Warum WordPress-Sicherheit so wichtig ist
Erschreckende Statistiken
- 90.000+ Hackerangriffe auf WordPress pro Minute
- 43% aller Websites weltweit nutzen WordPress
- 70% der WordPress-Installationen sind angreifbar
- Durchschnittliche Kosten eines Hacks: 5.000 – 50.000 €
Die meisten WordPress-Hacks passieren nicht durch ausgeklügelte Angriffe, sondern durch vermeidbare Sicherheitslücken: veraltete Software, schwache Passwörter oder unsichere Plugins.
10 Sicherheitstipps für WordPress
1. WordPress, Themes & Plugins aktuell halten
Updates sind der wichtigste Schutz. Die meisten Hacks nutzen bekannte Sicherheitslücken in veralteten Versionen aus.
- Aktivieren Sie automatische Updates für kleinere Versionen
- Prüfen Sie wöchentlich auf größere Updates
- Erstellen Sie vor Updates immer ein Backup
2. Starke Passwörter verwenden
Mindestens 16 Zeichen mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen. Nutzen Sie einen Passwort-Manager wie Bitwarden oder 1Password.
Profi-Tipp
Ändern Sie den Standard-Benutzernamen "admin" in etwas Einzigartiges. Hacker versuchen oft automatisiert, sich mit "admin" einzuloggen.
3. Zwei-Faktor-Authentifizierung (2FA) aktivieren
Mit 2FA benötigen Angreifer neben dem Passwort auch Zugriff auf Ihr Smartphone. Plugins wie WP 2FA oder Google Authenticator machen die Einrichtung einfach.
4. Login-Versuche begrenzen
Brute-Force-Angriffe versuchen tausende Passwörter. Begrenzen Sie fehlgeschlagene Login-Versuche auf 3-5 und sperren Sie die IP temporär.
5. SSL-Zertifikat (HTTPS) nutzen
Ein SSL-Zertifikat verschlüsselt die Datenübertragung. Die meisten Hoster bieten kostenlose Let's Encrypt Zertifikate an. HTTPS ist auch ein SEO-Ranking-Faktor!
6. Regelmäßige Backups erstellen
Im schlimmsten Fall können Sie Ihre Website aus einem Backup wiederherstellen. Speichern Sie Backups extern (Cloud, eigener Server), nicht nur auf dem Webspace.
- UpdraftPlus – Kostenloses Backup-Plugin
- BlogVault – Premium mit automatischer Wiederherstellung
- Jetpack Backup – Echtzeit-Backups
7. Sichere Hosting-Umgebung wählen
Ein guter Hoster bietet integrierte Sicherheitsmaßnahmen wie Firewalls, Malware-Scans und automatische Updates. Empfehlenswerte WordPress-Hoster:
- Raidboxes (Deutschland)
- FLAVOR (Deutschland)
- Kinsta
- WP Engine
8. Dateiberechtigungen prüfen
Korrekte Berechtigungen verhindern unbefugten Zugriff:
- Ordner: 755
- Dateien: 644
- wp-config.php: 600 oder 640
9. XML-RPC deaktivieren (wenn nicht benötigt)
XML-RPC wird für Pingbacks und die mobile App genutzt, ist aber ein beliebtes Angriffsziel für DDoS und Brute-Force-Attacken. Deaktivieren Sie es, wenn Sie es nicht brauchen.
10. Security Headers implementieren
HTTP Security Headers schützen vor verschiedenen Angriffsarten. Die wichtigsten:
- X-Content-Type-Options
- X-Frame-Options
- Content-Security-Policy
- Strict-Transport-Security (HSTS)
Die besten WordPress Security Plugins
| Plugin | Preis | Besonderheit |
|---|---|---|
| Wordfence | Kostenlos / ab 119$/Jahr | Firewall, Malware-Scanner, Login-Schutz |
| Sucuri Security | Kostenlos / ab 199$/Jahr | Cloud-Firewall, CDN, Malware-Entfernung |
| iThemes Security | Kostenlos / ab 99$/Jahr | Über 30 Sicherheits-Features |
| All In One WP Security | Kostenlos | Benutzerfreundlich, viele Features gratis |
Empfehlung
Für die meisten Websites reicht Wordfence in der kostenlosen Version aus. Für Unternehmens-Websites empfehlen wir die Premium-Version oder Sucuri.
WordPress gehackt? Das sollten Sie tun
Sofortmaßnahmen
- Website offline nehmen (Wartungsmodus)
- Alle Passwörter ändern (WordPress, FTP, Datenbank, Hosting)
- Backup wiederherstellen (von vor dem Hack)
- Malware-Scan durchführen
- Alle Plugins & Themes aktualisieren
- Google Search Console prüfen (manuelle Maßnahmen)
Wenn Sie sich unsicher sind, beauftragen Sie einen Experten. Eine professionelle Malware-Entfernung kostet ca. 200-500 €, spart aber langfristig Kosten und Nerven.
WordPress-Sicherheit prüfen lassen?
Wir führen einen Security-Audit Ihrer WordPress-Website durch und beheben Sicherheitslücken – deutschlandweit.
Kostenlose Sicherheitsberatung