WordPress sicher machen: Zehn einfache Schritte
WordPress sicher zu machen ist keine Aufgabe, die ausschließlich technisch versierten Menschen vorbehalten ist. Sie ist eine Grundvoraussetzung für jeden, der eine WordPress-Website betreibt, vom Einzelunternehmer bis zum großen Konzern. Dieser Artikel beschreibt zehn konkrete Schritte für ein sicheres Fundament.
Warum WordPress-Websites angegriffen werden
WordPress hält laut einer Studie von w3techs einen Marktanteil von rund 60 Prozent unter allen Websites mit einem bekannten Content-Management-System und ist damit weltweit das meistgenutzte CMS. Diese Verbreitung macht WordPress zu einem besonders attraktiven Ziel für automatisierte Angriffe. Hacker schreiben keine individuellen Skripte für einzelne Websites, sie setzen automatisierte Programme ein, die das Internet nach bekannten Schwachstellen scannen. Veraltete Plugin-Versionen, Standard-Benutzernamen, schwache Passwörter und fehlende Sicherheitskonfigurationen werden maschinell gefunden und ausgenutzt.
📝 Definition: Ein Brute-Force-Angriff ist der Versuch, durch automatisiertes, systematisches Ausprobieren großer Mengen von Passwörtern Zugang zu einem System zu erlangen. Die Standard-Login-URL von WordPress, /wp-admin, wird täglich mit Tausenden solcher Versuche angegriffen, ohne dass ein Mensch daran aktiv beteiligt ist.
Websites werden ständig und automatisiert angegriffen, unabhängig vom jeweiligen Betreiber. Entscheidend ist, ob die Website diesen Angriffen widersteht.
⚠️ Wichtig: WordPress sicher machen ist kein einmaliges Projekt, sondern eine fortlaufende Aufgabe. Die in diesem Artikel beschriebenen Schritte sind eine Grundlage, die regelmäßige Pflege braucht.
Schritt 1: WordPress, Plugins und Theme immer aktuell halten
Das ist der wichtigste und gleichzeitig am häufigsten vernachlässigte Schritt beim Absichern von WordPress. Veraltete Software ist die häufigste Ursache gehackter WordPress-Websites.
Jedes Update schließt bekannte Sicherheitslücken. Wird ein Update versäumt, bleibt die entsprechende Lücke offen und wird für automatisierte Angreifer sichtbar, sobald die Schwachstelle öffentlich bekannt wird. Das passiert oft innerhalb von Stunden nach Veröffentlichung eines Sicherheitsupdates.
- WordPress-Kern-Updates: sofort einspielen, sobald verfügbar
- Plugin-Updates: Plugins sind Erweiterungen für WordPress. Updates mindestens wöchentlich auf Verfügbarkeit prüfen und vorhandene Updates einspielen
- Theme-Updates: ein Theme ist eine Layout-Vorlage, auf der Ihre Website basiert. Updates regelmäßig auf Verfügbarkeit prüfen und vorhandene Updates einspielen
- Vor jedem Update: ein vollständiges Backup erstellen
💡 Tipp: WordPress bietet die Möglichkeit, Minor-Updates automatisch einzuspielen, was sinnvoll ist. Minor-Updates sind kleine Aktualisierungen, die ausschließlich Fehler beheben oder Sicherheitslücken schließen. Major-Updates sollten dagegen nur manuell und nach einem Backup eingespielt werden, da sie Kompatibilitätsprobleme mit Plugins verursachen können.
Schritt 2: WordPress sicher machen: sichere Passwörter und Benutzernamen verwenden
„admin“ ist noch immer einer der häufigsten WordPress-Benutzernamen, „password123″ eines der häufigsten Passwörter. Beides lässt sich bei Brute-Force-Angriffen ohne nennenswerten Aufwand überwinden.
Der Standard-Benutzername
WordPress schlägt bei der Installation „admin“ als Benutzernamen vor. Wurde dieser übernommen, lohnt sich ein Wechsel. Am einfachsten gelingt das in drei Schritten: Ein neuer Benutzer mit Administratorrechten und individuellem Benutzernamen wird angelegt, die Anmeldung erfolgt über dieses neue Konto, und der alte „admin“-Account wird anschließend gelöscht.
Starke Passwörter
Ein starkes Passwort hat mindestens zwölf Zeichen, enthält Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, und wird nirgendwo sonst verwendet. WordPress generiert beim Anlegen von Benutzerkonten automatisch starke Passwörter – eine Funktion, die sich direkt nutzen lässt.
Passwort-Manager wie Proton Pass oder 1Password bewahren Ihre Passwörte sicher auf; sie stehen jederzeit zur Verfügung, ohne dass Sie sie im Kopf behalten müssen.
🧩 Beispiel: Eine Webdesignerin übernimmt die Website eines Kunden zur Wartung und findet folgenden Zustand vor: Benutzername „admin“, Passwort „firma2019″, kein SSL-Zertifikat und 15 ausstehende Plugin-Updates. Die Website ist zum Zeitpunkt der Übergabe bereits mit Malware infiziert, ohne dass der Kunde es bemerkt hat. Die Bereinigung kostet am Ende mehr als ein Jahr Wartungsvertrag.
Schritt 3: Zwei-Faktor-Authentifizierung aktivieren
📝 Definition: Eine Zwei-Faktor-Authentifizierung (2FA) fügt dem Login-Prozess eine zweite Sicherheitsebene hinzu. Neben Benutzername und Passwort wird ein zweiter Code abgefragt, meistens ein zeitbasierter Einmalcode, der auf dem Smartphone generiert wird. Selbst wenn ein Angreifer das Passwort kennt, kommt er ohne den zweiten Faktor nicht hinein.
Für WordPress gibt es mehrere Plugins, die eine 2FA einfach einrichten: WP 2FA, Google Authenticator oder Wordfence Security bieten diese Funktion. Der Einrichtungsaufwand beträgt etwa zehn Minuten, der Sicherheitsgewinn ist erheblich.
Eine 2FA gehört mindestens auf alle Administrator-Konten, bei der Arbeit im Team auch auf alle Konten mit erweiterten Rechten.
📥 Wild Variety | Downloads
Sichern Sie sich jetzt die Checkliste:
WordPress absichern: Die wichtigsten Schritte.
Schritt 4: Die Login-URL ändern
Die Standard-Login-URL von WordPress ist /wp-admin oder /wp-login.php. Diese Adressen sind jedem Angreifer bekannt, weshalb sich dort die meisten Brute-Force-Angriffe konzentrieren. WordPress sicher machen bedeutet daher auch, dieses Problem anzugehen: Wird die Login-URL auf eine individuelle Adresse geändert, verfehlen die meisten dieser automatisierten Angriffe ihr Ziel: Die Standard-URL ist schlicht nicht mehr erreichbar.
Das erledigt das Plugin WPS Hide Login mit wenigen Klicks. Eine eigene URL wird festgelegt, zum Beispiel /mein-zugang, und /wp-admin ist danach nicht mehr erreichbar.
⚠️ Wichtig: Die neue Login-URL sollte sofort nach der Änderung notiert werden. Wer die neue Adresse vergisst, verliert den eigenen Zugang zum Administrationsbereich und benötigt einen FTP-Zugang für die Wiederherstellung.
Schritt 5: WordPress sicher machen: Login-Versuche begrenzen
Ohne eine Begrenzung kann ein Brute-Force-Angriff beliebig viele Passwörter ausprobieren, mitunter Tausende pro Minute. Mit einer Begrenzung der Login-Versuche wird eine IP-Adresse nach wenigen fehlgeschlagenen Versuchen temporär gesperrt.
Diese Funktion ist in den meisten Sicherheitsplugins enthalten: Wordfence, Solid Security oder Limit Login Attempts Reloaded erledigen das mit minimaler Konfiguration. Empfohlene Einstellung: Sperre nach fünf fehlgeschlagenen Versuchen für 20 bis 60 Minuten.
💡 Tipp: Die eigene feste IP-Adresse sollte von der Sperre ausgenommen werden, damit keine versehentliche Selbstaussperrung droht, wenn das Passwort einmal dreimal falsch eingegeben wird.
Schritt 6: SSL-Zertifikat und HTTPS sicherstellen
📝 Definition: SSL verschlüsselt die Verbindung zwischen dem Browser der Besucher und dem eigenen Server, erkennbar am „https://“ in der Adresszeile. Ohne SSL werden alle Daten, die über die Website übermittelt werden, etwa Kontaktformulare, Login-Daten oder Bestellungen, unverschlüsselt übertragen und können abgefangen werden.
Seit 2018 kennzeichnet Google Websites ohne SSL als „Nicht sicher“, mit direkten Auswirkungen auf das Vertrauen der Besucher und die Platzierung in den Suchergebnissen. SSL gehört heute zur technischen Grundausstattung jeder Website.
Die meisten Hosting-Anbieter stellen kostenlose SSL-Zertifikate über Let’s Encrypt bereit. Ob das eigene Zertifikat aktiv ist und alle Seiten über https:// erreichbar sind, lässt sich leicht prüfen. Das Plugin Really Simple SSL erledigt die Umleitung aller http-Anfragen auf https mit einem Klick.
Schritt 7: Unnötige Plugins und Themes entfernen
Jedes installierte Plugin ist eine potenzielle Angriffsfläche, sogar wenn es deaktiviert ist. Deaktivierte Plugins werden zwar nicht ausgeführt, aber ihre Dateien liegen noch auf dem Server und können bekannte Schwachstellen enthalten.
Eine Bestandsaufnahme zeigt, welche Plugins tatsächlich installiert sind und welche davon wirklich genutzt werden. Alles andere lässt sich deaktivieren und löschen. Das gilt auch für Themes: Sinnvoll sind nur das aktive Theme und ein Standard-WordPress-Theme als Rückversicherung.
- Unnötige Plugins deaktivieren und löschen
- Unnötige Themes löschen, mit Ausnahme eines Standard-Themes
- Plugins aus unbekannten Quellen entfernen: nur Plugins aus dem offiziellen WordPress-Verzeichnis oder von vertrauenswürdigen Anbietern verwenden
📌 Merke: Weniger Plugins bedeutet nicht nur mehr Sicherheit, sondern auch schnellere Ladezeiten und weniger Wartungsaufwand.
Wie sich Plugins regelmäßig im Rahmen der Website-Pflege prüfen lassen, beschreibt mein Artikel Website-Wartung.
Schritt 8: WordPress sicher machen: Dateiberechtigungen korrekt setzen
Dateiberechtigungen bestimmen, wer auf dem Server Dateien lesen, schreiben oder ausführen darf. Falsch gesetzte Berechtigungen geben Angreifern die Möglichkeit, Dateien zu verändern oder schädlichen Code einzuschleusen.
Empfohlene Berechtigungen für WordPress:
- Ordner: 755 – der Server kann lesen und ausführen, nur der Eigentümer kann schreiben
- Dateien: 644 – der Server kann lesen, nur der Eigentümer kann schreiben
- wp-config.php: 600 – nur der Eigentümer kann lesen und schreiben, niemand sonst
Diese Einstellungen lassen sich über FTP oder die Dateimanager-Anwendung des Hostings vornehmen. Viele Sicherheitsplugins prüfen die Berechtigungen und weisen auf Abweichungen hin.
🔭 Hinweis: Die wp-config.php ist die sensibelste Datei einer WordPress-Installation. Sie enthält Datenbankzugangsdaten und Sicherheitsschlüssel. Zusätzlich zur Berechtigungseinstellung lässt sich in der .htaccess-Datei der direkte Zugriff auf diese Datei über den Browser sperren, eine einfache, aber wirkungsvolle Maßnahme.
Schritt 9: WordPress-Version und Systeminformationen verbergen
Standardmäßig verrät WordPress seine Versionsnummer im Quellcode der Website. Das ist für Angreifer nützlich: Sie wissen sofort, ob eine bekannte Schwachstelle ausgenutzt werden kann.
Die Informationen lassen sich mit wenigen Zeilen Code oder über ein Sicherheitsplugin ausblenden:
- WordPress-Versionsnummer aus dem HTML-Quellcode entfernen
- WordPress-Versionshinweis aus dem RSS-Feed entfernen
- Fehlerhinweise deaktivieren, die Systeminformationen preisgeben könnten
Die meisten Sicherheitsplugins erledigen das mit einer Checkbox in den Einstellungen, ohne dass eigener Code bearbeitet werden muss.
Schritt 10: Ein Sicherheitsplugin einrichten
Viele Einzelmaßnahmen umzusetzen ist sinnvoll, ein gutes Sicherheitsplugin bündelt sie jedoch und ergänzt eine kontinuierliche Überwachung. Es überwacht aktiv, warnt und blockiert. Das macht es zur letzten Schutzschicht, die rund um die Uhr arbeitet.
Drei bewährte Optionen:
Wordfence Security ist das verbreitetste WordPress-Sicherheitsplugin mit über 4 Millionen aktiven Installationen. Es bietet eine Web Application Firewall, also eine spezialisierte Schutzschicht gegen Angriffe auf Webanwendungen, dazu einen Malware-Scanner, Login-Schutz und detaillierte Protokollierung. Die kostenlose Version reicht für die meisten Websites aus.
Solid Security bietet einen ähnlichen Funktionsumfang mit etwas benutzerfreundlicherer Oberfläche. Besonders die automatische Erkennung und Sperrung verdächtiger IP-Adressen ist hilfreich.
Sucuri Security ist die Wahl für Websites mit erhöhtem Schutzbedarf. Die kostenpflichtige Version bietet eine cloud-basierte Firewall, die Angriffe abwehrt, bevor sie den Server erreichen.
⚠️ Wichtig: Zwei Sicherheitsplugins sollten nie gleichzeitig installiert sein, sie können sich gegenseitig beeinträchtigen und Konflikte verursachen. Eines genügt, dafür sorgfältig konfiguriert.
Fazit
WordPress sicher machen ist keine einmalige Aktion, sondern ein fortlaufender Prozess. Die zehn Schritte in diesem Artikel legen das Fundament, aber nur, wenn sie auch umgesetzt werden. In der Praxis wird oft erst nach einem Sicherheitsvorfall reagiert, wenn der Schaden bereits entstanden ist. Eine gehackte Website verursacht mehr Aufwand und höhere Kosten als alle Schutzmaßnahmen zusammen.
Schildern Sie mir, wie Ihre Website aktuell betreut wird – ich sage Ihnen, was an Sicherheit fehlt und was eine laufende Betreuung kostet.
