Zum Inhalt springen

WordPress sicher machen: 15 Maßnahmen für 2025

WordPress ist das beliebteste CMS der Welt – und damit auch ein beliebtes Ziel für Hacker. Die gute Nachricht: Mit den richtigen Maßnahmen machst du deine Website deutlich sicherer. Hier sind 15 Dinge, die du sofort umsetzen kannst.

Warum WordPress-Sicherheit wichtig ist

  • 43% aller Websites laufen auf WordPress
  • Täglich werden tausende WordPress-Sites gehackt
  • 90% der Hacks betreffen veraltete Software
  • Minuten reichen aus, um eine ungeschützte Site zu übernehmen

Ein Hack bedeutet:

  • Website offline → Umsatzverlust
  • Spam/Malware → Rufschädigung
  • Google-Warnung → SEO-Katastrophe
  • Datenklau → rechtliche Konsequenzen

Basis-Sicherheit: Sofort umsetzen

1. WordPress, Themes und Plugins aktuell halten

Der wichtigste Tipp überhaupt. 90% aller Hacks nutzen bekannte Sicherheitslücken in veralteter Software.

Checkliste:

  • [ ] WordPress Core aktuell?
  • [ ] Alle Plugins aktuell?
  • [ ] Theme aktuell?
  • [ ] Ungenutzte Plugins gelöscht?
  • [ ] Ungenutzte Themes gelöscht?

Tipp: Automatische Updates für Minor-Releases aktivieren:

// In wp-config.php
define( 'WP_AUTO_UPDATE_CORE', 'minor' );

2. Starke Passwörter verwenden

"admin123" ist kein Passwort. Ein starkes Passwort hat:

  • Mindestens 16 Zeichen
  • Groß- und Kleinbuchstaben
  • Zahlen und Sonderzeichen
  • Keine Wörter aus dem Wörterbuch

Passwort-Manager nutzen: Bitwarden, 1Password oder KeePass. Ein Passwort pro Dienst.

3. Benutzername "admin" ändern

Der Standard-Benutzername "admin" ist das erste, was Angreifer probieren.

So änderst du ihn:

  1. Neuen Administrator-Account mit anderem Namen anlegen
  2. Alle Inhalte dem neuen Account zuweisen
  3. Alten "admin" Account löschen

4. Login-Versuche begrenzen

Brute-Force-Angriffe probieren tausende Passwörter durch. Mit einem Limit ist nach wenigen Fehlversuchen Schluss.

Empfohlene Plugins:

  • Limit Login Attempts Reloaded (kostenlos)
  • Wordfence (kostenlos/Premium)
  • Solid Security (kostenlos/Premium)

Einstellung: 3-5 Versuche, dann 15 Minuten Sperre.

5. Zwei-Faktor-Authentifizierung (2FA)

Selbst wenn jemand dein Passwort kennt – ohne den zweiten Faktor kommt er nicht rein.

Empfohlene Plugins:

  • WP 2FA (kostenlos)
  • Wordfence (enthält 2FA)
  • Google Authenticator

So funktioniert's:

  1. Plugin installieren
  2. Authenticator-App auf dem Handy (Google Authenticator, Authy)
  3. QR-Code scannen
  4. Ab sofort: Passwort + Code aus der App

Fortgeschrittene Sicherheit

6. SSL-Zertifikat nutzen (HTTPS)

Ohne HTTPS werden Daten unverschlüsselt übertragen – inklusive Passwörter.

Check: Zeigt dein Browser ein Schloss neben der URL?

Kein SSL?

  • Die meisten Hoster bieten kostenlose Let's Encrypt Zertifikate
  • Im Hosting-Panel aktivieren
  • In WordPress: Einstellungen → Allgemein → URLs auf https:// ändern

7. Regelmäßige Backups

Backups sind deine Versicherung. Wenn alles schiefgeht, kannst du wiederherstellen.

Backup-Strategie:

  • Täglich (mindestens wöchentlich)
  • Extern speichern (nicht nur auf dem Server)
  • Regelmäßig testen (Restore funktioniert?)

Empfohlene Plugins:

  • UpdraftPlus (kostenlos/Premium)
  • BackWPup (kostenlos)
  • BlogVault (Premium)

8. Security-Plugin installieren

Ein gutes Security-Plugin bietet:

  • Firewall
  • Malware-Scanner
  • Login-Schutz
  • Datei-Überwachung

Empfehlung: Wordfence (kostenlos reicht für die meisten)

Alternativen:

  • Solid Security (ehemals iThemes Security)
  • Sucuri
  • All In One WP Security

9. Dateiberechtigungen prüfen

Falsche Berechtigungen können Angreifern Zugriff ermöglichen.

Richtige Berechtigungen:

  • Ordner: 755
  • Dateien: 644
  • wp-config.php: 600 oder 640

Per FTP prüfen und anpassen.

10. wp-config.php schützen

Die wp-config.php enthält sensible Daten (Datenbankpasswort etc.).

In .htaccess hinzufügen:

<files wp-config.php>
order allow,deny
deny from all
</files>

Profi-Härtung

11. XML-RPC deaktivieren

XML-RPC wird für Brute-Force und DDoS-Angriffe missbraucht. Die meisten Websites brauchen es nicht.

In .htaccess:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Oder per Plugin: Wordfence kann XML-RPC deaktivieren.

Achtung: Jetpack und die WordPress-App brauchen XML-RPC. Testen!

12. Dateibearbeitung im Backend deaktivieren

WordPress erlaubt das Bearbeiten von Theme- und Plugin-Dateien im Backend. Praktisch, aber gefährlich.

In wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

13. Datenbank-Präfix ändern

Das Standard-Präfix wp_ macht SQL-Injection-Angriffe einfacher.

Bei neuen Installationen: Anderes Präfix wählen (z.B. xyz123_)

Bei bestehenden Websites: Komplizierter, am besten per Plugin (z.B. Brozzme DB Prefix).

14. Login-URL ändern

Die Standard-Login-URL /wp-admin kennt jeder Angreifer.

Plugin: WPS Hide Login

Neue URL wählen, z.B. /mein-geheimer-login

Achtung: URL merken/notieren!

15. HTTP Security Headers

Security Headers schützen vor verschiedenen Angriffen (XSS, Clickjacking etc.).

In .htaccess:

<IfModule mod_headers.c>
    Header set X-Content-Type-Options "nosniff"
    Header set X-Frame-Options "SAMEORIGIN"
    Header set X-XSS-Protection "1; mode=block"
    Header set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>

Testen:securityheaders.com

Was du vermeiden solltest

  • Nulled Themes/Plugins – Oft mit Malware verseucht
  • Plugins aus unbekannten Quellen – Nur wordpress.org oder direkt vom Entwickler
  • Zu viele Plugins – Jedes Plugin ist ein potenzielles Risiko
  • Shared Hosting ohne Isolation – Ein gehackter Nachbar kann dich infizieren
  • Kein Monitoring – Hacks bleiben oft wochenlang unbemerkt

Security-Checkliste

Basis (Pflicht)

  • [ ] WordPress aktuell
  • [ ] Plugins aktuell
  • [ ] Theme aktuell
  • [ ] Starke Passwörter
  • [ ] Kein "admin" Benutzer
  • [ ] SSL aktiv
  • [ ] Backups eingerichtet

Fortgeschritten (Empfohlen)

  • [ ] 2FA aktiviert
  • [ ] Login-Versuche begrenzt
  • [ ] Security-Plugin aktiv
  • [ ] Dateiberechtigungen korrekt

Profi (Nice to have)

  • [ ] XML-RPC deaktiviert
  • [ ] Dateibearbeitung deaktiviert
  • [ ] Login-URL geändert
  • [ ] Security Headers gesetzt

Fazit: Sicherheit ist ein Prozess

WordPress sicher zu machen ist keine einmalige Aktion. Neue Sicherheitslücken werden entdeckt, Updates müssen eingespielt werden, Monitoring muss laufen.

Mit einem WordPress Wartungsvertrag kümmern wir uns um:

  • Regelmäßige Updates
  • Sicherheits-Monitoring
  • Tägliche Backups
  • Schnelle Reaktion bei Problemen

Du konzentrierst dich auf dein Business, wir auf deine Website-Sicherheit.

Unsicher, wie sicher deine Website ist? Wir machen einen kostenlosen Security-Check. Kontaktiere uns.