WordPress sicher machen: Zehn einfache Schritte

Ihr WordPress läuft. Die Website sieht gut aus, die Inhalte sind aktuell — und Sicherheit war bisher kein Thema, weil ja nie etwas passiert ist. Das ist die gefährlichste Ausgangslage, die es gibt. Nicht weil Ihre Website bereits kompromittiert ist. Sondern weil Sie es wahrscheinlich nicht mitbekommen würden, wenn sie es wäre.

WordPress sicher machen ist kein Thema für Technikfreaks. Es ist eine Grundvoraussetzung für jeden, der eine WordPress-Website betreibt — egal ob Selbständiger und Unternehmer, kleines Unternehmen oder großer Konzern. In diesem Artikel zeige ich Ihnen zehn konkrete Schritte, mit denen Sie Ihre Website auf ein sicheres Fundament stellen. Kein Fachchinesisch, keine komplizierte Theorie — sondern das, was wirklich wirkt.

Warum WordPress-Websites angegriffen werden

Bevor wir die Schritte durchgehen, ein kurzer Blick auf die Sachlage — denn die erklärt, warum WordPress Sicherheit so wichtig ist.

WordPress ist nach einer Studie von w3techs mit über 59,6% Marktanteil das meistgenutzte Content-Management-System (CMS) der Welt. Diese Verbreitung macht es attraktiv für automatisierte Angriffe. Hacker schreiben keine individuellen Skripte für einzelne Websites — sie setzen automatisierte Programme ein, die das Internet nach bekannten Schwachstellen scannen. Veraltete Plugin-Versionen, Standard-Benutzernamen, schwache Passwörter, fehlende Sicherheitskonfigurationen — all das wird maschinell gefunden und ausgenutzt.

📝 Definition: Ein Brute-Force-Angriff ist der Versuch, durch massenhaftes automatisches Ausprobieren von Passwörtern Zugang zu einem System zu erlangen. Die Standard-Login-URL von WordPress — /wp-admin — wird täglich mit Tausenden solcher Versuche angegriffen, ohne dass ein Mensch daran aktiv beteiligt ist!

Das bedeutet: Die Frage ist nicht, ob Ihre Website angegriffen wird. Sie wird es — ständig, automatisch, ohne persönliches Interesse an Ihnen. Die Frage ist, ob Ihre Website so sicher ist, dass diese Angriffe scheitern.

⚠️ Wichtig: WordPress sicher machen ist kein einmaliges Projekt. Es ist eine fortlaufende Aufgabe. Die zehn Schritte in diesem Artikel sind Ihr Start- nicht Ihr Endpunkt.

Schritt 1: WordPress, Plugins und Theme immer aktuell halten

Das ist der wichtigste und gleichzeitig am häufigsten vernachlässigte Aspekt, wenn man WordPress sicher machen möchte. Veraltete Software ist die häufigste Ursache gehackter WordPress-Websites.

Jedes Update schließt bekannte Sicherheitslücken. Wenn Sie ein Update nicht einspielen, bleibt die Lücke offen — und ist für automatisierte Angreifer sichtbar, sobald die Schwachstelle öffentlich bekannt wird. Das passiert oft innerhalb von Stunden nach Veröffentlichung eines Sicherheitsupdates.

Was das konkret bedeutet:

✓ WordPress-Kern-Updates: sofort einspielen, sobald verfügbar
✓ Plugin-Updates: mindestens wöchentlich prüfen und einspielen
✓ Theme-Updates: regelmäßig prüfen, auch wenn sich optisch nichts ändert
✓ Vor jedem Update: vollständiges Backup erstellen

💡 Tipp: WordPress bietet die Möglichkeit, Minor-Updates automatisch einzuspielen – was auch sinnvoll ist. Minor Updates sind kleine Aktualisierungen, die ausschließlich Fehler beheben oder Sicherheitslücken schließen. Major-Updates sollten Sie dagegen nur manuell und nach einem Backup einspielen — sie können gelegentlich Kompatibilitätsprobleme mit Plugins verursachen. Major Updates beinhalten große Versionssprünge mit neuen Funktionen, überarbeiteten Features oder grundlegenden Änderungen am System.

Schritt 2: Sichere Passwörter und Benutzernamen verwenden

Das klingt selbstverständlich. Ist es aber nicht — denn „admin“ ist noch immer einer der häufigsten WordPress-Benutzernamen, und „password123“ eines der häufigsten Passwörter. Beides ist für Brute-Force-Angriffe ganz einfach zu knacken. WordPress sicher machen sieht anders aus.

Den Standard-Benutzernamen ändern

WordPress schlägt bei der Installation „admin“ als Benutzernamen vor. Wenn Sie diesen Vorschlag übernommen haben, sollten Sie ihn ändern. Direkt in der WordPress-Datenbank ändern geht — einfacher ist es, einen neuen Benutzer mit Administrator-Rechten und einem individuellen Benutzernamen anzulegen, sich damit einzuloggen und den alten „admin“-Account zu löschen.

Wirklich starke Passwörter verwenden

Ein starkes Passwort für WordPress Sicherheit hat mindestens zwölf Zeichen, enthält Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen — und wird nirgendwo sonst verwendet. WordPress generiert beim Anlegen von Benutzerkonten automatisch starke Passwörter. Nutzen Sie diese Funktion.

Verwenden Sie einen Passwort-Manager wie Proton Pass oder 1Password. So müssen Sie sich starke Passwörter nicht merken — haben sie aber trotzdem immer parat.

🧩 Beispiel: Eine Webdesignerin übernimmt die Website eines Kunden zur Wartung und findet folgendes: Benutzername „admin“, Passwort „firma2019“, kein SSL, 15 ausstehende Plugin-Updates. Die Website ist zum Zeitpunkt der Übergabe bereits mit Malware infiziert — ohne dass der Kunde es bemerkt hat. Die Bereinigung kostet am Ende mehr als ein Jahr Wartungsvertrag.

Schritt 3: Zwei-Faktor-Authentifizierung aktivieren

📝 Definition: Eine Zwei-Faktor-Authentifizierung (2FA) fügt dem Login-Prozess eine zweite Sicherheitsebene hinzu. Neben Benutzername und Passwort wird ein zweiter Code abgefragt — meistens ein zeitbasierter Einmalcode, der auf Ihrem Smartphone generiert wird. Selbst wenn ein Angreifer Ihr Passwort kennt, kommt er ohne den zweiten Faktor nicht rein – das ist WordPress sicher machen mit einfachen Mitteln.

Für WordPress gibt es mehrere Plugins, die eine 2FA einfach einrichten: Zum Beispiel bieten WP 2FA, Google Authenticator oder das bereits erwähnte Wordfence Security diese Funktion. Der Einrichtungsaufwand beträgt etwa zehn Minuten — und der Sicherheitsgewinn ist erheblich.

Aktivieren Sie eine 2FA mindestens für alle Administrator-Konten. Wenn Sie mit einem Team arbeiten, für alle Konten mit erweiterten Rechten.

Schritt 4: Die Login-URL ändern

Wenn Sie WordPress sicher machen wollen, sollten Sie diese große Sicherheitslücke schließen: Die Standard-Login-URL von WordPress ist /wp-admin oder /wp-login.php. Das ist jedem Angreifer bekannt — und genau deshalb werden dort die meisten Brute-Force-Angriffe probiert. Wenn Sie die Login-URL auf eine individuelle Adresse ändern, schlägt der Großteil dieser automatisierten Angriffe ins Leere, weil die Angreifer die URL schlicht nicht kennen.

Das erledigt das Plugin WPS Hide Login mit wenigen Klicks. Sie legen eine eigene URL fest — zum Beispiel /mein-zugang — und /wp-admin ist danach nicht mehr erreichbar. Das ist kein vollständiger Schutz für sich allein, aber eine wirksame erste Barriere.

⚠️ Wichtig: Notieren Sie sich die neue Login-URL sofort nach der Änderung. Wenn Sie sie vergessen und auch der Direktzugang über /wp-admin gesperrt ist, kommen Sie selbst nicht mehr rein — und benötigen einen FTP-Zugang für die Wiederherstellung.

Schritt 5: Login-Versuche begrenzen

Ohne Begrenzung kann ein Brute-Force-Angriff unbegrenzt viele Passwörter ausprobieren — tausende pro Minute. Mit einer Begrenzung der Login-Versuche wird eine IP-Adresse nach wenigen fehlgeschlagenen Versuchen temporär gesperrt. Das macht Brute-Force-Angriffe vorübergehend praktisch wirkungslos.

Diese Funktion ist in den meisten WordPress-Sicherheitsplugins enthalten — Wordfence, Solid Security oder Limit Login Attempts Reloaded erledigen das mit minimaler Konfiguration. Empfohlene Einstellung: Sperre nach fünf fehlgeschlagenen Versuchen für 20 bis 60 Minuten.

💡 Tipp: Schließen Sie Ihre eigene feste IP-Adresse von der Sperre aus, damit Sie sich nicht selbst aussperren, wenn Sie Ihr Passwort dreimal falsch eingeben.

Schritt 6: SSL-Zertifikat und HTTPS sicherstellen

📝 Definition: SSL (Secure Sockets Layer) verschlüsselt die Verbindung zwischen dem Browser Ihrer Besucher und Ihrem Server. Erkennbar am „https://“ in der Adresszeile und dem Schloss-Symbol. Ohne SSL werden alle Daten, die über Ihre Website übermittelt werden — Kontaktformulare, Login-Daten, Bestellungen — unverschlüsselt übertragen und können abgefangen werden.

Seit 2018 kennzeichnet Google Websites ohne SSL als „Nicht sicher“ — mit direkten Auswirkungen auf das Vertrauen Ihrer Besucher und Ihre Positionierung. Ein SSL-Zertifikat ist heute keine Kür mehr, sondern absolute Grundvoraussetzung, um WordPress sicher machen zu können.

Die meisten Hosting-Anbieter stellen kostenlose SSL-Zertifikate über Let’s Encrypt bereit. Prüfen Sie, ob Ihr Zertifikat aktiv ist, und stellen Sie sicher, dass alle Seiten über https:// erreichbar sind — nicht nur die Startseite. In WordPress erledigt das Plugin Really Simple SSL die Umleitung aller http-Anfragen auf https mit einem Klick.

Schritt 7: Unnötige Plugins und Themes entfernen

WordPress sicher machen bedeutet auch, keine unnötigen Komponenten auf Ihrer Website einzusetzen. Jedes installierte Plugin ist eine potenzielle Angriffsfläche — sogar wenn es deaktiviert ist. Deaktivierte Plugins werden zwar nicht ausgeführt, aber ihre Dateien liegen noch auf dem Server und können bekannte Schwachstellen enthalten.

Machen Sie noch heute eine Bestandsaufnahme: Welche Plugins sind installiert? Welche davon nutzen Sie wirklich? Deaktivieren und löschen Sie alles, was Sie nicht aktiv verwenden. Das gilt auch für Themes — behalten Sie nur das aktive Theme und ein Standard-WordPress-Theme als Rückversicherung.

✓ Unnötige Plugins deaktivieren und löschen
✓ Unnötige Themes löschen — und ein Standard-Theme behalten
✓ Plugins aus unbekannten Quellen entfernen — nur Plugins aus der offiziellen WordPress-Sammlung oder von vertrauenswürdigen Anbietern verwenden

📌 Merke: Weniger Plugins bedeutet nicht nur WordPress sicher machen — sie bedeuten auch schnellere Ladezeiten und weniger Wartungsaufwand.

Prüfen Sie Ihre Plugins regelmäßig im Rahmen der Website-Pflege. Wie Sie dabei vorgehen und auf was Sie dabei achten sollten, erfahren Sie in meinem Artikel Website-Wartung: Warum sie unverzichtbar ist.

Schritt 8: Datei-Berechtigungen korrekt setzen

Datei-Berechtigungen bestimmen, wer auf dem Server Dateien lesen, schreiben oder ausführen darf. Falsch gesetzte Berechtigungen geben Angreifern die Möglichkeit, Dateien zu verändern oder schädlichen Code einzuschleusen.

Die empfohlenen Berechtigungen für WordPress:

✓ Ordner: 755 — der Server kann lesen und ausführen, nur der Eigentümer kann schreiben
✓ Dateien: 644 — der Server kann lesen, nur der Eigentümer kann schreiben
✓ wp-config.php: 600 — nur der Eigentümer kann lesen und schreiben, niemand sonst

Diese Einstellungen nehmen Sie über FTP oder die Dateimanager-Anwendung Ihres Hostings vor. Viele Sicherheitsplugins prüfen die Berechtigungen und weisen auf Abweichungen hin.

🔭 Exkurs: Die wp-config.php ist die sensibelste Datei Ihrer WordPress-Installation. Sie enthält Datenbankzugangsdaten und Sicherheitsschlüssel. Zusätzlich zur Berechtigungseinstellung können Sie in der .htaccess-Datei (bei Apache-Servern) den direkten Zugriff auf diese Datei über den Browser sperren — eine einfache aber wirkungsvolle Maßnahme.

Schritt 9: WordPress-Version und Systeminformationen verbergen

Standardmäßig verrät WordPress seine Versionsnummer im Quellcode der Website. Das ist für Angreifer nützlich: Sie wissen sofort, ob sie eine bekannte Schwachstelle ausnutzen können. WordPress sicher machen fängt deshalb schon bei solchen einfachen Dingen an.

Die Informationen lassen sich mit wenigen Zeilen Code oder über ein Sicherheitsplugin ausblenden:

✓ WordPress-Versionsnummer aus dem HTML-Quellcode entfernen
✓ WordPress-Versionshinweis aus dem RSS-Feed entfernen
✓ Fehlerhinweise deaktivieren, die Systeminformationen preisgeben könnten

Die meisten Sicherheitsplugins erledigen das mit einer Checkbox in den Einstellungen — ohne dass Sie Code anfassen müssen.

Schritt 10: Ein Sicherheitsplugin einrichten

WordPress sicher machen indem Sie viele Einzelmaßnahmen umsetzen, ist möglich und sinnvoll — aber ein gutes Sicherheitsplugin bündelt viele Maßnahmen und fügt kontinuierliches Monitoring hinzu. Es ist die letzte Schutzschicht, die aktiv überwacht, warnt und blockiert. Deshalb lohnt sich der Einsatz eines Plugins auf jeden Fall.

Für WordPress gibt es drei bewährte Sicherheitsplugins:

Wordfence Security ist das verbreitetste WordPress-Sicherheitsplugin mit über 4 Millionen aktiven Installationen. Es bietet eine Web Application Firewall, Malware-Scanner, Login-Schutz und detaillierte Protokollierung. Die kostenlose Version reicht für die meisten Selbständige und Unternehmern-Websites aus.

Solid Security bietet einen ähnlichen Funktionsumfang mit etwas benutzerfreundlicherer Oberfläche. Besonders die Funktion zur automatischen Erkennung und Sperrung verdächtiger IPs ist hilfreich.

Sucuri Security ist die Wahl für Websites mit erhöhtem Schutzbedarf. Die kostenlose Version bietet grundlegende Sicherheitsfunktionen, die kostenpflichtige Version eine cloud-basierte Firewall, die Angriffe schon bevor sie den Server erreichen abwehrt.

⚠️ Wichtig: Installieren Sie nie zwei Sicherheitsplugins gleichzeitig. Sie können sich gegenseitig beeinträchtigen und Konflikte verursachen. Wählen Sie eines und konfigurieren Sie es sorgfältig.

WordPress sicher machen ist unterm Strich gar nicht so schwer. Wichtig ist nur, dass Sie sofort damit anfangen. Nicht warten, bis Hacker Erfolg haben.