1. Einführung: Wie sicher ist WordPress wirklich

Wenn Sie morgens Ihre WordPress-Seite öffnen, denken Sie an Sicherheit — oder an Umsatz? Die meisten KMU-Betreiber denken an Umsatz, also bringt die Website den Geschäftsnutzen, dass kann ich vollkommen nachvollziehen. Die Hacker hingegen denken an Ihre Site als ihr potenzielles Asset. Laut WordPress.org läuft mehr als 43 Prozent des Internets auf WordPress — und das macht das CMS automatisch zum lohnenden Ziel. Eine einzige veraltete Plugin-Version reicht, damit ein automatisierter Bot Ihre WordPress-Seite in Sekunden ausnutzen kann.

Und genau das ist die gute Nachricht.

Weil 90 Prozent aller erfolgreichen Angriffe auf bekannte Schwachstellen zielen, lassen sich 90 Prozent aller Angriffe verhindern – wenn Sie Ihre WordPress-Website konsequent absichern. Genau dafür gibt es das sogenannte „Website-Hardening„: gezielte Sicherheitsmaßnahmen, mit denen Sie Ihre WordPress-Installation so härten (sicher machen), dass automatisierte Angriffe ins Leere laufen. Dieser Beitrag liefert die neun wichtigsten – sortiert nach Wirkung pro Aufwand, mit konkreten Sofort-Actions.

Stellen Sie sich WordPress wie ein Mehrfamilienhaus vor. WordPress als CMS liefert das stabile Gebäude. Sie als Mieter sind für Türschloss, Fenster und Wertsachen verantwortlich. Ein gutes Schloss kostet 20 Minuten — ein Einbruch das Zehnfache an Aufwand und Reputation. Mehr zur Notfallreaktion bei einem Einbruch finden Sie in unserem Leitfaden WordPress gehackt — Soforthilfe; zur laufenden Pflege im Beitrag Website WordPress Wartung.

Eine Wand mit der Aufschrift "Plugin v3.2.1 - veraltet" bekommt Risse, als ein Schwarm Käfer dagegen drückt.

2. Maßnahme 1: WordPress, Plugins und Themes konsequent aktualisieren

Kennen Sie das? Sie öffnen das Dashboard, sehen rote Update-Hinweise, denken „erstmal später“ — und vergessen es. Genau das ist das häufigste Einfallstor. Der Sucuri Hacked Website Report formuliert seit Jahren die gleiche Botschaft: „Die überwiegende Mehrheit kompromittierter WordPress-Sites zeigte zum Zeitpunkt des Angriffs eine veraltete, anfällige Komponente — nicht einen Zero-Day-Exploit.“

Das heißt im Klartext: Die meisten Hacker brauchen kein Genie sein. Sie brauchen nur, verschobene Updates.

Konkret: WordPress-Core, Plugins und Themes immer auf dem neuesten Stand halten. Kleine Sicherheitsupdates lassen sich automatisch einspielen, größere Versionssprünge über eine Staging-Umgebung testen, bevor sie live gehen. Wer keine Staging-Umgebung hat: Backup vor jedem Update ist Pflicht. Auch die BSI-Empfehlungen für Webserver nennen regelmäßige Aktualisierung als Mindeststandard für KMU. Sicherheitslücken in WordPress-Plugins werden meist innerhalb von Stunden nach Bekanntwerden ausgenutzt — wer einen Tag wartet, ist häufig schon zu spät.

3. Maßnahme 2: Plugins und Themes radikal reduzieren

WordPress.org listet aktuell über 60.000 kostenlose Plugins. Das klingt verlockend — und ist gefährlich. Jedes Plugin ist eine zusätzliche Angriffsfläche. Jedes Theme auch.

Hier ist der eigentliche Haken: Auch deaktivierte Plugins können Sicherheitslücken enthalten und ausgenutzt werden. Was Sie nicht nutzen, gehört nicht nur deaktiviert, sondern gelöscht. Genauso ungenutzte Themes — bis auf das aktive und ein Standard-Theme (z.B. Twenty Twenty-Four) als Fallback alles raus.

Plugin-Audit alle 3 Monate: Welche Plugins werden wirklich gebraucht? Welche wurden seit über 12 Monaten nicht mehr vom Entwickler aktualisiert?
Faustregel: Wenn ein Plugin auf wordpress.org seit über einem Jahr keine Aktualisierung mehr hatte, weg damit oder durch aktive Alternative ersetzen.
Themes und Plugins nur aus vertrauenswürdigen Quellen: Offizielles Repository oder bezahlte Premium-Anbieter mit nachvollziehbarem Support — niemals geknackte „Nulled Plugins“.

Plugin-Hygiene ist wie Aufräumen im Keller: Was Sie zwei Jahre nicht gebraucht haben, brauchen Sie auch nächstes Jahr nicht. Aber die Spinnweben werden zur Brandlast (somehow).

4. Maßnahme 3: Login-Bereich härten — Passwort, Benutzername, 2FA

Der Login-Bereich ist die Haustür Ihrer WordPress-Installation. Drei Schwachstellen treten dort fast immer auf — und alle drei sind in 15 Minuten behoben.

4.1 Sichere Passwörter — mindestens 16 Zeichen, immer einzigartig

Ein sicheres Passwort hat mindestens 16 Zeichen, kombiniert Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen — und wird nirgendwo sonst verwendet. Punkt. Das deutsche BSI empfiehlt für moderne Konten genau diese Länge. Ein Passwort-Manager wie 1Password, Bitwarden oder KeePass macht das schmerzfrei.

4.2 Benutzername — niemals „admin“

Brute-Force-Bots testen zuerst die Standard-Benutzernamen: admin, administrator, root, der Domainname. Wenn Ihr WordPress-Nutzer einen dieser Benutzernamen hat, kennt der Angreifer schon die Hälfte der Zugangsdaten. Nutzen Sie stattdessen einen komplexen Benutzername, der nichts mit Ihrem Namen oder Ihrer Marke zu tun hat.

4.3 Zwei-Faktor-Authentifizierung (2FA) — die wirkungsvollste Einzelmaßnahme

Auch ein gestohlenes Passwort hilft Angreifern nicht, wenn der zweite Faktor fehlt. Plugins wie WP 2FA oder Two Factor Authentication aktivieren das in Minuten. Ein einfacher TOTP-Code aus der Authenticator-App reicht — bei privilegierten Konten ein Hardware-Key wie YubiKey. Diese eine Maßnahme blockiert die mit Abstand häufigsten Angriffsmuster bei WordPress.

5. Maßnahme 4: Login-Versuche limitieren und Backend-URL ändern

Standard ist Standard. Jeder Angreifer weiß, dass Ihre Login-Seite unter `/wp-admin` oder `/wp-login.php` erreichbar ist. Genau dorthin werden Brute-Force-Bots geschickt — manchmal tausend Anmeldeversuche pro Stunde gegen eine einzige WordPress-Website.

Zwei Gegenmaßnahmen, in Reihe geschaltet:

Login-Versuche limitieren: Plugins wie Limit Login Attempts Reloaded sperren eine IP nach 3-5 fehlerhaften Anmeldeversuchen für 24 Stunden. Bots geben auf.
Backend-URL verschieben: Statt `/wp-admin` etwas individuelles wie `/control-room-7a3`. Plugins wie WPS Hide Login machen das in einer Minute. Standardisierte Angriffe laufen ins Leere — sie finden die Tür schlicht nicht.

Beide Maßnahmen zusammen reduzieren die Last automatisierter Brute-Force-Angriffe deutlich. Sie sind nicht der einzige Schutz, aber ein wirksamer erster Filter.

6. Maßnahme 5: WordPress auf HTTPS umstellen — SSL-Zertifikat ist Pflicht

Ohne SSL-Zertifikat wandern Ihre Login-Daten unverschlüsselt durchs Netz. Jeder im selben Café-WLAN kann mitlesen. Außerdem markiert Google Sites ohne HTTPS seit Jahren als „unsicher“, was Vertrauen und Ranking gleichermaßen kostet.

Die meisten Hosting-Anbieter bieten kostenlose Let’s-Encrypt-Zertifikate mit einem Klick. Aktivieren Sie es, erzwingen Sie eine 301-Weiterleitung von HTTP auf HTTPS, prüfen Sie die WordPress-Adresse im Backend (Einstellungen → Allgemein muss auf `https://` umgestellt sein). Drei Schritte, fünfzehn Minuten — und Sie schließen eine der peinlichsten Lücken aus.

WordPress härten lassen — als Festpreis aus Göttingen

Alle 9 Hardening-Maßnahmen werden konkret auf Ihrer Site umgesetzt
2FA-Setup, WAF-Konfiguration, Backup-Strategie, Monitoring inklusive
Persönlicher Ansprechpartner, keine Ticket-Nummer im Helpdesk
Über 20 Jahre WordPress-Erfahrung, inhabergeführt aus Göttingen, Niedersachsen

Sicherheits-Check anfragen

7. Maßnahme 6: Backups, die wirklich funktionieren

Ein Backup, das niemand je getestet hat, ist kein Backup — sondern ein Versprechen. Im Hardening-Kontext sind regelmäßige Backups die Lebensversicherung gegen alles, was die anderen acht Maßnahmen nicht abfangen.

Drei Regeln, die zusammen das nötige Sicherheitsnetz bilden:

Täglich automatisiert: Dateien und Datenbank, jeweils getrennt. Plugins wie UpdraftPlus oder All-in-One WP Migration funktionieren — oder besser direkt über den Hoster.
Speicherort außerhalb des Hostings: EU-Cloud (z.B. OneDrive, Hetzner Storage Box, IONOS Object Storage). Wenn der Hoster betroffen ist und das Backup liegt dort, sind beide weg.
Wiederherstellungs-Test mindestens quartalsweise: Backup auf einer Staging-Umgebung zurückspielen, prüfen ob die Site läuft. Wenn nicht: Backup-Strategie reparieren, bevor es zum Ernstfall kommt.

Mehr zur kontinuierlichen Pflege inklusive Backup-Routine finden Sie in unserem Beitrag zur Website WordPress Wartung.

8. Maßnahme 7: Web Application Firewall und Monitoring

Eine Web Application Firewall (WAF) sitzt vor Ihrer WordPress-Installation und filtert bösartige Anfragen, bevor sie überhaupt ankommen. Sie blockiert SQL-Injection-Versuche, XSS-Angriffe und bekannte Exploit-Muster automatisiert. Plus: Sicherheits-Plugins wie Wordfence oder Patchstack scannen Ihre WordPress-Seiten kontinuierlich auf Malware-Signaturen und melden Sicherheitsrisiken.

Drei Optionen, von leicht zu mittel:

Cloudflare (kostenlos bis solide WAF-Funktionen): sitzt vor Ihrer Site und filtert auf DNS-Ebene. Schnell eingerichtet, mit moderner Bot-Erkennung (das setzen wir regelmäßig bei uns ein!).
Wordfence (Plugin): klassische WAF + Security-Scan kombiniert. Kostenlose Version reicht für die meisten KMU; Premium für Unternehmen mit höherem Risiko.
Patchstack (Plugin): fokussiert auf Schwachstellen-Monitoring der installierten Plugins und Themes. Patcht teilweise virtuell, bevor offizielle Sicherheitsupdates verfügbar sind.

Eine gute WAF ist wie ein Türsteher vor einem Club. Sie filtert die meisten Provokateure schon im Hofbereich aus — bevor sie überhaupt die Treppe hochkommen.

9. Maßnahme 8: Sicheres Hosting und aktuelle PHP-Version

Sicherheit beginnt schon eine Ebene unter WordPress — beim Hoster. Ein billiger Shared-Hoster, der seit drei Jahren auf PHP 7.4 sitzt (offiziell nicht mehr supported), gefährdet selbst die best gehärtete Installation. PHP ist die Skriptsprache, auf der WordPress läuft — alte PHP-Versionen sind ungepatchte Angriffsfläche.

Worauf Sie beim Hosting-Anbieter achten sollten:

PHP-Version: mindestens PHP 8.2 oder neuer. Aktuelle Versionsliste auf php.net.
Getrennte Datenbank-User pro Site: Wenn ein Kunde gehackt wird, kommt der Angreifer nicht automatisch an Ihre Datenbank.
SFTP statt FTP: Unverschlüsseltes FTP ist 2026 inakzeptabel.
Tägliche Server-seitige Backups: zusätzlich zu Ihren WordPress-Backups, vom Hoster betrieben.

So sieht es aus: Wer beim Hoster spart, zahlt beim Vorfall mehrfach. Ein professioneller Managed-WordPress-Hoster kostet 15 bis 50 Euro monatlich — und liefert PHP-Updates, Server-Sicherheit und 24/7-Monitoring inklusive.

Eine große Tresortür ist geöffnet und gibt den Blick auf einen Raum mit Regalen frei. Der Schließmechanismus der Tresortür zeigt Sicherheitsbegriffe wie SSL, Backup und 2FA an.

10. Maßnahme 9: Dateirechte und wp-config absichern

Die `wp-config.php` enthält die Datenbank-Zugangsdaten Ihrer WordPress-Installation. Wenn ein Angreifer diese Datei lesen kann, ist der Rest nur noch Formsache. Trotzdem haben viele Installationen falsche Dateirechte — die wp-config.php ist oft world-readable (644 statt 600 oder 640).

Drei Maßnahmen auf Datei-Ebene:

wp-config.php auf Mode 600 setzen: Nur der Eigentümer darf lesen. Plus: WordPress-Keys & Salts neu generieren (über den WordPress.org Secret-Key-Generator).
Datenbank-Präfix ändern: Standard ist `wp_`. Ein eigener Präfix wie `kskmu_2026_` erschwert standardisierte SQL-Injection-Angriffe.
Hinweise auf WordPress-Version entfernen: Standardmäßig steht im Quelltext jeder Seite die WP-Version. Angreifer suchen gezielt nach veralteten Versionen. Plugins wie Disable XML-RPC oder direkte functions.php-Anpassungen blenden das aus.

Diese Maßnahmen wirken nicht für sich allein dramatisch — aber sie schließen genau die Spalten, durch die automatisierte Angriffe normalerweise reinkommen. Defense in Depth heißt das Prinzip: Mehrere kleine Schichten zusammen ergeben den robusten Gesamtschutz.

11. Fazit: Der Endzustand, den eine gehärtete WordPress-Website verdient

Stellen Sie sich vor: Es ist Donnerstag, 9 Uhr. Sie öffnen Ihren Laptop. Auf der Wordfence-Übersichtsseite stehen 248 blockierte Anmeldeversuche aus der letzten Nacht — keiner davon erfolgreich. Die SSL-Plakette ist grün. Die letzten Plugin-Updates wurden gestern automatisch über Staging eingespielt, ohne dass die Seite eine Sekunde offline war. Das Wartungs-Report-Mail liegt unten im Postfach. Sie schließen den Browser.

Und gehen Ihrem Kerngeschäft nach.

Das ist das Versprechen von gut umgesetztem WordPress-Hardening. Die neun Maßnahmen in diesem Beitrag sind in der richtigen Reihenfolge gelistet: Wer mit Maßnahme 1 (Updates) und Maßnahme 3 (Login-Härtung) anfängt, eliminiert bereits die häufigsten Risiken. Maßnahmen 5 bis 9 bauen das Sicherheitsnetz weiter aus. Wenn Sie ehrlich sind, wissen Sie längst, an welchen Punkten Ihre Site noch nicht steht. Mehr zur professionellen Umsetzung finden Sie in unserer Erstberatung zur Homepage-Erstellung und -Pflege.

12. Anhang: Schnellcheck — Ihre WordPress-Site in 5 Minuten

Maßnahme	Aufwand	Wirkung	Status (Ihr Stand)
1. WordPress, Plugins, Themes aktuell	5 Min/Woche	Sehr hoch	☐
2. Plugin-Hygiene (Audit alle 3 Mon)	15 Min/Quartal	Hoch	☐
3. Sichere Passwörter + 2FA	15 Min einmalig	Sehr hoch	☐
4. Login limitieren + Backend-URL verschieben	10 Min einmalig	Mittel	☐
5. HTTPS / SSL-Zertifikat aktiv	15 Min einmalig	Hoch	☐
6. Tägliche Backups + Wiederherstellungs-Test	30 Min initial, 5 Min/Quartal	Sehr hoch	☐
7. WAF + Monitoring (Wordfence/Cloudflare)	30 Min initial	Hoch	☐
8. Sicheres Hosting + PHP 8.2+	Bei Vertrag-Abschluss	Mittel-Hoch	☐
9. Dateirechte + wp-config + Salts	20 Min einmalig	Mittel	☐

Kontakt aufnehmen

Sie möchten Ihre WordPress-Site auf Sicherheitslücken prüfen und gezielt härten lassen? Schreiben Sie uns — wir melden uns innerhalb von 24 Stunden mit einer konkreten Einschätzung:

Häufige Fragen zur WordPress Sicherheit

WordPress selbst ist als CMS solide und wird vom Sicherheits-Team aktiv gewartet. Unsicher wird eine WordPress-Website meist erst durch das, was rund um den Core läuft: veraltete Plugins und Themes, schwache Passwörter, ungesichertes Login. Wenn Sie die neun Hardening-Maßnahmen umsetzen, ist eine WordPress-Site mindestens so sicher wie jedes andere CMS.

Die größten Sicherheitsrisiken sind: veraltete Plugins und Themes mit bekannten Sicherheitslücken, schwache Passwörter ohne Zwei-Faktor-Authentifizierung, fehlende Backups, unverschlüsseltes HTTP statt HTTPS und unsicheres Hosting mit veralteter PHP-Version.

Die wirkungsvollste Reihenfolge: WordPress, Plugins und Themes regelmässig aktualisieren — sichere Passwörter und Zwei-Faktor-Authentifizierung aktivieren — HTTPS erzwingen — tägliche Backups mit externer Speicherung einrichten — Web Application Firewall (Wordfence, Cloudflare oder Patchstack) installieren. Wer diese fünf Punkte umsetzt, eliminiert die häufigsten Angriffsmuster.

Empfehlenswerte Sicherheits-Plugins sind Wordfence (klassische WAF + Scan), Patchstack (Schwachstellen-Monitoring), Limit Login Attempts Reloaded (Brute-Force-Schutz), WPS Hide Login (Backend-URL verschieben) und WP 2FA für Zwei-Faktor-Authentifizierung. Wichtig: nicht alle gleichzeitig — sie können sich gegenseitig blockieren.

Ein sicheres WordPress-Passwort hat mindestens 16 Zeichen, kombiniert Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen und wird nirgendwo sonst verwendet. Das BSI empfiehlt diese Länge für moderne Konten. Ein Passwort-Manager wie Bitwarden oder 1Password ist die einzige praktikable Lösung.

Löschen — niemals nur deaktivieren. Auch deaktivierte Plugins und Themes liegen weiterhin auf dem Server und können Sicherheitslücken enthalten, die ausgenutzt werden. Eine Ausnahme ist ein Standard-Theme als Fallback (z.B. Twenty Twenty-Four), das im Notfall aktiviert werden kann.

Weil die meisten Angriffe automatisiert ablaufen. Bots suchen das gesamte Internet nach WordPress-Seiten mit bekannten Schwachstellen ab — unabhängig davon, wie groß oder bekannt die Seite ist. Eine kleine Handwerker-Site mit veraltetem Plugin ist für einen Bot das gleiche Ziel wie ein bekannter Online-Shop. Genau deshalb ist Hardening auch für sehr kleine WordPress-Websites Pflicht.

Disclaimer: Alle genannten Maßnahmen, Tools und Empfehlungen sind Erfahrungswerte aus der Agentur-Praxis und Branchen-Reports (Wordfence, Sucuri, BSI, WordPress.org). Konkrete Sicherheitsentscheidungen hängen von Ihrer individuellen Bedrohungslage ab. Diese Inhalte ersetzen keine fachjuristische oder spezialisierte IT-Sicherheits-Beratung.

WordPress Sicherheit: 9 Hardening Maßnahmen für KMU

1. Einführung: Wie sicher ist WordPress wirklich

2. Maßnahme 1: WordPress, Plugins und Themes konsequent aktualisieren

3. Maßnahme 2: Plugins und Themes radikal reduzieren

4. Maßnahme 3: Login-Bereich härten — Passwort, Benutzername, 2FA

4.1 Sichere Passwörter — mindestens 16 Zeichen, immer einzigartig

4.2 Benutzername — niemals „admin“

4.3 Zwei-Faktor-Authentifizierung (2FA) — die wirkungsvollste Einzelmaßnahme

5. Maßnahme 4: Login-Versuche limitieren und Backend-URL ändern

6. Maßnahme 5: WordPress auf HTTPS umstellen — SSL-Zertifikat ist Pflicht

WordPress härten lassen — als Festpreis aus Göttingen

7. Maßnahme 6: Backups, die wirklich funktionieren

8. Maßnahme 7: Web Application Firewall und Monitoring

9. Maßnahme 8: Sicheres Hosting und aktuelle PHP-Version

10. Maßnahme 9: Dateirechte und wp-config absichern

11. Fazit: Der Endzustand, den eine gehärtete WordPress-Website verdient

12. Anhang: Schnellcheck — Ihre WordPress-Site in 5 Minuten

Kontakt aufnehmen

Häufige Fragen zur WordPress Sicherheit

Internetseite erstellen lassen: Was heute anders ist

Webdesign für Unternehmen: Was eine B2B Website können muss

Coach Website erstellen lassen – die 5 Bausteine einer professionellen Coaching Website, die Klienten klicken lässt

Website erstellen lassen 2026: Worauf Sie jetzt achten müssen

Website für Handwerker erstellen lassen, was Maler, Elektriker und Installateure 2026 brauchen

Website erstellen lassen: Was kostet eine Website? Kosten einer Website professionell kalkuliert

Webdesign, SEO, PR & IT-Lösungen für:

Rechtliches

1. Einführung: Wie sicher ist WordPress wirklich

2. Maßnahme 1: WordPress, Plugins und Themes konsequent aktualisieren

3. Maßnahme 2: Plugins und Themes radikal reduzieren

4. Maßnahme 3: Login-Bereich härten — Passwort, Benutzername, 2FA

4.1 Sichere Passwörter — mindestens 16 Zeichen, immer einzigartig

4.2 Benutzername — niemals „admin“

4.3 Zwei-Faktor-Authentifizierung (2FA) — die wirkungsvollste Einzelmaßnahme

5. Maßnahme 4: Login-Versuche limitieren und Backend-URL ändern

6. Maßnahme 5: WordPress auf HTTPS umstellen — SSL-Zertifikat ist Pflicht

WordPress härten lassen — als Festpreis aus Göttingen

7. Maßnahme 6: Backups, die wirklich funktionieren

8. Maßnahme 7: Web Application Firewall und Monitoring

9. Maßnahme 8: Sicheres Hosting und aktuelle PHP-Version

10. Maßnahme 9: Dateirechte und wp-config absichern

11. Fazit: Der Endzustand, den eine gehärtete WordPress-Website verdient

12. Anhang: Schnellcheck — Ihre WordPress-Site in 5 Minuten

Kontakt aufnehmen

Häufige Fragen zur WordPress Sicherheit

Ähnliche Beiträge

Webdesign, SEO, PR & IT-Lösungen für:

Rechtliches