Über 43 % aller Websites weltweit laufen mit WordPress. Diese Verbreitung macht WordPress zum Hauptziel automatisierter Angriffe. Die gute Nachricht: Mit den richtigen Maßnahmen schützen Sie Ihre Website zuverlässig. In diesem Guide zeigen wir Ihnen die wichtigsten Sicherheitsmaßnahmen — von einfachen Grundlagen bis zu fortgeschrittenen Techniken.
Warum wird WordPress gehackt?
Die meisten WordPress-Hacks passieren nicht durch gezielte Angriffe, sondern durch automatisierte Bots, die bekannte Schwachstellen ausnutzen. Die häufigsten Ursachen:
🔓 Veraltete Software
39 % aller gehackten WordPress-Seiten liefen auf einer veralteten Version. Updates schließen bekannte Sicherheitslücken.
🔑 Schwache Passwörter
Brute-Force-Angriffe testen tausende Passwörter pro Minute. „admin/admin123" wird in Sekunden geknackt.
🧩 Unsichere Plugins
Plugins aus unseriösen Quellen oder veraltete Plugins mit bekannten Sicherheitslücken sind das größte Einfallstor.
Die 10 wichtigsten Sicherheitsmaßnahmen
1. WordPress, Themes und Plugins aktuell halten
Updates sind die wichtigste Sicherheitsmaßnahme überhaupt. WordPress veröffentlicht regelmäßig Sicherheitsupdates, die bekannte Schwachstellen schließen. Aktivieren Sie automatische Updates für Minor-Releases und prüfen Sie Major-Updates zeitnah. Bei unserem Managed WordPress Hosting übernehmen wir Updates für Sie.
2. Starke Passwörter und Benutzernamen
Verwenden Sie niemals „admin" als Benutzernamen. Nutzen Sie für jeden Admin-Account ein einzigartiges Passwort mit mindestens 16 Zeichen — Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen. Ein Passwort-Manager wie Bitwarden oder 1Password hilft dabei.
3. Zwei-Faktor-Authentifizierung (2FA)
2FA fügt eine zweite Schutzschicht hinzu. Selbst wenn ein Angreifer Ihr Passwort kennt, braucht er zusätzlich einen zeitbasierten Code von Ihrem Smartphone. Empfohlene Plugins:
- WP 2FA — einfach einzurichten, unterstützt TOTP und E-Mail-Codes
- Two Factor Authentication — leichtgewichtig, TOTP-basiert
- Wordfence Login Security — 2FA als Teil der Wordfence-Suite
4. Login-Schutz konfigurieren
Begrenzen Sie Login-Versuche, um Brute-Force-Angriffe zu stoppen. Nach 3–5 fehlgeschlagenen Versuchen sollte die IP für mindestens 15 Minuten gesperrt werden. Ändern Sie außerdem die Standard-Login-URL von /wp-admin auf eine individuelle Adresse — das reduziert automatisierte Angriffe drastisch.
5. SSL-Verschlüsselung (HTTPS)
SSL ist 2026 absolute Pflicht — für SEO, Vertrauen und Sicherheit. Bei mein-webserver.de ist ein kostenloses Let's-Encrypt-Zertifikat in jedem Paket enthalten. Stellen Sie sicher, dass Ihre gesamte Website über HTTPS läuft und HTTP-Anfragen automatisch weitergeleitet werden.
6. Web Application Firewall (WAF)
Eine WAF filtert bösartigen Traffic, bevor er Ihre WordPress-Installation erreicht. Sie blockiert SQL-Injections, Cross-Site-Scripting (XSS) und andere gängige Angriffsarten. Empfohlene Lösungen:
- Wordfence — umfassende Security-Suite mit Firewall, Malware-Scanner und Login-Schutz
- Sucuri — Cloud-basierte WAF mit CDN und DDoS-Schutz
- NinjaFirewall — leichtgewichtige, PHP-basierte Firewall
7. Regelmäßige Backups
Backups sind Ihre Lebensversicherung. Wenn trotz aller Maßnahmen etwas passiert, können Sie Ihre Website innerhalb von Minuten wiederherstellen. Wichtige Regeln:
- Tägliche automatische Backups (Dateien + Datenbank)
- Backups an einem externen Ort speichern (nicht auf demselben Server)
- Regelmäßig testen, ob die Wiederherstellung funktioniert
Plugins wie UpdraftPlus oder BackWPup automatisieren den gesamten Prozess. Bei unserem Managed Hosting erstellen wir zusätzlich serverseitige Backups.
8. Dateiberechtigungen richtig setzen
Falsche Dateiberechtigungen sind ein häufiges Sicherheitsproblem. Die empfohlenen Einstellungen:
Verzeichnisse: 755
Dateien: 644
wp-config.php: 440 oder 400
.htaccess: 644
9. XML-RPC und REST API einschränken
Die XML-RPC-Schnittstelle wird häufig für Brute-Force- und DDoS-Angriffe missbraucht. Wenn Sie keine externen Apps nutzen, die XML-RPC benötigen, deaktivieren Sie es. Die REST API sollte für nicht authentifizierte Benutzer eingeschränkt werden.
10. Security Headers setzen
HTTP-Security-Headers schützen vor verschiedenen Angriffsarten. Die wichtigsten Header für WordPress:
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=()
Sicherheits-Checkliste zum Abhaken
- ☐WordPress, Themes und Plugins auf aktuellem Stand
- ☐Starke, einzigartige Passwörter für alle Benutzer
- ☐2FA für alle Admin-Accounts aktiviert
- ☐Login-Versuche begrenzt
- ☐SSL-Zertifikat aktiv, HTTPS erzwungen
- ☐Firewall / Security-Plugin installiert
- ☐Tägliche automatische Backups konfiguriert
- ☐Dateiberechtigungen korrekt gesetzt
- ☐XML-RPC deaktiviert (wenn nicht benötigt)
- ☐Security Headers konfiguriert
- ☐Unbenutzte Themes und Plugins gelöscht
- ☐Admin-Benutzername ist nicht „admin"
Was tun, wenn WordPress gehackt wurde?
Falls Ihre Website kompromittiert wurde, handeln Sie schnell:
- Website offline nehmen — Maintenance-Modus aktivieren
- Alle Passwörter ändern — WordPress, FTP, Datenbank, Hosting-Panel
- Malware-Scan durchführen — Wordfence oder Sucuri Malware-Scanner
- Infizierte Dateien bereinigen — oder sauberes Backup wiederherstellen
- Schwachstelle identifizieren — Wie kam der Angreifer rein?
- Updates durchführen — WordPress, alle Themes, alle Plugins
- Google Search Console prüfen — ggf. Überprüfung beantragen
Noch besser: Lassen Sie es gar nicht erst soweit kommen. Lesen Sie auch unsere WordPress Anleitung für Anfänger für einen sicheren Start, oder informieren Sie sich über WooCommerce-Sicherheit für Online-Shops.