WordPress ist nicht unsicher. Unsicher wird es meistens erst dann, wenn Updates liegen bleiben, zu viele Plugins unkontrolliert installiert werden oder Zugänge über Jahre unverändert offenstehen. Genau das ist in der Praxis das eigentliche Problem: Nicht die Software allein, sondern die Summe kleiner Nachlässigkeiten.
Wenn Du eine Website betreibst, brauchst Du keine überkomplizierte Enterprise-Sicherheitsstrategie. Du brauchst ein solides System: klare Benutzerrechte, saubere Updates, starke Passwörter, sinnvolle Schutzmechanismen und vor allem Backups, auf die Du Dich im Ernstfall verlassen kannst.
In diesem Artikel bekommst Du keine Theorie, sondern einen praktischen Maßnahmenplan. Ich zeige Dir 12 Schritte, mit denen Du Deine WordPress-Website deutlich sicherer machst – egal ob Blog, Firmenwebsite oder Kundenprojekt.
Das eigentliche Problem: Warum WordPress-Seiten kompromittiert werden
Die meisten Angriffe auf WordPress-Seiten passieren nicht, weil Hacker gezielt Deine Startseite ausgesucht haben. In vielen Fällen laufen automatisierte Bots über tausende Websites und prüfen immer wieder dieselben Schwachstellen:
- veraltete Plugins oder Themes
- schwache oder wiederverwendete Passwörter
- offene Login-Seiten ohne Schutz
- zu viele Admin-Zugänge
- fehlende Backups
- fehlerhafte Dateirechte
- ungenutzte, aber weiterhin installierte Erweiterungen
Die gute Nachricht: Genau diese Punkte kannst Du aktiv kontrollieren. Sicherheit ist hier kein Hexenwerk, sondern saubere Wartung.
1. Halte WordPress, Plugins und Themes konsequent aktuell
Der wichtigste Sicherheitshebel ist banal – und genau deshalb wird er oft unterschätzt: Updates. Sobald eine bekannte Schwachstelle öffentlich dokumentiert ist, beginnen Bots oft innerhalb kürzester Zeit mit automatisierten Angriffen.
Meine Empfehlung: Plane einen festen Wartungsrhythmus ein. Kleine Websites kannst Du oft wöchentlich prüfen, bei geschäftskritischen Projekten lieber deutlich häufiger. Wichtig ist nicht nur WordPress selbst, sondern auch jedes Plugin und jedes Theme.
- Core-Updates zeitnah einspielen
- Plugins nicht monatelang liegen lassen
- auch inaktive Themes und Plugins im Blick behalten
- vor größeren Updates immer ein Backup erstellen
Veraltet bedeutet in der Praxis oft: angreifbar. Wer Updates ignoriert, macht es Angreifern unnötig leicht.
2. Lösche alles, was Du nicht wirklich brauchst
Viele Websites sammeln mit der Zeit Altlasten an: Test-Plugins, deaktivierte Themes, Importer, Builder-Erweiterungen, die nur einmal gebraucht wurden. Auch wenn sie deaktiviert sind, können sie im Einzelfall trotzdem ein Risiko darstellen – oder zumindest die Wartung unnötig erschweren.
Faustregel: Was Du nicht aktiv nutzt, kommt raus. Je schlanker die Installation, desto besser die Übersicht und desto kleiner die potenzielle Angriffsfläche.
3. Nutze starke Passwörter und einen Passwortmanager
„Admin123“ ist natürlich ein Extrembeispiel – aber viele reale Passwörter sind kaum besser. Gerade bei kleineren Websites werden Zugangsdaten oft mehrfach verwendet oder über Jahre nie erneuert.
Gute Passwörter sind lang, zufällig und einzigartig. In der Praxis heißt das: Nutze einen Passwortmanager. Damit musst Du Dir keine kryptischen Zeichenfolgen merken und läufst weniger Gefahr, dass ein kompromittiertes Passwort gleich mehrere Dienste betrifft.
- für jeden Zugang ein eigenes Passwort
- mindestens 16 Zeichen, besser mehr
- keine Wiederverwendung über mehrere Projekte hinweg
- Passwörter nicht per unverschlüsselter Nachricht verschicken
4. Aktiviere Zwei-Faktor-Authentifizierung
Selbst starke Passwörter sind kein Allheilmittel. Wenn Zugangsdaten durch ein Datenleck oder Phishing abfließen, ist ein zusätzlicher Schutzfaktor Gold wert. Genau dafür ist 2FA da.
Besonders für Administratoren und Redakteure sollte Zwei-Faktor-Authentifizierung Standard sein. Damit reicht ein bekanntes Passwort allein nicht mehr aus, um sich im Backend anzumelden.
5. Begrenze Admin-Zugänge und Rollen sauber
Nicht jeder Benutzer braucht Administratorrechte. Genau hier entstehen in Kundenprojekten oft unnötige Risiken: ehemalige Mitarbeiter, Agentur-Zugänge aus alten Projekten oder Redakteure mit viel zu weitgehenden Rechten.
Prüfe regelmäßig, welche Konten vorhanden sind und welche Rolle sie wirklich brauchen. Ein Redakteur ist kein Admin. Ein Autor ist kein Shop-Manager. Je sauberer Rollen vergeben sind, desto geringer ist das Schadenspotenzial bei einem kompromittierten Account.
- nur notwendige Admin-Konten behalten
- alte Benutzer löschen oder sauber übergeben
- für Dienstleister eigene, begrenzte Zugänge verwenden
- keine gemeinsamen Sammelaccounts nutzen
6. Schütze die Login-Seite vor Brute-Force-Angriffen
Die Standard-Login-Seite von WordPress wird permanent automatisiert angegriffen. Bots probieren dabei massenhaft Passwort-Kombinationen durch. Ohne Schutz kann das nicht nur ein Sicherheitsproblem werden, sondern auch die Serverlast erhöhen.
Sinnvolle Gegenmaßnahmen sind Login-Limits, Captchas oder eine zusätzliche Absicherung auf Server-Ebene. Wichtig ist: Du musst es automatisierten Angriffen so schwer wie möglich machen.
7. Setze eine Web Application Firewall sinnvoll ein
Eine Firewall ist kein magischer Rundumschutz, aber sie kann schädliche Anfragen früh abfangen. Je nach Setup läuft das über ein Sicherheits-Plugin, den Hoster oder einen externen Dienst wie Cloudflare.
Wichtig ist der realistische Blick: Eine Firewall ersetzt keine Updates und keine Backups. Sie ist ein Baustein – nicht die komplette Lösung.
8. Härte wp-config.php und Dateirechte
Die Datei wp-config.php enthält besonders sensible Informationen wie Datenbankzugänge und Sicherheitsschlüssel. Gleichzeitig sind falsche Dateirechte auf dem Server ein klassischer Schwachpunkt.
Hier lohnt sich ein technischer Check:
- Dateirechte restriktiv setzen
- Schreibrechte nicht großzügiger als nötig vergeben
- Dateibearbeitung im Backend deaktivieren, wenn sie nicht gebraucht wird
- Serverkonfiguration prüfen, damit sensible Dateien nicht öffentlich erreichbar sind
Gerade bei selbst verwalteten Hostings oder älteren Umzügen sieht man hier oft unsaubere Alt-Konfigurationen.
9. Sichere Backups sind Pflicht – und Restore-Tests genauso
Viele sagen: „Wir haben Backups.“ Die entscheidende Frage ist aber: Hast Du auch schon geprüft, ob sie sich sauber wiederherstellen lassen? Ein Backup, das im Notfall nicht funktioniert, ist nur ein gutes Gefühl – aber keine echte Absicherung.
Deshalb braucht es zwei Dinge: regelmäßige automatische Backups und gelegentliche Restore-Tests. Nur dann weißt Du, dass Du im Ernstfall wirklich handlungsfähig bist.
- Dateien und Datenbank sichern
- Backups extern speichern, nicht nur auf dem Webspace
- mehrere Generationen aufbewahren
- Wiederherstellung testen
10. Nutze nur seriöse Plugins und Themes
Nicht jedes Plugin ist automatisch schlecht, nur weil es klein ist. Aber Du solltest genau hinschauen: Wann wurde es zuletzt aktualisiert? Wie viele aktive Installationen gibt es? Ist der Entwickler vertrauenswürdig? Gibt es Support?
Besonders riskant sind Nulled Themes, dubiose Download-Portale und Erweiterungen, die seit Jahren nicht gepflegt werden. Was kurzfristig kostenlos wirkt, wird später oft sehr teuer.
11. Verwende HTTPS konsequent und prüfe Sicherheitsheader
HTTPS sollte heute selbstverständlich sein. Trotzdem gibt es immer noch Websites, bei denen interne Ressourcen falsch geladen werden oder Weiterleitungen nicht sauber eingerichtet sind.
Zusätzlich lohnt sich ein Blick auf wichtige Sicherheitsheader. Sie machen eine Website nicht unangreifbar, können aber bestimmte Angriffsarten deutlich erschweren.
Dazu gehören je nach Setup unter anderem:
- Strict-Transport-Security
- X-Content-Type-Options
- Content-Security-Policy
- Referrer-Policy
Hier hängt vieles vom Hosting, Caching und eingesetzten Plugins ab. Es lohnt sich, das einmal sauber zu prüfen statt nur auf irgendeine Checkliste zu vertrauen.
12. Überwache verdächtige Aktivitäten und reagiere früh
Sicherheit ist kein Einmal-Projekt. Du brauchst Sichtbarkeit: fehlgeschlagene Logins, unerwartete Dateiänderungen, neue Admin-Konten oder plötzliche Performance-Einbrüche können frühe Warnzeichen sein.
Wer nur dann hinschaut, wenn die Website bereits Spam ausliefert oder auf eine fremde Domain umleitet, reagiert zu spät. Besser ist ein Setup, das Probleme früh erkennt.
Typische Fehler, die ich in WordPress-Projekten immer wieder sehe
- ein einziges Admin-Konto wird von mehreren Personen genutzt
- Plugins werden deaktiviert, aber nie gelöscht
- Backups liegen nur im selben Hosting-Paket
- Sicherheits-Plugins werden installiert, aber nie richtig konfiguriert
- Login-Schutz fehlt komplett
- veraltete Themes bleiben als „Reserve“ installiert
- Dateirechte sind viel zu offen gesetzt
Das sind keine exotischen Spezialfälle, sondern Alltag. Und genau deshalb lohnt sich ein strukturierter Sicherheits-Check.
So gehst Du pragmatisch vor
Wenn Du nicht alles auf einmal umsetzen willst, starte in dieser Reihenfolge:
- vollständiges Backup einrichten
- alle Updates prüfen und einspielen
- unnötige Plugins und Themes löschen
- Admin-Zugänge bereinigen
- 2FA aktivieren
- Login-Schutz ergänzen
- Dateirechte und Server-Konfiguration kontrollieren
- Monitoring und regelmäßige Prüfungen etablieren
So bringst Du schnell die größten Risiken unter Kontrolle, ohne Dich in technischen Details zu verlieren.
Fazit: WordPress-Sicherheit ist kein Plugin, sondern ein System
Wenn Du Deine WordPress-Website absichern willst, brauchst Du keine Panik und keine 20 Sicherheits-Plugins. Du brauchst Klarheit, Disziplin und ein Setup, das regelmäßig gepflegt wird. Genau dann wird aus einer potenziell anfälligen Standardinstallation eine robuste Website, die Angriffe deutlich besser abwehrt.
Wenn Du möchtest, kann ich Dir im nächsten Schritt auch eine konkrete WordPress-Sicherheits-Checkliste für kleine Unternehmenswebsites zusammenstellen – inklusive typischer Hosting- und Plugin-Fallen.
