1. Updates konsequent einspielen
Über 60 % aller erfolgreichen WordPress-Hacks erfolgen über bekannte Sicherheitslücken in veralteten Core-Dateien, Plugins oder Themes. Update-Disziplin ist die mit Abstand wichtigste Maßnahme — und gleichzeitig die am häufigsten vernachlässigte.
- Core-Updates innerhalb von 7 TagenMajor-Updates können in einer Staging-Umgebung getestet werden, Minor-/Security-Updates direkt einspielen.
- Plugin-Updates innerhalb von 14 TagenSecurity-Releases von kritischen Plugins (Wordfence, WooCommerce, Elementor) sofort einspielen.
- Theme-Updates regelmäßig prüfenAuch wenn das Theme selbst keine Sicherheitslücke hat — veraltete Theme-Bibliotheken sind ein häufiger Angriffsvektor.
- Auto-Updates aktivierenFür alle Plugins, die kein hohes Anpassungsrisiko haben (z. B. Page-Builder mit individuellen Templates besser manuell).
2. Starke Passwörter und 2FA
Brute-Force-Angriffe auf /wp-login.php sind nach Plugin-Hacks der häufigste Angriffsvektor. Schwache Passwörter machen es Angreifern leicht.
- Mindestlänge 16 ZeichenPasswortmanager wie 1Password, Bitwarden oder KeePass nutzen — niemand muss sich solche Passwörter merken.
- Zwei-Faktor-Authentifizierung (2FA) für alle AdminsPlugin: WP 2FA, Wordfence Login Security oder Limit Login Attempts. Verhindert Brute-Force fast vollständig.
- Keine geteilten AccountsJeder Mitarbeiter bekommt einen eigenen Account mit individueller Rolle. Bei Austritt: Account löschen, nicht „passwort@123" recyclen.
- Standard-Username „admin" vermeidenBei der Erst-Installation einen anderen Benutzernamen wählen. Falls vorhanden: neuen Admin anlegen, alten löschen.
3. Login-Versuche begrenzen
Plugins wie „Limit Login Attempts Reloaded" oder „WP Cerber" sperren IP-Adressen nach 3–5 fehlgeschlagenen Login-Versuchen für 15 Minuten bis 24 Stunden. Damit werden automatisierte Brute-Force-Angriffe ineffektiv.
Empfohlene Konfiguration:
- 4 erlaubte Versuche, dann 30 Minuten SperreBei wiederholten Sperren: 24 Stunden, dann 1 Woche.
- IP-Whitelist für eigene Büro-IPVerhindert versehentliche Selbstsperre.
- Notifications bei Brute-Force-VersuchenE-Mail-Alarm bei mehr als 50 fehlgeschlagenen Versuchen pro Stunde.
4. Security-Plugin einrichten
Ein zentrales Security-Plugin bündelt mehrere Sicherheitsmaßnahmen. Empfohlene Optionen 2026:
| Plugin | Stärken | Free / Pro |
|---|---|---|
| Wordfence | Marktführer, eigene Web Application Firewall (WAF), Malware-Scan, Live-Traffic-View | Free reicht für die meisten KMU; Pro: ~120 €/Jahr |
| iThemes Security (Solid Security) | Großer Funktionsumfang, einfache Konfiguration, Brute-Force-Schutz | Free reicht; Pro: ~99 €/Jahr |
| Sucuri Security | Server-seitige Firewall (kostenpflichtig), bestes Malware-Cleanup | Free für Scans; Pro: ~250 €/Jahr |
5. Automatische Backups (3-2-1-Regel)
Ohne Backup ist jeder Sicherheits-Plan wertlos. Die 3-2-1-Regel: 3 Kopien, 2 verschiedene Speicherorte, 1 externes Offsite-Backup.
- 3 Kopien Ihrer DatenOriginal (Live-Site), Backup #1 (z. B. Hosting-Backup), Backup #2 (extern).
- 2 verschiedene SpeicherorteZ. B. ein Backup beim Hoster, eines bei einem Cloud-Anbieter (UpdraftPlus + Google Drive/S3).
- 1 externes Offsite-BackupMindestens ein Backup darf NICHT beim Hoster liegen — falls dessen Infrastruktur kompromittiert wird.
- Tägliche Backups bei aktiven SitesWooCommerce, Blogs mit Kommentaren, Anmeldeplattformen.
- Wöchentliche Backups bei statischen SitesVisitenkarten-Auftritte ohne tägliche Inhalte.
- Restore-Test mind. 1x pro QuartalBackups, die nicht wiederherstellbar sind, sind keine Backups. Im Notfall einmal getestet zu haben rettet im Ernstfall.
6. Benutzerrollen und Rechte
Prinzip: jeder Nutzer hat genau die Rechte, die er für seine Aufgabe braucht — nicht mehr.
- Administrator nur für 1–2 PersonenVollzugriff sollte minimal verteilt sein.
- Redakteure für Content-PflegeKönnen Beiträge schreiben und veröffentlichen, aber keine Plugins installieren.
- Autoren für GastbeiträgeKönnen nur eigene Beiträge anlegen und bearbeiten.
- Abonnenten für geschlossene BereicheKönnen nur eigenes Profil ändern.
7. SSL/HTTPS und sichere Header
HTTPS ist 2026 selbstverständlich — fehlt es, blockieren Browser den Zugang. Aber: einfaches HTTPS reicht nicht. Diese HTTP-Header verbessern die Sicherheit zusätzlich:
- Strict-Transport-Security (HSTS)Erzwingt HTTPS für alle zukünftigen Verbindungen vom Browser.
- Content-Security-Policy (CSP)Blockiert externe Skripte und Inline-Code aus unerlaubten Quellen — verhindert XSS-Attacken.
- X-Frame-OptionsVerhindert, dass Ihre Site in einem iFrame anderer Sites geladen wird (Clickjacking).
- Referrer-PolicySteuert, wie viel Information beim Klicken auf externe Links übermittelt wird.
8. wp-config.php absichern
Die wp-config.php enthält Datenbank-Zugangsdaten — wer sie auslesen kann, übernimmt die Site. Härtungsmaßnahmen:
- Dateiberechtigungen auf 600Nur der Webserver-Nutzer darf lesen.
- Security-Keys regelmäßig ändernÜber api.wordpress.org/secret-key/1.1/salt/ neue Keys generieren — alle 6–12 Monate.
- DISALLOW_FILE_EDITIn wp-config.php: define("DISALLOW_FILE_EDIT", true); — verhindert das direkte Editieren von Theme/Plugin-Dateien aus dem Admin-Backend.
- Datenbank-Präfix ändernStandard ist wp_, ändern auf etwas Eigenes (z. B. xy_) erschwert SQL-Injection-Angriffe.
9. Plugin- und Theme-Hygiene
Jedes installierte Plugin ist eine potenzielle Sicherheitslücke. Weniger ist mehr.
- Plugins regelmäßig aufräumenNicht mehr genutzte Plugins deaktivieren UND löschen — deaktivierte Plugins werden weiter geladen und können Lücken haben.
- Nur seriöse QuellenWordPress.org Repository, große Anbieter (Yoast, Elementor, Wordfence). Keine Plugins aus Dubios-Marktplätzen oder Nulled-Plugins.
- Aktivität des Entwicklers prüfenPlugin nicht in den letzten 12 Monaten aktualisiert? Vorsicht. Weniger als 1.000 Installationen? Skepsis.
- Page-Builder kritisch wählenVisual Composer hatte 2024 mehrere kritische Lücken — Elementor und Bricks sind aktuell die sichersten Optionen.
10. Monitoring und Alarme
Sicherheit ohne Monitoring ist Hoffnung. Mindest-Setup:
- Uptime-MonitoringTools wie UptimeRobot oder Better Uptime — kostenlos für 1 Site, alarmiert per E-Mail wenn die Site offline geht.
- File-Integrity-MonitoringWordfence oder iThemes Security alarmieren, wenn unautorisiert Core-Dateien geändert werden — ein klares Hack-Indiz.
- Login-Aktivitäten prüfenWer hat sich wann angemeldet? Logs sollten 90 Tage zurückreichen.
- Google Search ConsoleAlarmiert bei Manual Actions oder erkanntem Malware-Befall.
11. Sicheres Hosting wählen
Billiger Shared-Hoster für 3 €/Monat ist 2026 ein Sicherheitsrisiko. Empfohlen für KMU:
- Managed WordPress HostingKinsta, Raidboxes, WPEngine — automatische Backups, Server-seitige Firewall, isolierte Container. 25–80 €/Monat.
- Premium Shared HostingAll-Inkl, Mittwald, Hetzner — solide Basis-Sicherheit. 5–15 €/Monat.
- VermeidenHoster ohne sichtbare Sicherheits-Features, kein Server-seitiges Backup, kein automatisches PHP-Update.
12. Reaktionsplan für den Ernstfall
Falls es trotz allem passiert: ein dokumentierter Reaktionsplan spart im Ernstfall Stunden.
- Site offline nehmen — Maintenance-Mode oder htaccess-Sperre.
- Passwörter ändern — alle Admin-Accounts, Datenbank, FTP, Hosting.
- Backup wiederherstellen — letztes sauberes Backup, mindestens 14 Tage zurück.
- Malware-Scan — Wordfence/Sucuri Cleanup oder externer Dienst (~150 €).
- Updates einspielen — sofort alle Updates, dann Lücke nachvollziehen.
- Hosting informieren — bei DSGVO-relevanten Daten ggf. Meldepflicht binnen 72h.
Fazit: 80/20-Sicherheit
Mit diesen 5 Maßnahmen holen Sie 80 % der Wirkung bei minimalem Aufwand:
- Updates innerhalb von 7 Tagen (Punkt 1)
- 2FA für alle Admins (Punkt 2)
- Wordfence kostenlos installiert (Punkt 4)
- Tägliches Backup mit Offsite-Kopie (Punkt 5)
- Managed oder Premium Hosting (Punkt 11)
Initial-Aufwand: 2–4 Stunden. Laufender Aufwand: 30 Minuten/Monat. Geschätzte Risikoreduktion: ~95 %.