Der ultimative WordPress Security Leitfaden – Schritt-für-Schritt-Anleitung

Ich rate allen neuen Website-Besitzern dringend, sich von Anfang an um die WordPress-Sicherheit zu kümmern.

Mit den richtigen Sicherheits-Plugins und bewährten Methoden schütze ich seit vielen Jahren erfolgreich meine eigenen WordPress-Seiten vor Angriffen.

Die Sicherheit deiner WordPress-Website sollte dir sehr am Herzen liegen. Genau wie du dein Zuhause oder Geschäft schützt, musst du auch deine Website vor Online-Bedrohungen bewahren.

Ohne die richtigen Sicherheitsmaßnahmen setzt du deine Seite einem hohen Risiko aus. Täglich sperrt Google tausende Websites wegen Schadsoftware und anderer Sicherheitsprobleme.

In meinem umfassenden Ratgeber findest du essenzielle Empfehlungen und eine detaillierte Sicherheitsübersicht, die deiner Website effektiven Schutz gegen Cyberangriffe und Schadsoftware bietet.

Obwohl das WordPress-Grundsystem bereits ein hohes Maß an Sicherheit aufweist und kontinuierlich von zahlreichen Entwicklerteams überprüft wird, sind ergänzende Maßnahmen notwendig, um einen vollständigen Schutz deiner Webpräsenz zu gewährleisten.

Ich bin überzeugt: Bei Sicherheit geht es nicht nur darum, Risiken komplett auszuschließen, sondern sie bestmöglich zu minimieren.

Als Website-Betreiber kannst du sehr viel für mehr Sicherheit tun – auch ohne technisches Fachwissen.

Deshalb habe ich diese praktische Checkliste mit konkreten Schritten zusammengestellt, die dir helfen, deine Website vor Sicherheitslücken zu schützen.

Warum WordPress Security so wichtig ist

Eine gehackte WordPress-Seite kann deinem Geschäft schweren Schaden zufügen – sowohl finanziell als auch was deinen Ruf betrifft.

Cyberkriminelle könnten sich unbefugten Zugang zu Benutzerdaten und Zugangscodes verschaffen, gefährliche Programme einschleusen und im schlimmsten Szenario sogar schädliche Software an die Besucher deiner Website weiterleiten.

Eine besonders bedrohliche Situation entsteht, wenn Erpresser deine digitale Präsenz übernehmen und du gezwungen bist, ein Lösegeld zu entrichten, nur um die Kontrolle über deine eigene Website zurückzuerlangen.

Täglich alarmiert Google zwischen 12 und 14 Millionen Internetnutzer bezüglich potenziell gefährlicher Webseiten, die sie aufrufen möchten und die möglicherweise mit Schadsoftware infiziert sind oder unbefugt Daten abgreifen könnten.

Parallel dazu werden etwa 10.000 Webauftritte pro Tag von Google auf eine Sperrliste gesetzt, weil sie durch Malware oder Phishing-Aktivitäten aufgefallen sind.

Vergleichbar mit Inhabern physischer Geschäftsräume, die Sicherheitsmaßnahmen für ihr Eigentum treffen müssen, solltest du als digitaler Unternehmer der Absicherung deiner WordPress-Installation besondere Priorität einräumen.

Wie man die WordPress Sicherheit verbessert

Halte WordPress immer aktuell

WordPress funktioniert als quelloffene Plattform mit kontinuierlicher Wartung und regelmäßigen Aktualisierungen.

Während das System kleinere Updates selbstständig durchführt, erfordern umfangreichere Versionssprünge deine manuelle Bestätigung.

Die WordPress-Umgebung bietet Zugriff auf eine Vielzahl von Erweiterungen und Designvorlagen, die von unterschiedlichen Entwicklerteams betreut werden.

Diese stellen in regelmäßigen Abständen wichtige Sicherheits- und Funktionsupdates bereit.

Diese fortlaufenden Aktualisierungen spielen eine zentrale Rolle für den sicheren und reibungslosen Betrieb deiner WordPress-Installation.

Es ist daher unerlässlich, dass du sowohl die Kernplattform als auch sämtliche installierte Erweiterungen und dein gewähltes Theme stets aktuell hältst.

Nutze starke Passwörter und durchdachte Benutzerrechte

Die meisten Hacker versuchen es mit gestohlenen Passwörtern. Du kannst es ihnen schwer machen, indem Du einzigartige, sichere Passwörter verwendest.

Denk auch an sichere Passwörter für den WordPress-Admin-Bereich, FTP-Zugänge, Datenbanken, dein Hosting-Konto und E-Mail-Adressen mit deiner Domain.

Ich weiß, dass viele keine komplizierten Passwörter mögen, weil sie schwer zu merken sind.

Das Gute ist: Du musst sie dir gar nicht merken! Nutze einfach einen Passwort-Manager.

Vergib Admin-Rechte nur, wenn es wirklich nötig ist. Bei einem größeren Team oder Gastautoren solltest du dich vorher gut mit den verschiedenen Benutzerrollen und -rechten in WordPress vertraut machen.

Die entscheidende Bedeutung des WordPress-Hostings

Dein Webhoster nimmt eine entscheidende Position im Sicherheitskonzept deiner WordPress-Präsenz ein.

Renommierte Anbieter im Bereich des geteilten Hostings wie Hostinger, Bluehost oder SiteGround implementieren zusätzliche Sicherheitsebenen zum Schutz ihrer Serverinfrastruktur:

Diese Unternehmen führen eine permanente 24-Stunden-Überwachung ihrer Netzwerke durch, um verdächtige Aktivitätsmuster frühzeitig zu erkennen.

Hier die Liste der besten WordPress Hosting Anbieter.

Zudem setzen alle qualitativ hochwertigen Hosting-Dienste spezielle Abwehrmechanismen gegen DDoS-Angriffe ein, um die Verfügbarkeit deiner Webseite auch bei koordinierten Attacken sicherzustellen.

Sie halten ihre Server-Software, PHP-Versionen und Hardware aktuell, damit Hacker keine bekannten Sicherheitslücken ausnutzen können. Für den Notfall haben sie Pläne parat, um deine Daten zu schützen.

Bei einem Shared-Hosting-Paket nutzt du gemeinsame Serverkapazitäten mit anderen Websitebetreibern.

Dies bringt ein spezifisches Risiko mit sich, das als „Cross-Site-Contamination“ bekannt ist: Cyberkriminelle könnten potenziell eine benachbarte Website als Einfallstor nutzen, um von dort aus einen seitlichen Angriff auf deinen Webauftritt zu starten.

Managed WordPress-Hosting bietet dir dagegen eine sicherere Plattform.

Diese Anbieter kümmern sich um automatische Backups, WordPress-Updates und erweiterte Sicherheitseinstellungen.

Ich empfehle dir SiteGround als Managed-WordPress-Hoster. Sie bieten schnellen Support, leistungsstarke Server und hohe Zuverlässigkeit.

WordPress-Sicherheit leicht gemacht (ohne Programmierung)

Ich weiß, dass das Thema WordPress-Sicherheit für Anfänger erst einmal abschreckend klingen kann – besonders wenn du nicht technikaffin bist.

Aber keine Sorge: Du bist damit nicht allein!

Ich habe schon vielen WordPress-Nutzern dabei geholfen, ihre Seiten sicherer zu machen. Mit nur wenigen Klicks kannst auch du deine WordPress-Sicherheit deutlich verbessern – ganz ohne Programmierkenntnisse.

Wenn du mit der Maus umgehen kannst, schaffst du das! 😉

Setze als Erstes eine Backup-Lösung ein

Backups sind deine erste Verteidigungslinie gegen Angriffe. Denk daran: Nichts ist zu 100% sicher. Wenn sogar Regierungs-Websites gehackt werden können, dann auch deine.

Mit einem Backup kannst du deine WordPress-Seite schnell wiederherstellen, falls etwas passiert.

Es gibt viele kostenlose und kostenpflichtige Backup-Plugins. Das Wichtigste ist: Speichere regelmäßig komplette Backups an einem externen Ort – nicht auf deinem Hosting-Account.

Ich empfehle Cloud-Dienste wie Amazon, Dropbox[1] oder private Clouds. Je nachdem, wie oft du deine Website aktualisierst, sind tägliche oder Echtzeit-Backups sinnvoll.

Mit Plugins wie Duplicator, UpdraftPlus oder All In One Migration geht das ganz einfach – ohne Programmierung.

Installiere ein zuverlässiges Sicherheits-Plugin

Nach den Backups brauchst du ein System, das alle Aktivitäten auf deiner Website überwacht. Dazu gehören die Überprüfung der Dateien, fehlgeschlagene Login-Versuche und Malware-Scans.

Das kannst du einfach mit einem der besten Sicherheits-Plugins wie Sucuri umsetzen.

Nach der Installation von Sucuri Security siehst du im Dashboard sofort, ob es Probleme mit deinem WordPress-Code gibt.

Geh dann zu den Einstellungen und aktiviere die Härtungsmaßnahmen.

Die Standard-Einstellungen sind bereits für die meisten ausreichend.

Diese Maßnahmen schützen die wichtigsten Angriffspunkte für Hacker.

Bei den E-Mail-Benachrichtigungen empfehle ich dir, nur die wichtigsten Aktionen zu aktivieren – zum Beispiel Plugin-Änderungen und neue Benutzer-Registrierungen.

Aktiviere eine Web Application Firewall (WAF)

Eine Website-Firewall ist der einfachste Weg, deine Seite zu schützen. Sie blockiert schädlichen Traffic, bevor er deine Website erreicht.

Eine DNS-Firewall leitet deinen Traffic über Cloud-Server und lässt nur echte Besucher durch. Eine Anwendungs-Firewall prüft den Traffic erst auf deinem Server – das ist weniger effizient.

Ich habe jahrelang Sucuri genutzt und empfehle es als eine der besten Firewalls für WordPress. Inzwischen nutze ich Cloudflare, weil ich ein größeres CDN-Netzwerk brauche.

Das Beste an Sucuris Firewall: Sie garantieren die Bereinigung von Malware und die Entfernung von Blacklists. Wenn du trotz ihrer Firewall gehackt wirst, reparieren sie deine Website kostenlos – egal wie groß sie ist.

Dies stellt eine bemerkenswerte Zusicherung dar, da die Wiederherstellung kompromittierter Webseiten mit erheblichen Kosten verbunden ist.

Professionelle Sicherheitsexperten berechnen häufig Stundensätze von mehr als 250€ für ihre Dienste. Im Vergleich dazu erscheint das vollständige Sucuri-Sicherheitspaket mit jährlichen Kosten von lediglich 199€ als äußerst wirtschaftliche Präventivmaßnahme.

Stelle deine WordPress-Seite auf SSL/HTTPS um

SSL verschlüsselt die Datenübertragung zwischen deiner Website und dem Browser der Besucher. So wird es schwieriger, sensible Informationen abzufangen.

Nach der SSL-Aktivierung nutzt deine Website HTTPS statt HTTP. Du erkennst das am Schloss-Symbol neben der Adresse im Browser.

SSL-Zertifikate werden von Zertifizierungsstellen ausgestellt und kosten normalerweise zwischen 80€ und mehreren hundert Euro pro Jahr. Wegen dieser Kosten haben früher viele Website-Betreiber auf SSL verzichtet.

Die Non-Profit-Organisation Let’s Encrypt stellt daher kostenfreie SSL-Zertifikate zur Verfügung. Diese Initiative erhält finanzielle Unterstützung von führenden Technologieunternehmen wie Google Chrome, Facebook, Mozilla und zahlreichen weiteren Konzernen.

Heute ist es einfacher denn je, SSL für WordPress zu nutzen.

Viele Hoster bieten dir ein kostenloses SSL-Zertifikat an. Falls nicht, kannst du bei Domain.com ein Zertifikat kaufen. Sie haben die besten und zuverlässigsten SSL-Angebote mit 10.000€ Sicherheitsgarantie und Vertrauenssiegel.

WordPress-Sicherheit Selbstgemacht

Mit den bisherigen Schritten hast du schon viel für deine Sicherheit getan. Aber es gibt noch mehr Möglichkeiten, deine WordPress-Installation abzusichern. Beachte, dass dafür teilweise Programmierkenntnisse nötig sind.

Ändere den Standard-Admin-Benutzernamen

Früher war der Standard-Admin-Name „admin“.

Da Benutzernamen die Hälfte der Login-Daten ausmachen, machte das Brute-Force-Angriffe leichter.

Zum Glück wurde das geändert: Jetzt musst du bei der WordPress-Installation einen eigenen Benutzernamen wählen. Allerdings nutzen manche 1-Klick-Installer immer noch „admin“ als Standard. In dem Fall solltest du über einen Hosting-Wechsel nachdenken.

Da WordPress keine direkte Änderung des Benutzernamens erlaubt, gibt es drei Möglichkeiten:

1. Erstelle einen neuen Admin-Account und lösche den alten
2. Nutze das Plugin „Username Changer“
3. Ändere den Namen in phpMyAdmin

Deaktiviere die Datei-Bearbeitung

WordPress hat einen eingebauten Code-Editor für Theme- und Plugin-Dateien im Admin-Bereich. In falschen Händen kann das riskant sein.

Ich empfehle dir, ihn zu deaktivieren.

Füge dafür folgenden Code in deine wp-config.php ein oder nutze ein Code-Snippet-Plugin wie WPCode:

// Deaktiviert die Dateibearbeitung
define( 'DISALLOW_FILE_EDIT', true );

Als Alternative kannst du diese Absicherung mit nur einem einzigen Klick über die integrierte Härtungsfunktion im gebührenfreien Sucuri-Plugin vornehmen.

Stell die PHP-Ausführung in bestimmten WordPress-Ordnern ab

Eine weitere Sicherheitsmaßnahme ist die Deaktivierung der PHP-Ausführung in Ordnern, wo sie nicht gebraucht wird – zum Beispiel in „/wp-content/uploads/“.

Erstelle dafür eine neue Datei mit diesem Code:

<Files *.php>
deny from all
</Files>

Speichere die Datei als „.htaccess“ und lade sie per FTP in den „/wp-content/uploads/“-Ordner deiner Website.

Mit dem Sucuri-Plugin geht das auch mit einem Klick.

Begrenze Login-Versuche

Standardmäßig erlaubt WordPress unbegrenzte Login-Versuche. Das macht deine Seite anfällig für Brute-Force-Angriffe, bei denen Hacker verschiedene Passwort-Kombinationen durchprobieren.

Mit einer Web-Application Firewall ist das automatisch abgesichert. Alternativ kannst du das Plugin „Limit Login Attempts Reloaded“ nutzen.

Nach der Aktivierung begrenzt es die möglichen Login-Versuche.

Die Standard-Einstellungen geben dir einen guten Ausgangspunkt vor. Unter „Einstellungen » Limit Login Attempts“ kannst du sie anpassen – zum Beispiel die DSGVO-Konformität aktivieren.

Aktiviere Zwei-Faktor-Authentifizierung (2FA)

Bei der Zwei-Faktor-Authentifizierung benötigst du zwei Schritte zum Einloggen:

1. Benutzername und Passwort
2. Einen Code von einem Gerät, das nur du besitzt – meist dein Smartphone

Große Websites wie Google, Facebook und Twitter nutzen 2FA. Mit dem Plugin „WP 2FA“ kannst auch du das für deine WordPress-Seite einrichten.

Nach der Installation führt dich ein Assistent durch die Einrichtung und zeigt dir einen QR-Code. Den scannst du mit einer Authenticator-App wie Google Authenticator, Authy oder LastPass Authenticator.

Ich empfehle LastPass Authenticator oder Authy, weil sie deine Accounts in der Cloud sichern. Falls du dein Handy verlierst oder ein neues kaufst, sind deine Zugangsdaten nicht weg.

Die Apps funktionieren ähnlich: Du tippst auf „+“ oder „Account hinzufügen“ und scannst den QR-Code mit der Handy-Kamera. Beim nächsten Login gibst du nach dem Passwort den Code aus der App ein.

WordPress-Datenbank-Präfix anpassen

Standardmäßig verwendet WordPress „wp_“ als Präfix für alle Datenbank-Tabellen. Das erleichtert es Hackern, die Tabellennamen zu erraten. Deshalb würde ich dir raten, das Präfix mal zu wechseln.

Achtung: Wenn du dabei einen Fehler machst, kann deine Website kaputt gehen. Mach das nur, wenn du dich mit Datenbanken auskennst.

Schütze WordPress-Admin und Login-Seite mit Passwort

Standardmäßig haben potenzielle Angreifer unbegrenzten Zugriff auf deinen wp-admin-Bereich und die Anmeldeoberfläche deiner Website.

Mit einem zusätzlichen Passwortschutz auf Server-Ebene blockierst du solche Zugriffe effektiv.

Deaktiviere Verzeichnis-Indexierung

Wenn du die Adresse eines Website-Ordners im Browser aufrufst, wird normalerweise die index.html angezeigt. Gibt es die nicht, siehst du stattdessen eine Liste aller Dateien im Ordner – das nennt man Verzeichnis-Indexierung.

Hacker können so nach bekannten Schwachstellen suchen. Andere können deine Bilder kopieren und die Verzeichnisstruktur ausspionieren. Deshalb solltest du die Verzeichnis-Indexierung ausschalten.

Füge dazu in der .htaccess-Datei im Hauptverzeichnis diese Zeile ein:

Options -Indexes

Deaktiviere XML-RPC

XML-RPC ist eine WordPress-Schnittstelle für Web- und Mobile-Apps. Seit WordPress 3.5 ist sie standardmäßig aktiv.

Leider können Hacker damit Brute-Force-Angriffe verstärken: Statt 500 einzelner Login-Versuche können sie mit wenigen XML-RPC-Anfragen tausende Passwörter ausprobieren.

Wenn du XML-RPC nicht benötigst, schalte es am besten ab.

Mit einer Web Application Firewall ist das automatisch erledigt.

Automatische Abmeldung inaktiver Nutzer

Eingeloggte Nutzer vergessen manchmal, sich abzumelden.

Das ist riskant: Jemand könnte ihre Sitzung kapern und Änderungen vornehmen.

Mit dem Plugin „Inactive Logout“ kannst du inaktive Nutzer automatisch abmelden – wie bei Banking-Websites. Stelle einfach die gewünschte Zeit ein und speichere die Einstellungen.

Füge Sicherheitsfragen zum WordPress-Login hinzu 

Mit zusätzlichen Sicherheitsfragen beim Login wird der unbefugte Zugriff noch schwieriger. Das „Two Factor Authentication“ Plugin bietet diese Funktion.

Nach der Installation kannst du unter „Multi-factor Authentication » Two Factor“ verschiedene Zwei-Faktor-Methoden einrichten, auch Sicherheitsfragen.

Check WordPress auf Viren und Sicherheitslücken

Ein gutes Sicherheits-Plugin prüft deine Seite regelmäßig auf Malware und Sicherheitslücken. Bei plötzlichen Einbrüchen im Traffic oder Ranking solltest du einen manuellen Scan durchführen – entweder mit deinem Plugin oder einem Online-Scanner.

Die Online-Scans sind einfach: Du gibst deine Website-URL ein und der Scanner sucht nach bekannter Malware und schädlichem Code.

Beachte aber: Die meisten Scanner können Malware nur finden, nicht entfernen.

Repariere eine gehackte WordPress-Seite

Viele WordPress-Nutzer erkennen die Wichtigkeit von Backups und Sicherheit erst, wenn es zu spät ist. Hacker hinterlassen oft Hintertüren. Werden die nicht richtig beseitigt, wird deine Seite wahrscheinlich wieder gehackt.

Für Technik-Versierte gibt es Anleitungen zur Selbsthilfe. Aber die Bereinigung ist schwierig und zeitaufwendig. Ich rate dir, einen Profi damit zu beauftragen.

Mit dem Sucuri-Plugin ist die Reparatur bereits im Preis enthalten. Es gibt auch spezialisierte Dienste, die gehackte Seiten säubern. Diese:
– Finden und entfernen schädlichen Code
– Aktualisieren Software und Sicherheit
– Erstellen ein sauberes Backup
– Bieten meist eine Geld-zurück-Garantie
– Schützen deine Seite auch nach der Reparatur

Diese Dienste kosten etwa 250€ – gut investiertes Geld für deine Sicherheit.

Profi-Tipp: Nutze einen WordPress-Wartungsservice

Als viel beschäftigter Unternehmer hast du vielleicht keine Zeit, dich ständig um die Sicherheit deiner Website zu kümmern. Ein WordPress-Wartungsservice übernimmt das rund um die Uhr für dich.

Gute Wartungsdienste bieten dir:
– Kontinuierliche Sicherheitsüberwachung
– Regelmäßige Cloud-Backups
– WordPress-Updates
– Verfügbarkeits-Monitoring
– Technischen Support

Wähle einfach ein passendes monatliches Paket und konzentriere dich auf dein Kerngeschäft. Melde dich gern bei mir und ich kümmere mich um deine Website.

Häufige Fragen zur WordPress Sicherheit