WordPress ist eine der flexibelsten und leistungsfähigsten Plattformen für Websites. Sein Kernsystem überzeugt durch ein hohes Maß an Sicherheit – die meisten Risiken entstehen durch Zusatzkomponenten, wie Plugins und Themes, die von unabhängigen Entwicklern stammen.
Hacker nutzen häufig bekannte Schwachstellen in diesen Erweiterungen, unsichere Passwörter oder veraltete Installationen, um Zugang zu Webseiten zu erlangen.
Die Folgen reichen von defekten oder manipulierten Seiten über den Verlust sensibler Kundendaten bis hin zu schlechteren SEO-Rankings oder sogar rechtlichen Konsequenzen.
Doch mit den richtigen Maßnahmen lässt sich WordPress zuverlässig absichern.
In diesem Ratgeber erfahren Sie, welche Sicherheitsschwachstellen am häufigsten ausgenutzt werden und wie Sie Ihre WordPress Website effektiv schützen können.
Wir geben Ihnen konkrete Handlungsempfehlungen, erklären, welche Sicherheits-Plugins sinnvoll sind und zeigen bewährte Methoden zur Absicherung von Admin-Zugang, Datenbank und Server.
Disclaimer
Die in diesem Ratgeber empfohlenen Sicherheitsmaßnahmen basieren auf bewährten Methoden, können jedoch je nach Serverkonfiguration und WordPress-Setup variieren. Trotz aller Vorkehrungen bleibt ein Restrisiko für Angriffe oder Datenverluste bestehen.
Die Umsetzung erfolgt auf eigenes Risiko. Wir übernehmen keine Haftung für mögliche Fehlfunktionen, Inkompatibilitäten oder Schäden. Vor Änderungen an .htaccess, wp-config.php oder anderen sensiblen Einstellungen sollte ein Backup erstellt und ggf. ein Experte konsultiert werden.
Warum ist WordPress anfällig für Angriffe?
WordPress ist das beliebteste Content Management System (CMS) und betreibt 43,4 % aller Websites im Internet. Diese immense Popularität macht es zu einem bevorzugten Ziel für Hacker – nicht nur, weil es weit verbreitet ist, sondern auch wegen häufiger Schwachstellen.
Neben bekannten Angriffsflächen, wie Brute-Force-Attacken und SQL-Injections, entstehen Risiken oft durch die Verwendung veralteter Software und deaktivierter Plugins. Mangelnde Systemadministration sowie fehlende Sicherheitskonzepte bieten zusätzlichen Fläche für Angriffe.
Bereits im Jahr 2023 konnten Hacker über eine Schwachstelle im beliebten “WP File Manager” Plugin zahlreiche WordPress-Seiten kompromittieren, weil Websitebetreiber keine regelmäßigen Updates durchgeführt haben.
Zu den häufigsten Sicherheitsrisiken zählen:WordPress ist das beliebteste Content Management System (CMS) und betreibt 43,4 % aller Websites im Internet. Diese immense Popularität macht es zu einem bevorzugten Ziel für Hacker – nicht nur, weil es weit verbreitet ist, sondern auch wegen häufiger Schwachstellen.
Neben bekannten Angriffsflächen, wie Brute-Force-Attacken und SQL-Injections, entstehen Risiken oft durch die Verwendung veralteter Software und deaktivierter Plugins. Mangelnde Systemadministration sowie fehlende Sicherheitskonzepte bieten zusätzlichen Fläche für Angriffe.
Bereits im Jahr 2023 konnten Hacker über eine Schwachstelle im beliebten “WP File Manager” Plugin zahlreiche WordPress-Seiten kompromittieren, weil Websitebetreiber keine regelmäßigen Updates durchgeführt haben. Zu den häufigsten Sicherheitsrisiken zählen:
Brute Force Attacken
Hacker setzen automatisierte Programme ein, um durch massenhafte Anmeldeversuche das Administrator-Passwort zu erraten.
Diese sogenannten Brute-Force-Angriffe testen unzählige Kombinationen aus häufig verwendeten oder unsicheren Passwörtern, bis der Zugang erfolgreich geknackt wird.
Da WordPress standardmäßig keine Begrenzung für fehlgeschlagene Login-Versuche bietet, sind solche Angriffe besonders effektiv. Oft erfolgen sie nicht gezielt auf eine bestimmte Website, sondern in großem Stil auf zahlreiche WordPress-Seiten gleichzeitig.
Seiten mit schwachen Passwörtern oder ohne zusätzliche Schutzmaßnahmen sind besonders gefährdet.
Unsichere Plugins und Themes
Laut einer Studie von Pathstack sind Plugins für 97 % aller Sicherheitsschwachstellen verantwortlich.
Mit der Zeit werden in Plugins und Themes Sicherheitslücken entdeckt – oft durch ethische Hacker. Diese Sicherheitsforscher analysieren Software, um Schwachstellen aufzudecken und den Entwicklern zu melden, bevor sie ausgenutzt werden können.
Doch sobald solche Lücken bekannt sind, machen sich auch Cyberkriminelle diese Informationen zunutze. Wenn Updates nicht regelmäßig eingespielt werden, bleibt die Schwachstelle bestehen und eröffnet Hackern eine Angriffsfläche.
Dabei handelt es sich meist nicht um gezielte Attacken auf eine einzelne Website, sondern um massenhafte Angriffe auf alle Websites, die ein betroffenes Plugin oder Theme nutzen.
So können Hacker automatisiert nach verwundbaren Websites suchen und sich durch veraltete Software unbefugten Zugriff verschaffen.
Häufig nutzen Angreifer diese anfänglichen Zugangsmöglichkeiten, um zusätzlich sogenannte Backdoors – versteckte Hintertüren – in das System einzuschleusen. Diese Backdoors ermöglichen es ihnen, auch dann dauerhaft auf die Website zuzugreifen, wenn die ursprüngliche Sicherheitslücke bereits geschlossen wurde.
Dadurch entsteht ein persistenter Zugang, der oft schwer zu erkennen und zu entfernen ist, was die Wiederherstellung der vollständigen Sicherheit erheblich erschwert.
SQL-Injections
SQL-Injections gehören zu den gefährlichsten Angriffsmethoden auf WordPress-Webseiten. Sie entstehen durch Sicherheitslücken in Plugins, Themes oder unsichere Formulareingaben, die nicht ausreichend überprüft werden.
Hacker nutzen diese Schwachstellen, um schädliche Datenbankbefehle einzuschleusen.
Dadurch können sie:
Zugriff auf vertrauliche Daten wie Benutzernamen, Passwörter oder E-Mail-Adressen erlangen,
Daten manipulieren, indem sie Inhalte verändern oder löschen
Eigenen Schadcode einschleusen, um beispielsweise eine Webseite zu übernehmen oder Besucher auf betrügerische Seiten umzuleiten.
Besonders gefährlich ist, dass diese Angriffe oft automatisiert erfolgen und gezielt nach verwundbaren Websites suchen.
Wer keine Schutzmaßnahmen trifft, riskiert schwerwiegende Sicherheitsprobleme und Datenschutzrisiken.
Distributed Denial-of-Service
Distributed Denial-of-Service (DDoS)-Angriffe zielen darauf ab, die Erreichbarkeit Ihrer WordPress-Website zu beeinträchtigen, indem sie die Serverressourcen mit einer massiven Anzahl an Anfragen überlasten.
Oft kommen automatisierte Botnetze zum Einsatz, die den Server mit Traffic bombardieren, sodass legitime Nutzeranfragen nicht mehr verarbeitet werden können.
Besonders gefährdet sind Websites, die über keine oder nur unzureichende Schutzmechanismen gegen DDoS-Attacken verfügen oder bei denen veraltete Software und fehlerhafte Serverkonfigurationen vorliegen.
WordPress-Installation optimieren: Die Checkliste für maximale WordPress Sicherheit
Direkt nach der Installation sollten Sie grundlegende Sicherheitsmaßnahmen ergreifen, um Ihre Website vor Angriffen zu schützen. Viele Angriffe zielen auf Standardkonfigurationen ab – daher lohnt es sich, gleich zu Beginn wichtige Einstellungen zu optimieren:
Admin-Zugang absichern:
Vermeiden Sie „admin“ als Benutzernamen und wählen Sie stattdessen einen individuellen Namen. So erschweren Sie Brute-Force-Angriffe erheblich.
Zwei-Faktor-Authentifizierung aktivieren:
Ein zusätzlicher Sicherheitscode über eine App wie Google Authenticator oder eine SMS stellt sicher, dass sich nur berechtigte Personen anmelden können.
Starke Passwörter verwenden:
Laut einer Studie der Universität Bonn sind die beliebtesten Passwörter in Deutschland immer noch „123456” oder „password”. Dabei lässt sich das Problem mit einfachen Maßnahmen vermeiden:
Nutzen Sie Passwörter mit...
... mindestens 12 Zeichen
... mit Groß- und Kleinbuchstaben
... mindestens einer Zahl
... mindestens einem Sonderzeichen
Ein Passwort-Manager kann helfen, sichere Kennwörter zu generieren und zu speichern. Beispielsweise hilft der Last Pass Password Generator ganz ohne Anmeldung beim generieren eines sicheren Passworts.
Sicheres Hosting wählen:
Wählen Sie einen Hosting-Provider, der umfassendes Server-Hardening, regelmäßige Sicherheitsupdates und moderne Übertragungsprotokolle wie SFTP oder SSH bietet.
Idealerweise setzt Ihr Anbieter zudem stets die neuesten PHP-Versionen ein und schützt Ihre WordPress-Installation durch zusätzliche Maßnahmen wie Web Application Firewalls (WAF) oder integrierte DDoS-Schutzmechanismen.
Nur in einer professionell abgesicherten Serverumgebung ist Ihre Website dauerhaft optimal vor Angriffen geschützt.
In den letzten Jahren haben wir besonders gute Erfahrungen mit Raidboxes gemacht. Dieser spezialisierte WordPress-Hoster bietet zahlreiche Sicherheitsfunktionen von Haus aus, darunter:
Automatische tägliche Backups
Integrierte Firewall & DDoS-Schutz
Login-Schutz mit IP-Sperrung
Automatische Sicherheitsupdates für WordPress & PHP
Separate Staging-Umgebung
Wenn Sie Raidboxes ausprobieren möchten, können Sie über unseren Affiliate-Link direkt ein Hosting-Paket buchen und unsere Arbeit unterstützen – selbstverständlich ohne Mehrkosten für Sie!
Präfix der Datenbank ändern:
Standardmäßig verwendet WordPress das Präfix „wp_“ für Datenbanktabellen, was Angreifern die Arbeit erleichtert. Ändern Sie es während der Installation in einen individuellen Wert.
XML-RPC deaktivieren:
Die XML-RPC-Schnittstelle kann für DDoS- oder Brute-Force-Angriffe missbraucht werden. Falls Sie sie nicht benötigen, deaktivieren Sie sie über ein Sicherheits-Plugin oder durch eine Anpassung der .htaccess-Datei.
Hotlinking deaktivieren:
Beim Hotlinking verlinken fremde Webseiten direkt auf die Dateien (meistens Bilder) Ihres Servers. Dadurch entstehen für Sie unnötige Bandbreitenkosten, da Ihre Serverressourcen von Dritten genutzt werden.
Im schlimmsten Fall verlangsamt dies Ihre Webseite erheblich, verursacht zusätzliche Kosten und beeinträchtigt die Performance.
Das Problem lässt sich mit wenigen Zeilen Code in Ihrer .htaccess-Datei zuverlässig lösen:
Ersetzen Sie dabei ihreseite.de durch Ihre eigene Domain.
Dieser Code erlaubt nur Ihrer eigenen Domain und Google, Bilder direkt zu verlinken. Fremde Seiten, die Bilder oder Dateien von Ihrer Website einbinden, erhalten stattdessen einen Zugriffsfehler.
REST API deaktivieren:
Die WordPress REST API („Representational State Transfer Application Programming Interface“) ist eine Schnittstelle, die es Entwicklern ermöglicht, Inhalte und Funktionen einer WordPress-Website über externe Anwendungen abzurufen, zu bearbeiten oder mit ihnen zu interagieren.
So können beispielsweise Apps, externe Webservices oder JavaScript-basierte Frontends direkt auf WordPress-Inhalte zugreifen, diese bearbeiten oder veröffentlichen.
Standardmäßig ist die WordPress REST API für jeden zugänglich. Das kann aus mehreren Gründen problematisch sein:
Angreifer können durch die REST API leicht Benutzerinformationen, Benutzernamen, Beitragstitel oder andere sensible Informationen abrufen und dadurch potenzielle Schwachstellen identifizieren.
Angreifer können die REST API missbrauchen, um automatisierte Brute-Force-Attacken auszuführen und Login-Daten zu erraten oder Benutzerinformationen zu sammeln.
Selbst wenn keine vertraulichen Informationen direkt preisgegeben werden, kann eine offene REST API sensible Informationen über die
Website-Struktur oder Benutzer-IDs offenlegen, die bei weiteren Angriffen hilfreich sein können. Wenn Ihre Website keine externen Anwendungen oder Dienste verwendet, die auf diese Schnittstelle angewiesen sind, macht es Sinn, die REST API abzuschalten, um die Angriffsfläche zu reduzieren.
Sie können die REST API über ein Sicherheits-Plugin deaktivieren (z. B. „Disable WP REST API“) oder durch eine einfache Code-Ergänzung in Ihrer functions.php:
// REST API für nicht eingeloggte Benutzer deaktivieren
add_filter('rest_authentication_errors', function($result) {
if (!is_user_logged_in()) {
return new WP_Error('rest_disabled', __('REST API deaktiviert.'), ['status' => 401]);
}
return $result;
});
Hinweis: Bevor Sie die REST API deaktivieren, stellen Sie sicher, dass Ihre Website oder Plugins diese nicht benötigt. Manche Plugins oder Funktionen verwenden die REST API für wichtige Aufgaben. Testen Sie die Website nach der Deaktivierung auf volle Funktionalität.
PHP und WordPress Versionsnummer ausblenden:
Die standardmäßige Anzeige von Versionsnummern im Quellcode ermöglicht Angreifern, die genaue Version Ihres WordPress-Kerns oder der verwendeten PHP-Version zu erkennen. Sind diese veraltet, wissen Hacker sofort, welche Sicherheitslücken sie ausnutzen können.
Daher sollten Sie diese Informationen verstecken, um Angreifern nicht unnötig Hilfestellung zu leisten.
Um die WordPress Versionsnummer zu entfernen, fügen Sie folgenden Code in Ihre functions.php ein:
// WordPress-Versionsnummer aus dem Quellcode entfernen
remove_action('wp_head', 'wp_generator');
add_filter('the_generator', '__return_empty_string');
Die PHP-Version wird standardmäßig in einigen Serverantwort-Headern angezeigt (z. B. X-Powered-By: PHP/7.4.33). Um das zu deaktivieren, ergänzen Sie folgenden Code in Ihre .htaccess:
# PHP-Version verbergen
Header unset X-Powered-By
Wenn Sie nicht selbst Code anpassen möchten, können Sie auch Plugins wie Perfmatters oder WP Hide & Security Enhancer einsetzen. Diese Plugins bieten die Möglichkeit, Versionsnummern komfortabel per Klick auszublenden.
Verzeichnisschutz für wp-admin:
Ein zusätzlicher Passwortschutz für das /wp-admin-Verzeichnis erhöht die Sicherheit, indem er unbefugten Zugriff auf das Backend verhindert.
Directory Browsing verhindern
Standardmäßig kann ein Webserver unter bestimmten Umständen die Inhalte von Verzeichnissen anzeigen. Das bedeutet, dass Angreifer oder neugierige Nutzer eine Liste aller Dateien in einem Ordner sehen können, was ein Sicherheitsrisiko darstellt. Mit einer einfachen .htaccess-Regel können Sie das sogenannte Directory Browsing deaktivieren, sodass niemand die Verzeichnisstruktur Ihrer WordPress-Installation einsehen kann.
Melden Sie sich per SFTP, SSH oder über den Dateimanager Ihres Hostings an.
Navigieren Sie in das Hauptverzeichnis Ihrer WordPress-Installation.
Öffnen oder erstellen Sie die .htaccess-Datei.
Fügen Sie am Ende der Datei den folgenden Code ein:
# Prevent directory browsing
Options All -Indexes
Speichern Sie die Datei und laden Sie sie hoch.
Testen Sie, ob der Schutz aktiv ist indem Sie Ihre Webseite mit folgendem Dateipfad aufrufen: https://ihre-seite.de/wp-content/uploads/ Falls die Regel greift, sollte eine Fehlermeldung (403 Forbidden) erscheinen, anstatt eine Liste mit Dateien anzuzeigen.
.htaccess-Dateien vor unbefugtem Zugriff schützen
Die .htaccess-Datei spielt eine zentrale Rolle in der Serverkonfiguration, da sie wichtige Sicherheits-, Weiterleitungs- und Zugriffskontrollregeln enthält. Wenn ein Angreifer Zugriff auf diese Datei erhält, könnte er schädlichen Code einschleusen, Sicherheitsmaßnahmen aushebeln oder sensible Konfigurationsdaten auslesen.
Daher ist es essenziell, den Zugriff auf .htaccess-Dateien und ähnliche Konfigurationsdateien zu blockieren, damit diese nicht über den Browser abrufbar sind.
Melden Sie sich per SFTP, SSH oder über den Dateimanager Ihres Hosting-Anbieters an.
Navigieren Sie zum Hauptverzeichnis Ihrer WordPress-Installation.
Öffnen oder erstellen Sie die .htaccess-Datei.
Fügen Sie am Ende der Datei den folgenden Code ein:
Testen Sie den Schutz indem Sie den Dateipfad Ihrer .htaccess direkt im Browser aufrufen. Falls die Regel funktioniert, sollte eine 403 Forbidden-Fehlermeldung erscheinen.
Hinweis: Falls Sie nach der Änderung eine 500-Fehlermeldung (Internal Server Error) erhalten, unterstützt Ihr Server möglicherweise keine .htaccess-Regeln oder nutzt eine ältere Apache-Version.
HTTP Sicherheitsheader implementieren:
Sicherheitsheader erhöhen die Sicherheit Ihrer WordPress-Website, indem sie dem Browser klare Anweisungen zur Behandlung von Inhalten geben. Dadurch lassen sich zahlreiche Angriffsvektoren effektiv reduzieren.
Empfohlene Sicherheitsheader und ihre Funktionen:
Content-Security-Policy (CSP): Legt fest, aus welchen Quellen Inhalte (Skripte, Stylesheets, Bilder usw.) geladen werden dürfen. Dies schützt gegen Cross-Site-Scripting (XSS) und das Einschleusen unerwünschter Inhalte.
X-Frame-Options Verhindert, dass Ihre Webseite in Frames anderer Webseiten eingebunden wird. So lassen sich Clickjacking-Angriffe vermeiden.
X-Content-Type-Options Verhindert, dass Browser Inhalte falsch interpretieren (MIME Sniffing). So wird beispielsweise verhindert, dass schädliche Skripte als harmlose Dateien getarnt ausgeführt werden.
Referrer-Policy Legt fest, welche Informationen im Referrer-Header übertragen werden dürfen, um die Privatsphäre Ihrer Nutzer zu erhöhen.
PHP-Ausführung im Upload-Ordner verhindern
Der Ordner /wp-content/uploads/ wird in WordPress genutzt, um hochgeladene Dateien wie Bilder, Videos und PDFs zu speichern. Allerdings können Angreifer versuchen, schädliche PHP-Skripte in diesen Ordner hochzuladen und auszuführen – beispielsweise durch eine Sicherheitslücke in einem Plugin oder Theme.
Da in diesem Ordner keine PHP-Dateien ausgeführt werden müssen, ist es eine wichtige Sicherheitsmaßnahme, die Ausführung von PHP-Skripten zu blockieren. Dies verhindert, dass hochgeladene Schadsoftware aktiv wird.
Hierzu erstellen Sie im Ordner /wp-content/uploads/ eine .htaccess-Datei mit folgendem Code:
# Blockiert den Zugriff auf alle PHP-Dateien
<Files *.php>
deny from all
</Files>
Selbst wenn ein Angreifer von nun an eine .php-Datei in den Upload-Ordner schmuggelt, kann er sie nicht ausführen. Die Datei bleibt harmlos und kann keinen Schadcode auslösen.
Sicherheitsoptimierungen für die wp-config.php
Die wp-config.php ist eine der wichtigsten Dateien in einer WordPress-Installation. Sie enthält sensible Informationen wie Datenbank-Zugangsdaten, Sicherheitsschlüssel und verschiedene Konfigurationseinstellungen.
Sollte ein Angreifer Zugriff auf diese Datei erhalten, könnte er die Datenbank auslesen, manipulieren oder sogar die Kontrolle über die gesamte Website übernehmen.
Zugriff auf wp-config.php über den Browser beschränken
Melden Sie sich per SFTP, SSH oder über den Dateimanager Ihres Hostings an.
Navigieren Sie in das Hauptverzeichnis (Root-Verzeichnis) Ihrer WordPress-Installation.
Falls noch nicht vorhanden, erstellen Sie eine neue .htaccess-Datei. Falls bereits eine .htaccess-Datei existiert, können Sie diese bearbeiten.
Fügen Sie den folgenden Code ans Ende der Datei ein und speichern Sie die Datei auf Ihrem Server:
# Schützt die wp-config.php Datei
<FilesMatch "wp-config\.php">
Require all denied
</FilesMatch>
Testen Sie die Änderung, indem Sie versuchen, https://ihre-seite.de/wp-config.php
Hinweis: Falls Sie nach der Änderung eine 500-Fehlermeldung (Internal Server Error) erhalten, unterstützt Ihr Server möglicherweise keine .htaccess-Regeln oder nutzt eine ältere Apache-Version.
Restriktive Dateiberechtigungen für wp-config.php festlegen
Setzen Sie strengere Zugriffsrechte für die wp-config.php, sodass ausschließlich der Server selbst auf diese Datei zugreifen darf. Dies verhindert, dass andere Benutzer auf dem Server (z. B. bei Shared Hosting) oder potenzielle Angreifer sie lesen oder verändern können.
Idealerweise setzen Sie die Berechtigung auf 400 oder 440. Dies erlaubt nur dem Besitzer der Datei (Ihrem Webserver-Account), die Datei zu lesen. Niemand außer Ihnen und dem Server kann diese Datei öffnen oder verändern.
Sicherheitsschlüssel generieren:
WordPress verwendet einzigartige Sicherheitsschlüssel, um Anmeldungen und Sessions sicherer zu machen. Diese Schlüssel sind eine Reihe von Zufallsvariablen, die die Verschlüsselung der in den Cookies gespeicherten Informationen verbessern.
Bei der Erstinstallation werden diese Schlüssel automatisch generiert. Es ist jedoch ratsam, sie regelmäßig zu aktualisieren – insbesondere nach einer Migration oder wenn die Website übernommen wurde. Durch das Ersetzen der Sicherheitsschlüssel wird die Sicherheit erhöht, da bestehende Sitzungen ungültig werden und sich alle Benutzer erneut anmelden müssen.
WordPress stellt ein kostenloses Tool zur Verfügung, mit dem neue Zufallsschlüssel generiert werden können. Diese können in der wp-config.php-Datei hinterlegt werden:
Verhindern Sie zusätzlich über die .htaccess-Datei, dass auf die wp-config.php direkt über den Browser zugegriffen werden kann. Die .htaccess-Datei sollte im Ordner abgelegt werden, wo ihre wp-config.php abgelegt ist:
# Schutz für wp-config.php (ältere Apache-Versionen)
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Editoren im WordPress Backend deaktivieren:
WordPress bietet standardmäßig integrierte Editoren für Themes und Plugins, die direkt über das Backend erreichbar sind. Zwar sind diese praktisch, weil sie schnelle Anpassungen am Code ermöglichen, jedoch stellen sie auch ein Sicherheitsrisiko dar.
Bild: So sieht der Editor im WordPress Backend aus.
Denn sollte ein Hacker einmal Zugang zum Admin-Panel erhalten, hat er sofort die Möglichkeit, über diese Editoren schädlichen Code einzuschleusen oder wichtige Dateien zu verändern. Deshalb ist es ratsam, diese Editoren vollständig zu deaktivieren und stattdessen sichere Alternativen, wie FTP/SFTP, zu verwenden.
So deaktivieren Sie die Editoren:
Verbinden Sie sich mit Ihrem Server via SFTP und öffnen Sie die Datei wp-config.php. Diese befindet sich im Hauptverzeichnis Ihrer WordPress-Installation.
// Deaktiviert Theme- und Plugin-Editoren im WordPress Backend
define('DISALLOW_FILE_EDIT', true);
Sobald Sie diese Anpassung gespeichert und hochgeladen haben, sind die integrierten Editoren im WordPress-Backend nicht mehr erreichbar. Möchten Sie die Editoren zu einem späteren Zeitpunkt erneut aktivieren, ersetzen Sie einfach den Wert true durch false oder entfernen Sie die Zeile ganz.
Hinweis: Änderungen an der wp-config.php-Datei sollten vorsichtig vorgenommen werden. Erstellen Sie immer ein Backup, bevor Sie Änderungen durchführen, und testen Sie den Zugriff auf Ihre Seite anschließend.
Um zusätzlich die Sicherheit zu erhöhen, sollten Sie unsicheren FTP-Zugang deaktivieren und nur verschlüsselte Verbindungen nutzen. Falls Ihr Hosting-Anbieter SFTP oder FTPS unterstützt, erzwingen Sie die sichere Verbindung mit folgender Ergänzung in Ihrer wp-config.php:
define('FTP_SSL', true);
Verwenden Sie sichere Plugins und Themes
Unsichere Plugins und Themes zählen zu den häufigsten Einfallstoren für Hacker. Da Erweiterungen von Drittanbietern oft Schwachstellen enthalten, ist es entscheidend, nur vertrauenswürdige und regelmäßig aktualisierte Software zu verwenden.
Folgende Maßnahmen helfen, das Risiko zu minimieren
Prüfung der Quelle:
Installieren Sie Plugins und Themes ausschließlich aus dem offiziellen WordPress-Repository oder von seriösen Entwicklern.
Achten Sie auf gute Bewertungen, regelmäßige Updates und eine hohe Anzahl aktiver Installationen. Verzichten Sie auf sogenannte „nulled“ Plugins oder Themes, die oft Schadcode enthalten.
„Nulled“ Plugins oder Themes sind gehackte oder illegal modifizierte Versionen kostenpflichtiger Software, die ohne gültige Lizenz angeboten werden. Sie stammen oft aus inoffiziellen Quellen und können versteckten Schadcode, Hintertüren oder Malware enthalten, die Ihre Website gefährden.
Wie erkennt man „nulled“ Plugins?
Ungewöhnliche Downloadquellen: Sie werden nicht auf offiziellen Marktplätzen wie WordPress.org, ThemeForest oder den Entwickler-Websites angeboten.
Verdächtig niedriger Preis: Wenn ein normalerweise kostenpflichtiges Plugin oder Theme kostenlos oder extrem günstig angeboten wird, ist Vorsicht geboten.
Fehlende Updates und Support: Nulled-Versionen erhalten keine offiziellen Updates oder Sicherheitsfixes.
Um Sicherheitsrisiken zu vermeiden, sollten Sie Plugins und Themes ausschließlich aus vertrauenswürdigen Quellen beziehen.
Regelmäßige Updates:
Aktivieren Sie automatische Updates für kritische Erweiterungen oder aktualisieren Sie sie manuell in regelmäßigen Abständen.
Falls ein Plugin über längere Zeit nicht mehr gepflegt wird, sollten Sie es durch eine sicherere Alternative ersetzen.
Minimalismus bewahren:
Jedes installierte Plugin erhöht die potenzielle Angriffsfläche. Entfernen Sie ungenutzte oder überflüssige Plugins und Themes konsequent, um die Sicherheit und Performance Ihrer Website zu verbessern.
Manuelle Code-Prüfung:
Falls Sie ein Plugin oder Theme von einer externen Quelle beziehen müssen, sollten Sie den Quellcode auf verdächtige Funktionen überprüfen oder einen Sicherheitsexperten konsultieren.
Wartung & Updates: Der Schlüssel zu dauerhafter WordPress-Sicherheit
Regelmäßige Wartung und Updates Ihrer WordPress-Website sind essentiell:
Sicherheitslücken schließen: Updates beheben bekannte Schwachstellen in WordPress Core, Themes, Plugins und der PHP-Version. Eine veraltete Version kann Hackern Angriffsflächen bieten.
Automatische oder manuelle Updates: WordPress bietet automatische Updates für Core-Dateien und Plugins. Wir empfehlen für die Funktionen Ihrer Webseite essenzielle Plugins und das Theme manuell zu aktualisieren. So haben Sie mehr Kontrolle über Änderungen und können auf etwaige Kompatibilitätsprobleme reagieren.
Regelmäßige Updates und Wartung sind essenziell, um Sicherheitslücken zu schließen und die Stabilität Ihrer Website zu gewährleisten. Vernachlässigte Updates gehören zu den häufigsten Ursachen für erfolgreiche Cyberangriffe.
Lassen Sie uns die Wartung für Sie übernehmen: Mit unserem professionellen WordPress-Wartungsservice kümmern wir uns zuverlässig um Updates, Sicherheit und technische Stabilität – damit Sie sich ganz auf Ihr Kerngeschäft konzentrieren können. Jetzt Wartung anfragen!
Sicherheitslücken schließen
Jede neue Version von WordPress, Plugins oder Themes enthält Fehlerbehebungen und Sicherheits-Patches. Angreifer nutzen bekannte Schwachstellen in veralteten Versionen gezielt aus – regelmäßige Updates verhindern dies.
Automatische oder manuelle Updates
Automatische Updates sind ideal für Sicherheits-Patches und kleinere Webseiten, da sie sofort wichtige Lücken schließen.
Manuelle Updates geben Ihnen mehr Kontrolle, insbesondere wenn Sie eine komplexe Seite betreiben. Sie können neue Versionen erst in einer Testumgebung prüfen, um Kompatibilitätsprobleme mit Plugins oder Themes zu vermeiden.
Update-Plan festlegen
Setzen Sie feste Zeitpunkte für Wartungsarbeiten an (z. B. wöchentlich oder monatlich), um sicherzustellen, dass alle Komponenten Ihrer Website aktuell bleiben. Testen Sie neue Updates zunächst auf einer Staging-Umgebung (Test-Umgebung), um sicherzustellen, dass Ihre Webseite nach der Aktualisierung einwandfrei funktioniert.
Kompatibilität prüfen
Nach einem Update sollten Sie sicherstellen, dass alle Funktionen der Website weiterhin wie gewünscht arbeiten. Besonders größere WordPress-Updates können Anpassungen an Plugins oder Themes erfordern.
Nicht mehr unterstützte Plugins oder Themes entfernen
Erweiterungen, die lange keine Updates mehr erhalten haben, stellen ein Sicherheitsrisiko dar. Falls Entwickler die Pflege einstellen, sollten Sie rechtzeitig eine Alternative suchen.
Welche Sicherheitsplugins? Die besten Tools für WordPress-Schutz im Vergleich
Sicherheitsplugins sind ein essenzieller Bestandteil einer geschützten WordPress-Website. Sie helfen, Angriffe frühzeitig zu erkennen, Schwachstellen zu schließen und verdächtige Aktivitäten zu blockieren. Die folgenden bewährten Lösungen bieten umfassenden Schutz:
Stärkt den Admin-Bereich durch Maßnahmen wie IP-Whitelisting und Sperrung verdächtiger Login-Versuche.
Erkennt unsichere Datei- und Verzeichnisberechtigungen und hilft, diese zu korrigieren.
Überwacht Änderungen an Dateien, um unautorisierte Modifikationen frühzeitig zu entdecken.
Tipp: Viele Sicherheitsplugins bieten ähnliche Funktionen, daher ist es ratsam, nur eines davon zu nutzen, um Konflikte oder unnötige Serverbelastung zu vermeiden. Wählen Sie die Lösung, die am besten zu Ihren individuellen Anforderungen passt.
Backups und Notfallmaßnahmen
Ein durchdachtes Backup- und Notfallkonzept ist entscheidend, um Ihre WordPress-Website nach einem Hackerangriff, Serverausfall oder fehlerhaften Update schnell wiederherzustellen. Ein zuverlässiges Backup minimiert den potenziellen Schaden und ermöglicht es, Ihre Website in kürzester Zeit in den ursprünglichen Zustand zu versetzen.
1. Regelmäßige Backups erstellen
Um Datenverluste zu vermeiden, sollten Backups in festen Intervallen automatisch durchgeführt werden. Dabei gilt:
Tägliche oder mehrmals tägliche Backups für Onlineshops oder stark frequentierte Blogs, bei denen regelmäßig neue Inhalte, Bestellungen oder Nutzerinteraktionen anfallen.
Wöchentliche Backups für kleinere Unternehmensseiten oder Portfolios, die weniger häufig aktualisiert werden.
Echtzeit-Backups für geschäftskritische Websites, die stets auf dem neuesten Stand sein müssen.
Beliebte Backup-Plugins für WordPress:
UpdraftPlus– Automatische Backups mit Cloud-Integration (Google Drive, Dropbox, Amazon S3).
BackWPup – Kostenlose Alternative mit verschiedenen Speicheroptionen.
2. Externe Speicherung der Backups
Ein Backup auf demselben Server wie Ihre WordPress-Installation ist riskant – fällt der Server aus oder wird gehackt, geht auch das Backup verloren. Um dies zu vermeiden:
Nutzen Sie Cloud-Dienste wie Google Drive, Dropbox oder Amazon S3 für eine sichere Speicherung.
Bewahren Sie lokale Kopien auf (z. B. auf einer externen Festplatte oder einem NAS-System).
Redundanz schaffen: Speichern Sie Backups an mindestens zwei verschiedenen Orten.
3. Notfallplan für schnelle Wiederherstellung
Ein detaillierter Notfallplan hilft, im Ernstfall schnell zu reagieren. Dieser sollte enthalten:
Zugriffsdaten und Backup-Standorte – Stellen Sie sicher, dass alle relevanten Personen wissen, wo die Backups gespeichert sind.
Eine Schritt-für-Schritt-Anleitung zur Wiederherstellung – Testen Sie die Wiederherstellung regelmäßig, um sicherzustellen, dass sie problemlos funktioniert.
Kontaktinformationen zu Hosting-Support und Sicherheitsexperten, falls professionelle Hilfe erforderlich ist.
Zugriff auf das Hosting-Konto sicherstellen – Falls der WordPress-Admin-Zugang gesperrt oder kompromittiert ist, sollten Hosting-Zugangsdaten griffbereit sein, um Änderungen direkt am Server vornehmen zu können.
Zugang zu einem Notfall-Admin-Konto – Ein zweites Administrator-Konto kann hilfreich sein, falls das Hauptkonto gehackt oder gesperrt wurde.
Deaktivierung der Website im Notfall – Falls die Website kompromittiert wurde, sollte eine Möglichkeit bestehen, sie schnell offline zu nehmen (z. B. über eine Wartungsseite oder eine temporäre Deaktivierung via .htaccess).
Liste der verwendeten Themes und Plugins – Falls eine Neuinstallation erforderlich ist, erleichtert eine aktuelle Liste der installierten Themes und Plugins die schnelle Wiederherstellung.
Kommunikationsstrategie für Kunden oder Nutzer – Falls eine Webseite geschäftskritisch ist, sollte ein Plan existieren, wie Kunden oder Nutzer über den Vorfall informiert werden (z. B. über Social Media, E-Mail oder eine alternative Landingpage).
Tipp: Testen Sie mindestens einmal pro Quartal eine vollständige Wiederherstellung, um sicherzustellen, dass das Backup tatsächlich funktionsfähig ist. Ein unbrauchbares Backup ist im Ernstfall nutzlos!
HTTPS und SSL-Zertifikate
Ein SSL-Zertifikat ist unerlässlich, um die Sicherheit Ihrer WordPress-Website zu gewährleisten. Es ermöglicht die verschlüsselte Datenübertragung über HTTPS, sodass sensible Informationen vor unbefugtem Zugriff geschützt sind. Dadurch werden Man-in-the-Middle-Angriffe verhindert, bei denen Angreifer versuchen, die Kommunikation zwischen Server und Besucher abzufangen oder zu manipulieren. Zudem stärkt ein SSL-Zertifikat das Vertrauen Ihrer Nutzer und kann sich positiv auf das Suchmaschinen-Ranking auswirken, da sichere Webseiten bevorzugt werden.
1. HTTPS erzwingen
Nach der Installation eines SSL-Zertifikats sollten Sie sicherstellen, dass alle Verbindungen über HTTPS erfolgen:
WordPress- und Website-URLs anpassen: Unter Einstellungen → Allgemein die URLs von „http://“ auf „https://“ umstellen.
Weiterleitung per .htaccess oder Plugin: Falls Besucher noch über HTTP auf Ihre Website zugreifen, kann eine 301-Weiterleitung per .htaccess oder über ein Plugin wie Really Simple SSL helfen.
Mixed Content vermeiden: Prüfen Sie, ob alle eingebundenen Inhalte (Bilder, Skripte, Stylesheets) über HTTPS geladen werden, um Warnhinweise im Browser zu verhindern.
2. Kostenlose vs. kostenpflichtige SSL-Zertifikate
Kostenlose SSL-Zertifikate (z. B. Let's Encrypt): Ideal für kleinere Webseiten, Blogs oder Unternehmensseiten, die grundlegende Verschlüsselung benötigen. Sie werden von den meisten Webhostern automatisch angeboten und regelmäßig erneuert.
Kostenpflichtige SSL-Zertifikate: Empfehlenswert für E-Commerce-Seiten oder Unternehmen, die eine erweiterte Validierung (EV) oder eine Haftungsgarantie benötigen. Diese Zertifikate bieten zusätzliche Sicherheitsmerkmale und stärken das Vertrauen der Nutzer, indem sie z. B. die Unternehmensidentität in der Adressleiste anzeigen.
SSL-Fehlkonfigurationen vermeiden
Achten Sie auf eine vollständige HTTPS-Implementierung, um Browser-Warnungen („Nicht sicher“) zu vermeiden.
Falls WordPress nach der Umstellung Fehler verursacht, können Sie das wp-config.php-File anpassen:
define('FORCE_SSL_ADMIN', true);
Dadurch wird der Admin-Bereich ebenfalls abgesichert.
Tipp: Google bewertet HTTPS-gesicherte Websites positiver – eine Umstellung verbessert also nicht nur die Sicherheit, sondern auch das SEO-Ranking!
Schutz vor Brute Force Attacken
Brute-Force-Angriffe gehören zu den häufigsten Bedrohungen für WordPress-Websites. Dabei versuchen Hacker automatisiert, Passwörter durch massenhafte Anmeldeversuche zu erraten. Da WordPress standardmäßig keine Begrenzung für Login-Versuche hat, sollten gezielte Schutzmaßnahmen implementiert werden.
Zwei-Faktor-Authentifizierung:
Zusätzlich zur Passwortabfrage erfordert 2FA einen weiteren Bestätigungsschritt, z.B. über eine Authenticator-App oder eine SMS. Dadurch wird verhindert, dass Hacker sich mit gestohlenen oder erratenen Passwörtern anmelden. Ein beliebtes Plugin hierfür ist der Google Authentificator von miniOrange.
Login-Versuche begrenzen
Begrenzen Sie die Anzahl fehlgeschlagener Anmeldeversuche, um Brute-Force-Attacken zu blockieren. Sobald eine bestimmte Anzahl von Fehlversuchen erreicht wird, wird die IP-Adresse für eine gewisse Zeit gesperrt. Dies ist bspw. Mit dem WordPress Plugin Limit Login Attempts Reloaded möglich.
Cloudflare als zusätzlicher Schutz
Nutzen Sie den Cloudflare-Service als zusätzliche Schutzschicht gegen Brute-Force-Angriffe. Cloudflare analysiert den eingehenden Datenverkehr und blockiert automatisierte Zugriffe, bevor sie Ihre Website erreichen. Dabei können individuelle Regeln eingerichtet werden, um verdächtige Anfragen an Ihre Login-Seite gezielt zu erkennen und zu verhindern. Cloudflare bietet zusätzlich eine Web Application Firewall (WAF), die zahlreiche Angriffsmuster frühzeitig erkennt und blockiert.
Admin-Bereich zusätzlich schützen
IP-Whitelisting nutzen: Beschränken Sie den Zugriff auf das Login-Panel (wp-login.php) auf bestimmte IP-Adressen über die .htaccess-Datei oder Ihr Sicherheits-Plugin. Diese Methode setzt eine statische IP-Adresse voraus. Falls Ihre IP regelmäßig wechselt (dynamische IP), können Probleme auftreten, z. B. der eigene Ausschluss.
Verzeichnisschutz für wp-admin aktivieren: Ein zusätzlicher Schutz für das /wp-admin-Verzeichnis sorgt dafür, dass Angreifer gar nicht erst zur Login-Seite gelangen. Dies kann mit einem Passwortschutz über .htaccess erfolgen. Dadurch müssen sich Benutzer bereits vor dem eigentlichen WordPress-Login authentifizieren.
Login-Versuche überwachen und unbefugte Zugriffe blockieren
Aktivieren Sie Benachrichtigungen bei fehlgeschlagenen Anmeldeversuchen, um verdächtige Aktivitäten frühzeitig zu erkennen.
Verwenden Sie Geoblocking, um den Zugriff aus Ländern zu blockieren, aus denen kein legitimer Login erfolgen sollte.
Tipp: Verwenden Sie keine einfachen Passwörter oder häufig verwendete Begriffe – diese werden zuerst in Brute-Force-Attacken ausprobiert!
Backups und Notfallmaßnahmen
Eine regelmäßige Schwachstellenanalyse hilft, Sicherheitslücken frühzeitig zu erkennen und zu beheben, bevor sie von Hackern ausgenutzt werden.
WordPress ist ein dynamisches System mit zahlreichen Plugins und Themes, die potenzielle Angriffspunkte bieten können. Durch automatisierte Scans lassen sich verdächtige Aktivitäten, Malware oder unsichere Konfigurationen rechtzeitig identifizieren.
1. Automatische Sicherheitsscans durchführen
Sicherheitsplugins, wie Wordfence und Sucuri, bieten integrierte Scanner, die regelmäßig nach Schadcode, verdächtigen Dateien und bekannten Schwachstellen suchen.
2. Manuelle Sicherheitsprüfungen ergänzen
Neben automatisierten Scans sollten Sie regelmäßig selbst überprüfen, ob Ihre WordPress-Website sicher ist:
Verdächtige Benutzerkonten prüfen – Achten Sie auf unbekannte Administratoren oder neue Benutzer, die Sie nicht selbst angelegt haben.
Datei-Integritätsprüfung durchführen – Überprüfen Sie, ob Core-Dateien unerwartet geändert wurden (Plugins wie Wordfence warnen bei Veränderungen).
Datenbank-Sicherheit testen – SQL-Injections lassen sich mit Tools wie SQLMap simulieren, um Schwachstellen zu erkennen.
Sichtbarkeit sensibler Dateien verhindern – Sicherstellen, dass wp-config.php und .htaccess nicht öffentlich zugänglich sind.
3. Sofortmaßnahmen bei gefundenen Schwachstellen
Falls eine Sicherheitslücke entdeckt wird, sollten Sie schnell handeln:
Betroffene Plugins/Themes sofort aktualisieren oder deaktivieren.
Administrationspasswörter ändern, falls ein Einbruch vermutet wird.
Backups überprüfen und ggf. eine saubere Version wiederherstellen.
Zusätzliche Sicherheitsmaßnahmen aktivieren, z. B. Firewall-Regeln verschärfen oder IP-Adressen sperren.
Tipp: Führen Sie mindestens monatlich einen vollständigen Sicherheitsscan durch, um Ihre WordPress-Seite dauerhaft zu schützen. Automatisierte Scans können zusätzlich in kürzeren Intervallen (täglich oder wöchentlich) eingeplant werden.
Die Sicherheit Ihrer WordPress-Website hängt maßgeblich von proaktiven Maßnahmen ab. Durch die Implementierung starker Passwörter, regelmäßiger Updates, vertrauenswürdiger Plugins und zusätzlicher Schutzmechanismen, wie Zwei-Faktor-Authentifizierung und SSL-Zertifikaten, können Sie das Risiko von Angriffen erheblich reduzieren.
Für vertiefende Informationen und weitere Tipps sind die Guides von Sucuri hilfreich.
Sichern Sie Ihre WordPress-Website regelmäßig und umfassend, um langfristig sicher und erfolgreich zu sein.
Vermeiden Sie Sicherheitsrisiken mit proffessioneller WordPress-Wartung
Regelmäßige Updates, Backups und Sicherheitschecks sind entscheidend, um Ihre Website vor Angriffen zu schützen. Überlassen Sie die Wartung nicht dem Zufall – wir kümmern uns darum.
Mit über einem Jahrzehnt Erfahrung im digitalen Umfeld ist Alexander Fichtl Partner & Head of Web Development bei XPERIENTS. Sein Fokus liegt auf technischer Architektur, Performance-Optimierung und Qualitätssicherung für WordPress, WooCommerce und digitale Analyse-Systeme. Nach der Umsetzung von nahezu hundert Websites und Onlineshops konzentriert er sich heute auf Projektmanagement, Web-Performance und Usability-Optimierung. Mit seiner Can-Do-Mentalität und seinem Blick fürs Detail ist er ein gefragter Experte für Website-Relaunches, E-Commerce-Plattformen und datengetriebenes Online-Marketing.
Homepage, Website oder Webseite – Was ist der Unterschied?
Homepage, Website oder Webseite – kennen Sie den Unterschied? Diese Begriffe werden häufig synonym verwendet, doch genau genommen bedeuten sie nicht dasselbe.
