutlich widerstandsfähiger. Diese Einstellungen gelten als Best Practice und kosten nichts außer zwei Minuten Zeit.

Datei-Editoren im Admin deaktivieren

Hat ein Angreifer Zugang zum Admin-Panel, kann er über den integrierten Theme- und Plugin-Editor sofort Schadcode einfügen. Diese Funktion lässt sich mit einer einzigen Zeile in der wp-config.php deaktivieren:

define( 'DISALLOW_FILE_EDIT', true );

Datenbank-Tabellen-Präfix ändern

Das Standard-Präfix wp_ ist jedem Angreifer bekannt und erleichtert SQL-Injection-Angriffe. Vor der Installation ein individuelles Präfix setzen:

$table_prefix = 'at7x_'; // Individuelles Präfix wählen

Sicherheitsschlüssel & Salts

WordPress nutzt Sicherheitsschlüssel zur Verschlüsselung der Cookies. Frisch generierte, zufällige Schlüssel aus dem WordPress API Secret Key Generator in die wp-config.php einzutragen ist ein Schritt, der selten gemacht wird – aber bei einem Verdacht auf Kompromittierung sofort alle aktiven Sitzungen ungültig macht.

Verzeichnislisting deaktivieren

Ohne Schutz können Angreifer alle Dateien in WordPress-Verzeichnissen einsehen und nach verwundbaren Dateien suchen. In der .htaccess genügt eine Zeile:

Options -Indexes

Security Headers – der unterschätzte Schutzschild

Security Headers sind HTTP-Antwort-Header, die dem Browser mitteilen, wie er mit der Website umzugehen hat. Sie schützen vor einer ganzen Klasse von clientseitigen Angriffen – und werden von über 70 % aller WordPress-Betreiber schlicht ignoriert. Dabei sind sie kostenlos und über die .htaccess schnell eingerichtet.

Die wichtigsten Security Headers für WordPress:

  • Strict-Transport-Security (HSTS) – Erzwingt HTTPS-Verbindungen und verhindert Downgrade-Angriffe auf unverschlüsselte HTTP-Verbindungen.
  • X-Frame-Options: DENY – Verhindert Clickjacking, bei dem deine Website in einem unsichtbaren iFrame auf einer fremden Seite eingebettet wird.
  • X-Content-Type-Options: nosniff – Verhindert, dass Browser Dateien anders interpretieren als deklariert – ein häufiger XSS-Angriffsvektor.
  • Referrer-Policy – Kontrolliert, welche Referrer-Informationen bei Links weitergegeben werden.
  • Permissions-Policy – Schränkt den Zugriff auf Browser-APIs wie Kamera, Mikrofon und Geolocation ein.
  • Content-Security-Policy (CSP) – Die Königsklasse: definiert exakt, welche Ressourcen geladen werden dürfen. Verhindert XSS-Angriffe sehr wirksam.

Welche Security Headers deine WordPress-Website aktuell ausliefert – und welche fehlen – lässt sich schnell prüfen:

Security Headers Checker – Kostenlos prüfen Analysiere sofort alle HTTP-Sicherheitsheader deiner Website und sieh, was fehlt.

SSL & HTTPS: Pflicht, kein Bonus

Eine WordPress-Website ohne aktives SSL-Zertifikat ist 2026 schlicht nicht akzeptabel – weder technisch noch rechtlich. Chrome und Firefox markieren HTTP-Seiten als „Nicht sicher", Google wertet HTTPS als Ranking-Signal, und ohne verschlüsselte Verbindung überträgt jedes Login-Formular Zugangsdaten im Klartext über das Netz.

Das bedeutet: Wer seinen WordPress-Admin ohne HTTPS betreibt, schickt Benutzername und Passwort unverschlüsselt durch das Internet. Für Angreifer im gleichen Netzwerk – ob Hotel-WLAN oder öffentliches Café – ein Kinderspiel zum Abfangen.

Kostenlose SSL-Zertifikate über Let's Encrypt gibt es bei praktisch jedem modernen Hoster. Wie du WordPress vollständig auf HTTPS umstellst, Mixed-Content-Fehler behebst und die korrekte .htaccess-Weiterleitung einrichtest, habe ich in meinem WordPress-HTTPS-Guide ausführlich beschrieben.

SSL & HTTPS Checker – Kostenlos testen Prüfe dein SSL-Zertifikat, TLS-Version, HSTS-Status und die vollständige HTTPS-Konfiguration.

Backup-Strategie: Wenn alles andere versagt

Sicherheit bedeutet auch: akzeptieren, dass kein System perfekt ist. Ein vollständiges, aktuelles Backup ist die letzte Verteidigungslinie – und oft der einzige Weg, nach einem erfolgreichen Angriff schnell wieder online zu sein.

Eine professionelle Backup-Strategie für WordPress folgt der 3-2-1-Regel: mindestens 3 Kopien der Daten, auf 2 verschiedenen Medien, davon 1 an einem externen Standort (Cloud, externes NAS, anderer Server).

Was ein vollständiges WordPress-Backup enthalten muss:

  • Datenbank – Alle Inhalte, Einstellungen, Benutzer und Konfigurationen. Der wichtigste Teil.
  • wp-content/uploads – Alle hochgeladenen Medien, Bilder und Dokumente.
  • wp-content/themes – Aktive Themes inklusive Anpassungen.
  • wp-content/plugins – Alle installierten Plugins und deren Konfigurationen.
  • wp-config.php – Datenbankverbindung und Sicherheitsschlüssel.
  • .htaccess – Serverregeln, Weiterleitungen und Sicherheitskonfigurationen.

Tools wie UpdraftPlus oder BackWPup automatisieren diesen Prozess zuverlässig. Tägliche Backups der Datenbank, wöchentliche vollständige Backups – und regelmäßig tatsächlich prüfen, ob die Wiederherstellung funktioniert. Ein Backup das nicht wiederhergestellt werden kann ist kein Backup.

Kritisch: Backups niemals ausschließlich auf demselben Server speichern, der gehackt werden könnte. Externe Speicherorte wie Google Drive, Dropbox, Amazon S3 oder ein separater SFTP-Server sind Pflicht.

Monitoring & Malware-Scans

Viele WordPress-Websites wurden Wochen oder sogar Monate lang kompromittiert, bevor der Betreiber es überhaupt bemerkt hat. Automatisierte Scans und Monitoring-Tools erkennen Veränderungen frühzeitig – bevor Schäden entstehen oder Google die Site auf die Blacklist setzt.

WordPress-Firewall & Malware-Scanner

Wordfence ist die umfassendste Sicherheitslösung für WordPress: Web Application Firewall (WAF), Malware-Scanner, Login-Schutz, Traffic-Monitoring und Echtzeit-Blacklisting bekannter Angreifer in einer Lösung. Die kostenlose Version bietet bereits soliden Schutz; die Premium-Version liefert Firewall-Regeln in Echtzeit statt mit 30 Tagen Verzögerung.

Datei-Integritätsprüfung

Wordfence und ähnliche Tools vergleichen alle WordPress-Dateien mit den offiziellen Versionen auf wordpress.org und schlagen Alarm, wenn Dateien verändert wurden – ein klarer Indikator für Malware.

Google Search Console überwachen

Die Google Search Console meldet, wenn Google Malware auf deiner Website entdeckt oder sie wegen eines Hacks aus dem Index entfernt. Pflichtlektüre für jeden WordPress-Betreiber – und übrigens auch ein unverzichtbares Werkzeug für nachhaltige SEO.

Sicherheits-Checkliste: Das Wichtigste auf einen Blick

  • WordPress Core, Plugins und Themes aktuell halten – täglich prüfen
  • Login-URL umbenennen mit WPS Hide Login
  • Anmeldeversuche begrenzen mit Limit Login Attempts Reloaded
  • 2-Faktor-Authentifizierung für alle Admin-Accounts aktivieren
  • Starke, einzigartige Passwörter für alle Benutzer erzwingen
  • DISALLOW_FILE_EDIT in der wp-config.php setzen
  • SSL/HTTPS aktivieren und korrekt konfigurieren
  • Security Headers via .htaccess konfigurieren
  • Tägliche automatische Backups auf externen Speicherort
  • Wordfence oder vergleichbares Sicherheits-Plugin installieren
  • Inaktive Plugins und Themes vollständig löschen
  • PHP-Version auf dem Hoster aktuell halten (mindestens 8.2)

Wenn du eine professionell betreute WordPress-Website suchst – von der Entwicklung über die Absicherung bis zur laufenden Pflege – lohnt sich ein Blick auf was eine gute WordPress-Agentur im Saarland dir dabei abnehmen kann.

Häufige Fragen zur WordPress-Sicherheit

Wie kann ich meine WordPress-Website absichern?
Die wichtigsten Maßnahmen: regelmäßige Updates für Core, Plugins und Themes, starke Passwörter und 2-Faktor-Authentifizierung, Login-URL umbenennen, Anmeldeversuche begrenzen, SSL/HTTPS aktivieren, Security Headers konfigurieren und tägliche externe Backups einrichten.
Welches ist das beste WordPress-Sicherheits-Plugin?
Es gibt kein einzelnes „bestes" Plugin – die Kombination macht es. Bewährte Lösungen: Wordfence (Firewall & Scanner), WPS Hide Login (Login-Pfad verstecken), Limit Login Attempts Reloaded (Brute-Force-Schutz) und UpdraftPlus (Backups). Weniger ist oft mehr – jedes zusätzliche Plugin ist auch eine potenzielle neue Angriffsfläche.
Wie erkenne ich, ob meine WordPress-Website gehackt wurde?
Typische Anzeichen: unbekannte Admin-Benutzer im Dashboard, geänderte Dateien, plötzliche Weiterleitungen auf fremde Websites, Google-Warnungen in der Search Console, massiv gesunkener Traffic oder eine Sperrung durch den Hosting-Anbieter wegen Malware. Im Zweifel: Wordfence-Scan starten und alle Dateien gegen die Original-WordPress-Versionen prüfen.
Wie oft sollte ich WordPress aktualisieren?
Sicherheits-Updates so schnell wie möglich – idealerweise innerhalb von 24–48 Stunden. Für Minor-Updates empfiehlt sich die automatische Aktualisierung. Für Major-Updates vorher ein vollständiges Backup erstellen und wenn möglich auf einer Staging-Umgebung testen.
Was sind Security Headers und warum sind sie für WordPress wichtig?
Security Headers sind HTTP-Antwort-Header, die den Browser anweisen, wie er mit deiner Website umgehen soll. Sie schützen vor XSS, Clickjacking und unsicheren Verbindungen – und werden von den meisten WordPress-Betreibern ignoriert. Eine kostenlose Prüfung gibt der Security Headers Checker direkt auf dieser Seite.
Schadet mir ein gehacktes WordPress bei Google?
Ja, massiv. Google entfernt kompromittierte Websites aus dem Index oder versieht sie mit der Warnung „Diese Website könnte gehackt worden sein". Das vernichtet organischen Traffic sofort. Zusätzlich kann Malware auf der Website zur Abmahnfalle werden, wenn Kundendaten betroffen sind. Prävention ist deutlich günstiger als Schadensbegrenzung.
Adrian Thommes – Webdesigner & SEO-Spezialist Saarland

Adrian Thommes: Fazit

WordPress-Sicherheit ist kein Hexenwerk – aber sie erfordert Konsequenz. Die meisten Hacks die ich in der Praxis gesehen habe waren kein Meisterwerk der Cyberkriminalität, sondern das vorhersehbare Ergebnis von veralteten Plugins, dem Passwort „123456" und dem Login unter /wp-admin. Wer die hier beschriebenen Maßnahmen einmal sauber umsetzt, hat einen Schutzlevel, an dem automatisierte Angriffe zuverlässig scheitern. Den Rest übernimmt ein vernünftiges Monitoring – und ein Backup das tatsächlich funktioniert, falls doch mal jemand cleverer vorbeikommt.