RevealTheme logo

Anleitung · Aktualisiert 2026

WordPress-Sicherheits-Checkliste: 30 Schritte, die wirklich zählen

Die meisten WordPress-Sicherheitstipps sind generisch, alarmistisch und verfehlen das, was wirklich zählt. Diese Liste sortiert die Sicherheitsmaßnahmen nach tatsächlicher Wirkung, basierend auf den realen Angriffsmustern, die gegen WordPress-Websites eingesetzt werden (Brute Force, anfällige Plugins, schwache Zugangsdaten, veraltete Cores).

Die 5 Essentials: zuerst erledigen

  1. Halten Sie den WordPress-Core, die Themes und die Plugins aktuell. Anfällige Plugins sind der Angriffsvektor Nummer 1. Aktivieren Sie die automatischen Updates für Minor-Versionen (WordPress 5.6+ tut das standardmäßig). Für Major-Versionen aktualisieren Sie innerhalb von 7 Tagen nach der Veröffentlichung. Für Plugins aktivieren Sie die automatische Aktualisierung der vertrauenswürdigen; prüfen Sie die Versionshinweise kritischer Plugins manuell.
  2. Verwenden Sie starke, einzigartige Passwörter für jedes WordPress-Konto. Besonders die Administratorkonten. Verwenden Sie einen Passwort-Manager (1Password, Bitwarden). Deaktivieren Sie den Benutzernamen «admin»: Legen Sie einen neuen Administrator an und löschen Sie den alten.
  3. Aktivieren Sie die Zwei-Faktor-Authentifizierung. Verwenden Sie Wordfence Login Security (kostenlos) oder unseren 2FA-QR-Generator mit einer beliebigen TOTP-App. Die 2FA wehrt über 99 % der Credential-Stuffing-Angriffe ab.
  4. Installieren Sie ein vertrauenswürdiges Sicherheits-Plugin. Wordfence (die kostenlose Version genügt für die meisten Websites) oder Solid Security. Stapeln Sie nicht mehrere: Sie geraten in Konflikt. Das Plugin verwaltet die Begrenzung der Anmeldeversuche, die Überwachung der Dateiintegrität und die Malware-Analyse.
  5. Tägliche Backups außerhalb der Website. UpdraftPlus → Dropbox/Google Drive. Erstellen Sie das Backup, bevor Sie es brauchen. Testen Sie den Wiederherstellungsprozess mindestens einmal.

Die nächsten 10: weitere wirkungsstarke Maßnahmen

  1. Erzwingen Sie HTTPS. Let's Encrypt ist auf jedem modernen Hosting kostenlos. Leiten Sie HTTP auf Serverebene zu HTTPS um.
  2. Ändern Sie das Tabellenpräfix der Datenbank. WordPress verwendet standardmäßig wp_; ändern Sie es während der Installation in etwas Eigenes. Es verhindert keine Angriffe, erschwert aber einige Angriffsmuster.
  3. Deaktivieren Sie XML-RPC, wenn Sie es nicht verwenden. XML-RPC ist ein verbreiteter Vektor zur Brute-Force-Verstärkung. Wenn Sie weder die mobile Jetpack-App noch die Fernveröffentlichung nutzen, deaktivieren Sie es per .htaccess oder einem Plugin.
  4. Begrenzen Sie die Anmeldeversuche. Wordfence tut das automatisch. Verhindert Brute-Force-Credential-Stuffing.
  5. Rotieren Sie die WordPress-Authentifizierungsschlüssel/-Salts. Verwenden Sie unseren WordPress-Salt-Generator. Rotieren Sie sie nach jedem Verdacht auf eine Kompromittierung, nach dem Entfernen eines kompromittierten Administrators und routinemäßig alle 6-12 Monate.
  6. Verwenden Sie SSH oder SFTP zum Übertragen von Dateien, niemals reines FTP. FTP überträgt die Zugangsdaten im Klartext.
  7. Beschränken Sie den Zugriff auf wp-admin nach Möglichkeit per IP. Wenn Ihr Team feste IPs verwendet (Büro, VPN), beschränken Sie wp-admin nur auf diese IPs. Per .htaccess oder der Nginx-Konfiguration.
  8. Deaktivieren Sie die Dateibearbeitung in wp-config.php. Fügen Sie hinzu: define('DISALLOW_FILE_EDIT', true); Verhindert, dass Angreifer Themes/Plugins über das Dashboard bearbeiten, falls sie ein Konto kompromittieren.
  9. Verbergen Sie die WordPress-Versionsnummer. Entfernen Sie das Meta-Tag generator. Es verhindert keine Angriffe, reduziert aber das Fingerprinting.
  10. Sperren Sie die Dateiberechtigungen. Dateien 644, Verzeichnisse 755, wp-config.php 600. Die meisten Managed-Anbieter tun das automatisch; auf einem VPS setzen Sie es explizit.

Feinschliff: gut, aber nicht kritisch

  1. Benutzerdefinierte Anmelde-URL (z. B. WPS Hide Login). Reduziert vor allem das Rauschen durch Bot-Traffic; keine echte Sicherheit.
  2. CAPTCHA in den Anmeldeformularen. Eine leichte Hürde für automatisierte Angriffe.
  3. Deaktivieren Sie die PHP-Ausführung in /uploads/. Verhindert, dass hochgeladene PHP-Shells ausgeführt werden.
  4. Verwenden Sie die WAF von Cloudflare (kostenlose Stufe). Filtert bösartigen Traffic, bevor er Ihren Server erreicht.
  5. Richten Sie eine E-Mail-Benachrichtigung für den Administrator bei Plugin-/Core-Updates ein.
  6. Verwenden Sie HSTS-Preloading, um HTTPS auf Browserebene zu erzwingen.
  7. Deaktivieren Sie die Benutzeraufzählung über die REST-API (Solid Security oder Wordfence übernehmen das).
  8. Verwenden Sie Header der Content Security Policy (CSP).
  9. Deaktivieren Sie das Directory Browsing (die meisten Anbieter tun das standardmäßig).
  10. Überwachen Sie Verfügbarkeit + Integrität mit einem externen Dienst (kostenlose Stufe von UptimeRobot + wöchentlich Sucuri SiteCheck).
  11. Beschränken Sie die Benutzerrollen auf das geringste Privileg. Die meisten Mitwirkenden benötigen keinen Editor-Zugriff.
  12. Verschlüsselung der Datenbank-Backups (UpdraftPlus Premium bietet das an).
  13. Bild-Hosting außerhalb der Domain per CDN (reduziert die Angriffsfläche).
  14. Regelmäßige Durchsicht des Sicherheits-Audit-Protokolls.
  15. Jährlicher Penetrationstest, wenn die Website signifikante Einnahmen generiert.

WordPress-Sicherheitsmythen: lassen Sie sie aus

Mehrere stark empfohlene «Sicherheits»-Maßnahmen bieten minimalen realen Schutz: (1) «Die WordPress-Version verbergen»: Die Kenntnis Ihrer Version hilft gezielten Angriffen leicht, aber die echte Lösung ist das Aktualisieren, nicht das Verbergen. (2) «wp-config.php über public_html verschieben»: bringt im Wesentlichen keinen Sicherheitsvorteil; die Datei ist bereits durch .htaccess geschützt. (3) «Die REST-API deaktivieren»: bricht viele Plugins und blockiert wenig. Beschränken Sie stattdessen bestimmte Endpunkte. (4) «Mehrere Sicherheits-Plugins stapeln»: Sie geraten in Konflikt und überschneiden sich. Ein vertrauenswürdiges Plugin (Wordfence oder Solid Security) deckt ab, was drei tun würden. (5) «wp-login.php umbenennen»: Sicherheit durch Verschleierung; Angreifer finden die neue URL leicht über Weiterleitungen.

Wenn Sie gehackt wurden: Wiederherstellungs-Checkliste

  1. Geraten Sie nicht in Panik; löschen Sie nicht sofort Dinge. Erstellen Sie zuerst eine Momentaufnahme des aktuellen Zustands für die forensische Analyse.
  2. Nehmen Sie die Website offline (Wartungsmodus-Plugin oder .htaccess-Weiterleitung auf eine statische Seite).
  3. Ändern Sie alle Administrator-Passwörter und rotieren Sie die WordPress-Salts.
  4. Auditieren Sie die Benutzerkonten: Löschen Sie sofort nicht erkannte Administratorkonten.
  5. Analysieren Sie auf Malware mit Wordfence Premium oder Sucuri.
  6. Vergleichen Sie die aktuellen Dateien mit einem sauberen WordPress-Download: Das Diff zeigt die veränderten Core-Dateien.
  7. Prüfen Sie die Datenbanktabelle wp_options auf unerwartete Einträge (enthält oft injiziertes JS).
  8. Stellen Sie aus dem jüngsten sauberen Backup wieder her (deshalb sind tägliche Backups wichtig).
  9. Auditieren Sie nach der Wiederherstellung jedes Plugin: Löschen Sie die nicht genutzten, aktualisieren Sie alle und ersetzen Sie alle mit öffentlichen CVEs.
  10. Aktualisieren Sie den WordPress-Core auf die neueste Version.
  11. Aktivieren Sie die Website erneut und überwachen Sie 30 Tage lang auf eine erneute Infektion.
Erzeugen Sie jetzt neue WordPress-Salts

Häufig gestellte Fragen

Ist WordPress weniger sicher als andere CMS?
Nicht von Natur aus. Der Ruf von WordPress als Sicherheitsrisiko stammt aus zwei Faktoren: Es betreibt 43 % des Webs, daher zielen Angreifer darauf ab; und Gelegenheitsnutzer installieren anfällige Plugins, ohne sie zu prüfen. Eine gepflegte WordPress-Website mit verifizierten Plugins ist so sicher wie Drupal oder Joomla. Eine verwahrloste WordPress-Website mit 30 veralteten Plugins ist ein leichtes Ziel.
Brauche ich ein kostenpflichtiges Sicherheits-Plugin?
Die meisten Websites nicht. Wordfence Free deckt ab, was 90 % der WordPress-Websites benötigen: Firewall, Malware-Analyse, Anmeldesicherheit, Dateiintegrität. Die Premium-Version fügt Bedrohungsupdates in Echtzeit (statt 30 Tagen Verzögerung), Ländersperren und Prioritäts-Support hinzu: lohnenswert für Websites mit echten Einnahmen, optional in den übrigen Fällen.
Wie oft sollte ich WordPress aktualisieren?
Minor-Versionen (5.6.1 → 5.6.2): automatisch, sofort. Major-Versionen (5.x → 6.x): innerhalb von 7 Tagen nach der Veröffentlichung. Plugin-Updates: wöchentliche Durchsicht; automatische Aktualisierung, wenn Sie Backups haben; manuelle Durchsicht für kritische Plugins (Sicherheit, E-Commerce, benutzerdefinierter Code).
Wie werden WordPress-Websites am häufigsten gehackt?
Durch anfällige Plugins, verantwortlich für ~55 % der erfolgreichen Angriffe auf WordPress laut den jährlichen Berichten von Wordfence. Der Plugin-Code selbst hat eine Schwachstelle, die der Angreifer ausnutzt. Gegenmaßnahme: Halten Sie die Plugins aktuell, entfernen Sie die nicht genutzten und installieren Sie nur Plugins von vertrauenswürdigen Entwicklern.
Sollte ich ein Hosting mit integrierter WordPress-Sicherheit verwenden?
Managed-WordPress-Anbieter (Kinsta, WP Engine, Pressable) enthalten WAF, Malware-Analyse und automatische Core-Updates: bedeutende Zusätze. Ob sie den Premium-Preis rechtfertigen, hängt von Ihrem Traffic und Bedrohungsprofil ab. Für die Website eines Kleinunternehmens deckt eine kostenlose Wordfence-Installation auf Shared-Hosting die meisten Bedrohungen ab.

Weiterführende Artikel

Für Updates anmelden

Wir verkaufen Ihre E-Mail-Adresse nicht. Wir spammen nicht.

© 2026 RevealTheme. All rights reserved.