Warum WordPress-Sicherheit 2026 wichtiger denn je ist

WordPress ist das meistgenutzte CMS der Welt – und genau das macht es zum attraktivsten Angriffsziel für Hacker. Täglich werden weltweit schätzungsweise 30.000 Websites gehackt, ein großer Teil davon läuft auf WordPress. Veraltete Plugins, schwache Passwörter und fehlende Updates öffnen Angreifern Tür und Tor. Die gute Nachricht: Mit den richtigen Maßnahmen können Sie das Risiko um über 95 % reduzieren.

Maßnahme 1: Automatische Updates aktivieren

Der häufigste Einfallsweg für Hacker sind veraltete Plugins und Themes mit bekannten Sicherheitslücken. Aktivieren Sie automatische Updates für WordPress-Core, Plugins und Themes. In der wp-config.php können Sie automatische Minor-Updates aktivieren: define('WP_AUTO_UPDATE_CORE', true);. Für Plugins gibt es in der Plugin-Liste einen Toggle für automatische Updates. Testen Sie Updates zuvor immer auf einer Staging-Umgebung, um Kompatibilitätsprobleme zu vermeiden.

Maßnahme 2: Starke Passwörter und Zwei-Faktor-Authentifizierung

„admin“ als Benutzername und „123456″ als Passwort sind reale Szenarien, die täglich zum Hack führen. Verwenden Sie ausschließlich starke Passwörter (mindestens 16 Zeichen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) und einen individuellen Admin-Benutzernamen. Aktivieren Sie zusätzlich die Zwei-Faktor-Authentifizierung (2FA) mit dem Plugin „Two Factor Authentication“ oder „WP 2FA“. Damit wird ein gehacktes Passwort alleine nutzlos.

Maßnahme 3: Login-URL ändern

Der WordPress-Login ist standardmäßig unter /wp-admin oder /wp-login.php erreichbar – das wissen automatisierte Bots und nutzen es für Brute-Force-Angriffe. Mit dem Plugin „WPS Hide Login“ können Sie die Login-URL auf eine beliebige Adresse verlegen, zum Beispiel /mein-eingang-2026. Bots finden die Seite dann nicht mehr und Brute-Force-Angriffe laufen ins Leere.

Maßnahme 4: Sicherheits-Plugin installieren

Ein gutes WordPress-Sicherheits-Plugin ist unverzichtbar. Empfehlenswerte Optionen sind Wordfence Security (kostenlose Version sehr stark), Sucuri Security oder iThemes Security. Diese Plugins bieten: Malware-Scanner, Firewall, Brute-Force-Schutz, Überwachung von Dateiänderungen und E-Mail-Benachrichtigungen bei verdächtigen Aktivitäten. Wordfence blockiert täglich Millionen von Angriffen.

Maßnahme 5: Regelmäßige Backups

Selbst bei bester Absicherung: Ohne aktuelles Backup kann ein Hack zum Totalverlust führen. Nutzen Sie UpdraftPlus oder BackWPup für automatische tägliche Backups, die extern gespeichert werden (Google Drive, Dropbox, Amazon S3). Testen Sie Ihre Backups regelmäßig durch eine Probewiederherstellung. Idealerweise haben Sie immer mindestens 30 tagesaktuelle Backups verfügbar.

Maßnahme 6: SSL-Zertifikat und HTTPS erzwingen

HTTPS ist heute Standard und von Google als Rankingfaktor bestätigt. Stellen Sie sicher, dass Ihre Website ausschließlich über HTTPS erreichbar ist und alle HTTP-Anfragen automatisch auf HTTPS umgeleitet werden. Die meisten Hoster bieten kostenlose Let’s Encrypt-Zertifikate. Fügen Sie in der .htaccess zusätzlich den HSTS-Header hinzu, der Browser zwingt, ausschließlich HTTPS zu verwenden.

Maßnahme 7: Datenbankpräfix ändern

WordPress verwendet standardmäßig das Datenbankpräfix „wp_“, das SQL-Injection-Angreifern die Arbeit erleichtert. Ändern Sie das Präfix bei der Installation oder nachträglich mit einem Plugin wie „Change Table Prefix“ auf eine zufällige Zeichenfolge, z.B. „x7b2k_“. Das erhöht die Hürde für automatisierte SQL-Injection-Angriffe erheblich.

Maßnahme 8: Datei-Editierung deaktivieren

WordPress erlaubt standardmäßig das Bearbeiten von Theme- und Plugin-Dateien direkt im Backend unter Design → Theme-Editor. Wenn ein Angreifer Zugang zum Backend erlangt, kann er so schädlichen Code einschleusen. Deaktivieren Sie diese Funktion durch Hinzufügen von define('DISALLOW_FILE_EDIT', true); in der wp-config.php.

Maßnahme 9: XML-RPC deaktivieren

XML-RPC ist eine veraltete WordPress-Schnittstelle, die für massenhafte Brute-Force-Angriffe missbraucht wird. Wenn Sie keine mobilen WordPress-Apps oder externe Dienste nutzen, die XML-RPC benötigen, deaktivieren Sie es. Das geht einfach über das Wordfence-Plugin oder durch einen Eintrag in der .htaccess: Zugriff auf /xmlrpc.php komplett blockieren.

Maßnahme 10: Cloudflare WAF nutzen

Cloudflare bietet in der kostenlosen Version eine Web Application Firewall (WAF), die den meisten schädlichen Traffic bereits blockiert, bevor er Ihren Server erreicht. Aktivieren Sie die Cloudflare-Sicherheitseinstellungen auf „Mittel“ oder „Hoch“ und nutzen Sie die Bot-Bekämpfung. Im kostenpflichtigen Pro-Plan stehen erweiterte WAF-Regeln speziell für WordPress zur Verfügung.

WordPress Sicherheits-Audit und Wartung in Ludwigshafen

Sie möchten sicher sein, dass Ihre WordPress-Website optimal geschützt ist? Ich biete professionelle WordPress-Wartungsverträge im Raum Ludwigshafen an, die monatliche Updates, Sicherheits-Scans und Backup-Überwachung beinhalten. Jetzt anfragen.

Häufige Fragen zur WordPress-Sicherheit

Wie sicher ist WordPress grundsätzlich?

Der WordPress-Core selbst ist sehr sicher und wird von einem großen Team kontinuierlich gepflegt. Die meisten Sicherheitsprobleme entstehen durch veraltete Plugins/Themes von Drittanbietern, schwache Passwörter oder fehlende Updates – also durch menschliche Faktoren, keine Code-Schwächen.

Was tun wenn WordPress gehackt wurde?

Im Falle eines Hacks: Website sofort offline nehmen (Wartungsmodus), alle Passwörter ändern, letztes sauberes Backup einspielen, Malware mit Sucuri oder Wordfence scannen und entfernen, alle Plugins und Themes updaten. Bei ernsthaftem Hack empfehle ich professionelle Hilfe.