Impressum | Datenschutz | AGB

WordPress absichern — Schutz vor Hackern

Anfänger
|
📋 WordPress-Installation mit Admin-Zugang, Smartphone für 2FA
Die meisten WordPress-Hacks passieren, weil jemand "admin" als Benutzername und "123456" als Passwort hat. Ernst. Das ist kein Witz, das sind die echten Statistiken. Die gute Nachricht: mit ein paar einfachen Massnahmen machst du dein WordPress so sicher, dass 99% der Angriffe ins Leere laufen. Dauert 20 Minuten. Und die sind verdammt gut investiert.
1

Starkes Passwort setzen

<p>Geh in dein WordPress-Dashboard unter <strong>Benutzer → Profil</strong>. Scroll runter zu "Passwort" und klick auf <strong>"Neues Passwort erstellen"</strong>.</p><p>WordPress generiert automatisch ein sicheres Passwort. <strong>Nimm es.</strong> Ja, es ist lang und hässlich. Genau darum ist es sicher. Speicher es in einem Passwort-Manager wie Bitwarden (gratis) oder 1Password.</p><p>Bitte verwende nicht den Namen deiner Katze mit einer Zahl dahinter. Das knackt jeder Brute-Force-Angriff in Sekunden.</p>

Ein gutes Passwort hat mindestens 16 Zeichen und besteht aus Buchstaben, Zahlen und Sonderzeichen. Oder nimm einen langen Satz — 'MeinHundFrisstGerne4Würste!' ist besser als 'Hund123'.
2

Admin-Benutzername ändern

<p>Falls dein Benutzername "admin" ist: ändern. Sofort. Das ist der erste Name, den Hacker bei Brute-Force-Angriffen ausprobieren.</p><p>WordPress lässt den Benutzernamen leider nicht direkt ändern. So geht's trotzdem:</p><ol><li>Erstelle unter <strong>Benutzer → Neu hinzufügen</strong> einen neuen Benutzer mit einem anderen Namen (z.B. dein Vorname)</li><li>Gib dem neuen Benutzer die Rolle <strong>"Administrator"</strong></li><li>Log dich aus und mit dem neuen Benutzer ein</li><li>Lösche den alten "admin"-Benutzer (Inhalte dem neuen Benutzer zuweisen!)</li></ol>

Verwende keinen Benutzernamen, der auf deiner Website öffentlich sichtbar ist. Unter Profil kannst du einen 'Anzeigenamen' setzen, der sich vom Login-Namen unterscheidet.
3

Wordfence Security installieren

<p>Geh zu <strong>Plugins → Installieren</strong> und such nach <strong>"Wordfence Security"</strong>. Installieren, aktivieren, fertig.</p><p>Wordfence ist das beliebteste Sicherheits-Plugin für WordPress — und die Gratis-Version reicht völlig. Es bietet eine Firewall, einen Malware-Scanner und Brute-Force-Schutz.</p><p>Nach der Aktivierung führt Wordfence automatisch einen ersten Scan durch. Schau dir die Ergebnisse an und behebe allfällige Warnungen.</p>

Alternative zu Wordfence: Solid Security (früher iThemes Security). Auch gut, etwas einfacher in der Bedienung. Nimm aber nur EINS der beiden — zwei Sicherheits-Plugins gleichzeitig verursachen Konflikte.
4

Zwei-Faktor-Authentifizierung (2FA) aktivieren

<p>2FA bedeutet: selbst wenn jemand dein Passwort kennt, kommt er trotzdem nicht rein. Weil er zusätzlich einen Code von deinem Handy braucht.</p><p>Wordfence hat 2FA eingebaut. Geh zu <strong>Wordfence → Login Security</strong>. Dort siehst du einen QR-Code. Scanne ihn mit einer Authenticator-App auf deinem Handy (Google Authenticator oder Microsoft Authenticator, beide gratis).</p><p>Ab jetzt brauchst du beim Login neben deinem Passwort auch den 6-stelligen Code aus der App. Nervig? Ein bisschen. Aber es macht dein WordPress quasi unknackbar.</p>

Speichere die Recovery-Codes, die Wordfence dir anzeigt! Falls du dein Handy verlierst, kommst du sonst nicht mehr in dein WordPress rein.
5

Automatische Updates aktivieren

<p>Veraltete Plugins sind das grösste Einfallstor für Hacker. Punkt. Deshalb: automatische Updates einschalten.</p><p>Geh zu <strong>Plugins → Installierte Plugins</strong>. Bei jedem Plugin siehst du den Link <strong>"Automatische Aktualisierungen aktivieren"</strong>. Klick bei allen drauf.</p><p>Für WordPress selbst: Geh zu <strong>Dashboard → Aktualisierungen</strong>. Dort kannst du auch automatische Updates für die WordPress-Kernversion aktivieren.</p>

Bei grossen oder wichtigen Websites: Mach vor den Updates immer ein Backup. Automatische Updates können selten zu Kompatibilitätsproblemen führen. Bei einem kleinen Blog ist das Risiko aber minimal.
6

Backup-Plan einrichten

<p>Falls doch mal was schiefgeht — ob Hack, Update-Problem oder eigener Fehler — brauchst du ein Backup. Kein Backup, kein Mitleid. So sagt man das in der IT.</p><p>Installiere das Plugin <strong>"UpdraftPlus"</strong> (gratis). Unter <strong>Einstellungen → UpdraftPlus Backups</strong> richtest du ein automatisches Backup ein. Empfehlung: <strong>wöchentlich</strong>, gespeichert in Google Drive oder Dropbox.</p><p>Viele Schweizer Hoster (Cyon, Hostpoint, Infomaniak) machen auch eigene Backups. Aber verlass dich nicht nur darauf — ein eigenes Backup schadet nie.</p>

Teste das Backup einmal! Lade es herunter und schau, ob die Dateien vollständig sind. Ein Backup, das nicht funktioniert, ist kein Backup.

Häufige Fragen

Reicht die kostenlose Version von Wordfence?
Ja, für die allermeisten Websites absolut. Die Premium-Version hat eine Echtzeit-Firewall und schnelleren Malware-Scan, aber die Gratis-Version deckt die wichtigsten Funktionen ab.
Kann mein WordPress trotzdem gehackt werden?
Theoretisch ja, 100% Sicherheit gibt es nie. Aber mit diesen 6 Schritten bist du besser geschützt als 95% aller WordPress-Seiten. Hacker greifen die leichten Ziele an — und das bist du dann nicht mehr.
Was mache ich, wenn mein WordPress schon gehackt wurde?
Passwort sofort ändern, Wordfence-Scan durchführen. Falls das nicht reicht: Backup einspielen. Die meisten Schweizer Hoster helfen dir auch beim Bereinigen — ruf den Support an.

Verwandte Anleitungen

WordPress installieren bei Cyon – Schritt für Schritt

WordPress installieren bei Hostpoint – Schritt für Schritt

Verwandte Begriffe

Den passenden Hoster finden?

Hosting vergleichen →