Impressum | Datenschutz | AGB

Website-Sicherheit Checkliste Schweiz

Die wichtigsten Schutzmassnahmen für WordPress und PHP-Websites

Zuletzt aktualisiert: April 2026
Website-Sicherheit Checkliste Schweiz

Eine gehackte Website ist ein Albtraum. Der Arbeitsaufwand zur Wiederherstellung ist hoch, der Reputations-Schaden schwer zu beziffern, und im schlimmsten Fall werden Kundendaten geleakt, was rechtliche Konsequenzen nach sich zieht. Die meisten Angriffe auf Websites sind aber nicht raffiniert, sondern nutzen bekannte Schwachstellen aus, die mit einfachen Massnahmen geschlossen werden können. Dieser Artikel zeigt dir die wichtigsten Punkte für eine sichere Website, priorisiert nach Aufwand und Wirkung.

Kurz und knappDie wichtigsten Schutzmassnahmen: SSL-Zertifikat (Let's Encrypt), regelmässige Updates aller Komponenten (Core, Themes, Plugins), automatisierte Backups, starke Passwörter mit Zwei-Faktor-Authentisierung, ein Sicherheits-Plugin wie Wordfence oder Solid Security, ein schlanker Plugin-Bestand. Die meisten Angriffe lassen sich mit diesen Basics verhindern.

Warum Website-Sicherheit heute Pflicht ist

Die Bedrohungslage für Websites hat sich in den letzten Jahren verändert. Während früher gezielte Angriffe dominierten, laufen heute massenhafte automatisierte Attacken. Bots scannen das Internet nach bekannten Schwachstellen, probieren Login-Kombinationen durch oder suchen nach verwundbaren Plugin-Versionen. Jede Website wird früher oder später angegriffen, unabhängig von ihrer Grösse oder Bekanntheit.

Die typischen Angriffs-Ziele:

  • Übernahme der Website für Spam-Versand oder Redirects auf Schad-Seiten.
  • Einschleusen von Malware, die Besucherinnen infiziert.
  • Diebstahl von Kundendaten, besonders bei Shops.
  • SEO-Manipulation durch versteckte Spam-Links.
  • Ressourcen-Missbrauch für Krypto-Mining oder DDoS-Angriffe.

Die meisten dieser Angriffe lassen sich mit Basis-Massnahmen verhindern. Die wichtigsten Schritte kosten wenig Zeit und sind technisch unkompliziert.

SSL als erste Verteidigungslinie

Ohne SSL-Verschlüsselung wird deine Website heute vom Browser als unsicher markiert, und alle Daten werden im Klartext übertragen. Für eine moderne Website ist SSL Pflicht, nicht optional.

Einrichtung

Die guten Nachrichten: SSL-Zertifikate sind dank Let's Encrypt kostenlos verfügbar. Die grossen Schweizer Hoster (Cyon, Hostpoint, Infomaniak, Hosttech) richten SSL in der Regel automatisch ein, sobald die Domain auf den Server zeigt. Kein manueller Aufwand nötig.

Was SSL leistet

  • Verschlüsselung der Datenübertragung zwischen Server und Browser.
  • Schutz vor Mitlesen bei unsicheren WLAN-Verbindungen.
  • Vertrauens-Signal für Besucherinnen (Schloss-Symbol).
  • Ranking-Vorteil bei Google.
  • Voraussetzung für moderne Web-Features (HTTP/2, Service Workers).

Regelmässige Updates

Veraltete Software ist der häufigste Einfallweg für Angriffe. WordPress-Core, Themes und Plugins werden regelmässig aktualisiert, meistens um Sicherheitslücken zu schliessen. Wer die Updates nicht einspielt, bleibt angreifbar.

Was aktualisiert werden muss

  • WordPress-Core: Die Hauptsoftware. Sicherheitsupdates kommen kurzfristig, Haupt-Versionen etwa zweimal pro Jahr.
  • Themes: Auch Themes können Sicherheitslücken haben, besonders bei älteren oder wenig gepflegten Templates.
  • Plugins: Der häufigste Einfallweg. Ein einziges verwundbares Plugin kann die ganze Seite gefährden.
  • PHP-Version: Der Hoster aktualisiert die PHP-Version. Als Nutzerin solltest du beim Release neuer PHP-Versionen prüfen, ob deine Plugins kompatibel sind, und dann updaten.

Automatische vs. manuelle Updates

WordPress erlaubt automatische Updates für den Core und Plugins. Für Sicherheitsupdates sind automatische Updates sinnvoll, weil sie ohne manuelles Eingreifen laufen. Für grössere Plugin-Updates kann manuelles Einspielen nach einem Backup die sicherere Wahl sein, weil Kompatibilitäts-Probleme auftreten können.

Plugins, die du nicht mehr brauchst

Deaktivierte Plugins bleiben trotzdem eine Angriffsfläche, weil die Dateien auf dem Server liegen. Lösch Plugins, die du nicht mehr aktiv nutzt, komplett. Weniger Plugins bedeutet weniger Risiko.

Backups als Rettungsanker

Selbst mit allen Schutzmassnahmen kann etwas schiefgehen. Ein vollständiges Backup ist der Unterschied zwischen einem halben Tag Arbeit und einem Totalverlust.

Was ins Backup gehört

  • Alle Dateien (WordPress-Core, Themes, Plugins, Uploads).
  • Die komplette Datenbank.
  • Konfigurationsdateien wie wp-config.php und .htaccess.

Backup-Frequenz

  • Blog mit wöchentlichen Beiträgen: wöchentliches Backup reicht.
  • Shop oder aktive Community: tägliches Backup.
  • Sehr aktive Seiten: mehrfach täglich oder Managed-Backup-Service.

Backup-Speicherort

Mindestens zwei voneinander unabhängige Speicherorte. Ein Backup auf dem gleichen Server wie die Website ist wertlos, wenn der Server kompromittiert wird. Lade Backups zusätzlich zu einem Cloud-Speicher wie Google Drive, Dropbox oder deinem eigenen Rechner.

Starke Passwörter und Zwei-Faktor

Schwache oder wiederverwendete Passwörter sind ein klassischer Einfallweg. Brute-Force-Angriffe auf die WordPress-Login-Seite gehören zum Standard-Repertoire von Angriff-Bots.

Starke Passwörter

Ein starkes Passwort hat mindestens 16 Zeichen und enthält Grossbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Noch wichtiger: es wird nirgendwo sonst verwendet. Ein Passwort-Manager wie Bitwarden, 1Password oder KeePass speichert die Passwörter sicher.

Zwei-Faktor-Authentisierung

Mit Zwei-Faktor-Authentisierung (2FA) reicht das Passwort allein nicht mehr aus. Zusätzlich braucht es einen Code aus einer App wie Google Authenticator, Authy oder 1Password. Selbst wenn das Passwort geraten oder gestohlen wird, bleibt der Login geschützt. Plugins wie Wordfence, Solid Security oder Two Factor Authentication liefern 2FA für WordPress.

Admin-Benutzername nicht "admin"

Der Standard-Benutzername "admin" ist in jedem Angriffs-Wörterbuch enthalten. Nutze einen eindeutigen Benutzernamen, der nicht raten lässt. Falls du den Standard-Admin hast, leg einen neuen an und lösch den alten.

Sicherheits-Plugins und Firewall

Ein Sicherheits-Plugin ergänzt die WordPress-eigenen Schutzmassnahmen um aktive Überwachung und Blocking.

Empfehlenswerte Sicherheits-Plugins

  • Wordfence: Eines der verbreitetsten Sicherheits-Plugins für WordPress. Bietet Firewall, Malware-Scan, Login-Schutz. Kostenlose Version deckt die wichtigsten Funktionen ab.
  • Solid Security (früher iThemes Security): Fokus auf Härtung der WordPress-Installation, Brute-Force-Schutz, Malware-Scan.
  • Sucuri Security: Bekannt für seinen Malware-Scan und die Sicherheits-Firewall. Kostenpflichtige Pro-Version mit umfassender Unterstützung.
  • All-In-One Security (AIOS): Kostenlose Alternative mit vielen Features.

Was ein Sicherheits-Plugin leistet

  • Web Application Firewall (WAF) zum Blockieren bekannter Angriffs-Muster.
  • Malware-Scanner zum Erkennen kompromittierter Dateien.
  • Login-Schutz mit Brute-Force-Limit.
  • Zwei-Faktor-Authentisierung.
  • Benachrichtigung bei verdächtigen Aktivitäten.
  • Blockieren von IP-Adressen, die wiederholt angegriffen haben.

Ein Plugin reicht

Installier nicht mehrere Sicherheits-Plugins gleichzeitig. Sie können sich in die Quere kommen und die Seite verlangsamen. Wähl ein Plugin, das zu deinen Bedürfnissen passt, und konfiguriere es sauber.

Rolle des Hosters

Auch der Hoster trägt zur Sicherheit bei. Ein guter Schweizer Hoster liefert eine sichere Grundlage, auf der du aufbauen kannst.

Was ein guter Hoster leistet

  • Aktuelle PHP- und Datenbank-Versionen mit Sicherheits-Patches.
  • Firewall auf Server-Ebene.
  • Malware-Scanner in manchen Paketen.
  • Automatische Backups als zusätzliche Sicherheits-Ebene.
  • SSL-Zertifikat kostenlos inklusive.
  • Support bei Sicherheits-Vorfällen.
  • Isolation zwischen Kunden (kein Zugriff über Nachbar-Accounts).

Schweizer Hoster als Wahl

Cyon, Hostpoint, Infomaniak und Hosttech erfüllen diese Punkte in ihren Hosting-Paketen. Die Sicherheits-Grundlagen sind meistens bereits konfiguriert, und der Support hilft bei Fragen. Für die Sicherheit der einzelnen Website bist du aber trotzdem verantwortlich (Updates, Passwörter, Plugins).

Mein Fazit, Website-Sicherheit ist machbar

Die Sicherheit einer Website ist kein einmaliger Akt, sondern ein laufender Prozess. Die guten Nachrichten: die wichtigsten Schutzmassnahmen sind technisch einfach und kosten wenig Zeit, wenn sie einmal eingerichtet sind.

Meine konkreten Empfehlungen:

  • SSL-Zertifikat aktivieren (bei Schweizer Hostern automatisch).
  • Automatische Updates für WordPress-Core und Plugin-Sicherheitsupdates.
  • Regelmässige Backups auf mindestens zwei voneinander unabhängige Speicherorte.
  • Starke Passwörter mit Passwort-Manager und Zwei-Faktor-Authentisierung.
  • Ein Sicherheits-Plugin wie Wordfence oder Solid Security.
  • Plugin-Bestand schlank halten, nicht genutzte Plugins löschen.
  • Regelmässig in die Server-Logs und das Sicherheits-Plugin schauen.

Wer diese Punkte abdeckt, wehrt die meisten automatisierten Angriffe ab. Gezielte Angriffe auf kleine Websites sind selten, und wenn sie vorkommen, kannst du mit einem aktuellen Backup schnell wiederherstellen. Der Aufwand für Sicherheit ist überschaubar, der Nutzen enorm.

Sicheres Hosting finden

Vergleiche Schweizer Hosting-Anbieter mit integrierter Sicherheit.

Zum Hosting-Vergleich

Das könnte dich auch interessieren