WordPress selbst ist sehr sicher – der Core wird von einem großen Sicherheitsteam gepflegt. 90% aller Hacks passieren durch veraltete Plugins, schwache Passwörter oder unsichere Hoster. Mit den Maßnahmen aus diesem Guide bist du gegen die allermeisten Angriffe geschützt.
WordPress Sicherheit: So schützt du deine Website vor Hackern
WordPress betreibt über 40% aller Websites weltweit – und ist damit das beliebteste Ziel für Hacker. Die gute Nachricht: Mit den richtigen Sicherheitsmaßnahmen machst du es Angreifern extrem schwer. In diesem Guide zeigen wir dir die 10 wichtigsten Schritte für eine sichere WordPress-Installation.
💡
Das Wichtigste vorab: Die meisten WordPress-Hacks passieren durch veraltete Plugins, schwache Passwörter und fehlende Updates. Mit unserer Checkliste kannst du 95% aller Angriffe verhindern.
Das Wichtigste vorab: Die meisten WordPress-Hacks passieren durch veraltete Plugins, schwache Passwörter und fehlende Updates. Mit unserer Checkliste kannst du 95% aller Angriffe verhindern.
Warum ist WordPress-Sicherheit so wichtig?
Jeden Tag werden tausende WordPress-Seiten gehackt. Die Folgen können verheerend sein:
- Datenverlust: Kundendaten, Inhalte, jahrelange Arbeit – alles weg
- SEO-Schaden: Google entfernt gehackte Seiten aus dem Index
- Reputationsschaden: Kunden verlieren das Vertrauen
- Rechtliche Konsequenzen: DSGVO-Verstöße können teuer werden
Laut Sucuri Security sind 90% aller gehackten CMS-Websites WordPress-Installationen. Aber nicht weil WordPress unsicher wäre – sondern weil viele Betreiber grundlegende Sicherheitsmaßnahmen ignorieren.
Die 10 wichtigsten WordPress Sicherheitsmaßnahmen
1. Starke Passwörter + Zwei-Faktor-Authentifizierung
80% aller erfolgreichen Hacks basieren auf schwachen oder gestohlenen Passwörtern. Ein sicheres Passwort hat mindestens 16 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
Noch besser: Aktiviere Zwei-Faktor-Authentifizierung (2FA). Selbst wenn jemand dein Passwort kennt, braucht er zusätzlich dein Handy für den Login.
2. WordPress, Plugins und Themes aktuell halten
Veraltete Software ist das größte Einfallstor für Hacker. Sicherheitslücken werden öffentlich bekannt – und von Hackern automatisiert ausgenutzt.
Regel: Updates innerhalb von 48 Stunden einspielen. Bei Sicherheitsupdates sofort.
💡 Tipp: Sei vorsichtig mit automatischen Updates, die in WordPress möglich sind. Ab und zu kommt es zu inkompatiblen Plug-Ins und das siehst du dann erst, wenn du mal wieder auf die Seite schautst.
3. Sicherheits-Plugin installieren
Ein gutes Sicherheits-Plugin ist Pflicht. Die besten kostenlosen Optionen:
- Wordfence – beliebtestes Sicherheits-Plugin, Firewall + Malware-Scan
- Sucuri Security – Cloud-basierte Firewall, sehr schnell
- iThemes Security – viele Härtungsoptionen, anfängerfreundlich
4. SSL-Zertifikat aktivieren (HTTPS)
HTTPS verschlüsselt die Verbindung zwischen Browser und Server. Ohne SSL können Passwörter und Formulardaten abgefangen werden.
Die meisten Hoster bieten kostenlose SSL-Zertifikate via Let’s Encrypt. Aktivieren und in WordPress unter Einstellungen → Allgemein die URLs auf https:// umstellen.
5. Regelmäßige Backups erstellen
Ein Backup ist deine Lebensversicherung. Wenn doch mal etwas passiert, kannst du die Seite in Minuten wiederherstellen.
Die 3-2-1 Regel:
- 3 Kopien deiner Daten
- 2 verschiedene Speichermedien
- 1 Kopie extern (nicht auf dem gleichen Server!)
Empfohlene Backup-Plugins: UpdraftPlus (kostenlos, automatische Cloud-Backups) oder BlogVault (Premium, mit Staging).
6. Login-Versuche begrenzen
Brute-Force-Attacken probieren automatisch tausende Passwort-Kombinationen durch. Mit einem Limit von 3-5 Fehlversuchen wird die IP für eine Zeit gesperrt.
Wordfence und die meisten Sicherheits-Plugins haben diese Funktion eingebaut. Alternativ: Limit Login Attempts Reloaded.
7. Admin-Benutzername ändern
Der Standard-Benutzername „admin“ ist das erste was Hacker probieren. Erstelle einen neuen Admin-Account mit einem einzigartigen Namen und lösche den alten „admin“ Account.
Wichtig: Autor-Archive können Benutzernamen verraten. Deaktiviere sie oder nutze ein Plugin wie „Edit Author Slug“.
8. XML-RPC deaktivieren
XML-RPC ist eine alte Schnittstelle für externe Verbindungen. Wird heute kaum noch gebraucht, ist aber ein beliebtes Angriffsziel für DDoS-Attacken.
Deaktivieren via Sicherheits-Plugin oder diese Zeile in die .htaccess einfügen: <Files xmlrpc.php> Order deny,allow Deny from all </Files>
9. Dateirechte korrekt setzen
Falsche Dateirechte können Angreifern Schreibzugriff geben. Die empfohlenen Werte:
- Ordner: 755
- Dateien: 644
- wp-config.php: 600 oder 640
Die meisten guten Hoster setzen das automatisch richtig. Im Zweifel per FTP prüfen.
10. Sicheres Hosting wählen
Die Basis aller Sicherheit ist ein guter Hoster. Managed WordPress Hosting bietet Server-seitige Sicherheit, automatische Updates und Malware-Scanning.
Empfehlungen für deutsche Hoster:
- Raidboxes – spezialisiert auf WordPress
- Netcup – solide und preiswert
- Hetzner – für technisch versierte
WordPress gehackt: Erste Hilfe
Wenn es doch passiert ist: Seite offline nehmen, alle Passwörter ändern, Malware-Scan durchführen, infizierte Dateien bereinigen oder sauberes Backup einspielen. Wichtig: Das Einfallstor finden und schließen.
Fazit: WordPress Sicherheit ist kein Hexenwerk
Mit den 10 Maßnahmen aus diesem Guide bist du gegen die allermeisten Angriffe gewappnet. Das Wichtigste nochmal zusammengefasst:
- Updates sofort einspielen
- Starke Passwörter + 2FA nutzen
- Sicherheits-Plugin installieren
- Regelmäßige Backups machen
🚀
Keine Zeit für Sicherheits-Wartung? Unsere WordPress Wartungspakete übernehmen das für dich – inklusive Updates, Backups und Sicherheits-Monitoring ab 100€/Monat.
Keine Zeit für Sicherheits-Wartung? Unsere WordPress Wartungspakete übernehmen das für dich – inklusive Updates, Backups und Sicherheits-Monitoring ab 100€/Monat.
Häufige Fragen zur WordPress Sicherheit
01
Wie sicher ist WordPress?
02
Welches Sicherheits-Plugin ist das beste?
Wordfence ist das beliebteste und bietet Firewall plus Malware-Scanner kostenlos. Für große Websites: Sucuri mit Cloud-WAF. Wichtig: Ein Plugin allein reicht nicht – Updates, Backups und starke Passwörter sind genauso wichtig.
03
Was tun wenn WordPress gehackt wurde?
Sofort handeln: 1) Seite offline nehmen. 2) Alle Passwörter ändern (WordPress, FTP, Datenbank, Hosting). 3) Malware-Scan durchführen. 4) Infizierte Dateien bereinigen oder sauberes Backup einspielen. 5) Einfallstor finden und schließen. Bei Unsicherheit: Professionelle Hilfe holen.
04
Wie erkenne ich ob meine WordPress-Seite gehackt wurde?
Typische Anzeichen: Unbekannte Admin-Benutzer, seltsame Weiterleitungen, Spam-Links im Content, Google-Warnung, unerklärlich hoher Traffic, veränderte Core-Dateien. Regelmäßige Malware-Scans helfen, Infektionen früh zu erkennen.
05
Wie oft sollte ich WordPress updaten?
Sicherheitsupdates: Sofort, innerhalb von 24 Stunden. Reguläre Updates: Innerhalb einer Woche. Aktiviere automatische Updates für Minor-Releases (z.B. 6.4.1 → 6.4.2). Major-Updates erst in einer Testumgebung prüfen.
06
Reicht ein kostenloses Sicherheits-Plugin?
Für die meisten Websites: Ja. Die kostenlosen Versionen von Wordfence oder Sucuri bieten soliden Grundschutz. Premium-Features lohnen sich vor allem für Business-kritische Websites oder Online-Shops.
07
Was kostet professionelle WordPress Sicherheit?
Mit kostenlosen Plugins und diesem Guide: 0€. Professionelle Wartung mit Sicherheits-Monitoring, Updates und Backups gibt es ab ca. 100€/Monat. Die Investition lohnt sich – ein Hack kostet im Schnitt ein Vielfaches.
