WordPress-Sicherheit

WordPress ist das meistgenutzte CMS der Welt – und damit auch das meistangegriffene. Das klingt beunruhigend, muss es aber nicht sein: Die meisten erfolgreichen Angriffe auf WordPress-Websites sind kein technisches Meisterstück, sondern die Folge von Nachlässigkeit. Veraltete Plugins, schwache Passwörter, kein Backup. Wer die Basics konsequent umsetzt, ist gut geschützt.

Die häufigsten Angriffsvektoren

  • Veraltete Plugins und Themes – der mit Abstand häufigste Einfallspunkt. Sicherheitslücken in Plugins werden öffentlich bekannt – wer nicht aktualisiert, gibt Angreifern eine Einladung.
  • Schwache oder gestohlene Passwörter – Brute-Force-Angriffe auf wp-login.php laufen automatisiert und rund um die Uhr. Ein schwaches Passwort ist in Minuten geknackt.
  • XML-RPC-Missbrauch – die alte Fernsteuerungsschnittstelle wird für Brute-Force-Attacken und DDoS-Amplification genutzt.
  • Nulled Plugins und Themes – raubkopierte Premium-Plugins aus dubiosen Quellen enthalten oft eingebetteten Schadcode.
  • Unsicheres Hosting – ein kompromittierter Server kann alle darauf laufenden Websites infizieren.

Die Grundmaßnahmen – was jede WordPress-Website braucht

  • Alles aktuell halten – Core, Plugins und Themes regelmäßig aktualisieren. Automatische Updates für Minor-Releases aktivieren.
  • Starke Passwörter + Zwei-Faktor-Authentifizierung – für alle Admin-Accounts. Ein Passwort-Manager löst das Merkproblem.
  • Login-Schutz – Login-Versuche begrenzen (Rate Limiting), Login-URL ändern oder absichern, XML-RPC deaktivieren wenn nicht benötigt.
  • Regelmäßige Backups – täglich, automatisch, extern gespeichert (nicht nur auf demselben Server). Im Ernstfall ist ein Backup das Einzige, das zählt.
  • SSL/HTTPS – verschlüsselte Verbindung ist Standard. Kostenlos über Let’s Encrypt.
  • Benutzerrechte minimieren – nur so viele Admins wie nötig. Redakteure brauchen keine Admin-Rechte.

Erweiterte Sicherheitsmaßnahmen

  • Web Application Firewall (WAF) – filtert bösartige Anfragen, bevor sie WordPress erreichen. Cloudflare bietet eine kostenlose Basisversion, Wordfence eine WordPress-integrierte Lösung.
  • Datei-Integrität überwachen – Sicherheits-Plugins wie Wordfence oder iThemes Security erkennen unautorisierte Dateiänderungen.
  • wp-config.php absichern – Datei eine Ebene über dem Root-Verzeichnis ablegen oder per .htaccess vor direktem Zugriff schützen.
  • Datenbankpräfix ändern – statt des Standard-Präfix wp_ ein individuelles verwenden, um automatisierte SQL-Injection-Angriffe zu erschweren.
  • Security-Header setzen – X-Content-Type-Options, X-Frame-Options, Content-Security-Policy per Server-Konfiguration oder Plugin.

Die besten Sicherheits-Plugins für WordPress

  • Wordfence Security – umfassende Lösung mit Firewall, Malware-Scanner und Login-Schutz. Kostenlose Version reicht für die meisten Websites.
  • WP Cerber Security – starker Login-Schutz, Anti-Spam, Traffic-Inspektion
  • Solid Security (ehem. iThemes Security) – viele Härtungsmaßnahmen in einer Oberfläche
  • All-In-One Security (AIOS) – kostenlose, gut gepflegte Lösung mit breitem Funktionsumfang

Was tun, wenn die Website gehackt wurde?

Ruhe bewahren – und schnell handeln. Die wichtigsten Schritte:

  • Website in den Wartungsmodus versetzen
  • Backup einspielen, wenn ein sauberes verfügbar ist
  • Alle Passwörter ändern – WordPress, Hosting, FTP, Datenbank
  • Malware-Scan durchführen (Wordfence, MalCare oder manuell)
  • Infizierte Dateien identifizieren und ersetzen
  • Einfallspunkt identifizieren und schließen
  • Google Search Console prüfen – ob die Website als unsicher markiert wurde

Sicherheit ist kein einmaliges Projekt, sondern eine laufende Aufgabe. Die gute Nachricht: Die meisten Angriffe lassen sich mit konsequenter Grundhygiene verhindern.

Zurück zur Übersicht