WordPress ist eines der meistgenutzten Content-Management-Systeme weltweit und damit auch ein beliebtes Ziel für automatisierte Angriffe. Die gute Nachricht: mit ein paar gezielten Massnahmen lässt sich eine WordPress-Installation so absichern, dass die meisten Angriffe abprallen. Dieser Artikel zeigt dir, welche Schritte wirklich wichtig sind und wie du sie umsetzt, auch ohne Technik-Hintergrund.
Warum WordPress angegriffen wird
WordPress ist beliebt, und alles, was beliebt ist, wird zum Ziel. Angreiferinnen und Angreifer scannen das Internet nach bekannten Schwachstellen in WordPress-Installationen, Plugins oder Themes. Das läuft vollautomatisch: ein Bot findet eine Website mit veralteter Software und versucht automatisiert, sie zu kompromittieren.
Typische Angriffs-Muster
- Brute-Force auf die Login-Seite: Bots probieren tausende Passwörter pro Minute durch.
- Ausnutzen bekannter Plugin-Schwachstellen: Veraltete Plugins mit dokumentierten Sicherheitslücken.
- Injection-Angriffe: SQL-Injection, XSS und ähnliche Techniken, um Code einzuschleusen.
- Malware-Upload über Formulare: Bösartige Dateien werden über schlecht geschützte Upload-Formulare hochgeladen.
- Diebstahl von Login-Cookies: Über ungesicherte Verbindungen oder Malware im Browser.
Die meisten dieser Angriffe scheitern an grundlegenden Schutzmassnahmen. Eine gut abgesicherte WordPress-Installation ist für automatisierte Angriffe kein attraktives Ziel mehr.
Login-Bereich schützen
Der WordPress-Login ist das Einfallstor Nummer eins. Wer hier hart gegen Brute-Force absichert, verhindert die meisten Angriffe.
Starke Passwörter
Ein starkes Passwort ist mindestens 16 Zeichen lang und enthält Grossbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Noch wichtiger: es wird nur einmal verwendet und nicht in anderen Diensten. Ein Passwort-Manager wie Bitwarden, 1Password oder KeePass speichert die Passwörter sicher und generiert neue.
Benutzername "admin" vermeiden
Der Standard-Benutzername "admin" steht in jedem Angriffs-Wörterbuch. Nutze einen eindeutigen Benutzernamen. Falls deine Installation noch "admin" als Benutzer hat, leg einen neuen Admin an und lösch den alten nach der Übernahme.
Zwei-Faktor-Authentisierung
Mit 2FA reicht das Passwort allein nicht mehr. Zusätzlich brauchst du einen Code aus einer App wie Google Authenticator, Authy oder 1Password. Selbst ein gestohlenes Passwort nützt ohne den zweiten Faktor nichts. Plugins wie Wordfence, Solid Security oder Two Factor Authentication bringen 2FA mit.
Login-URL ändern
Die Standard-Login-URL von WordPress ist /wp-login.php oder /wp-admin/. Bots zielen genau auf diese URLs. Wenn du die Login-URL auf etwas Eigenes änderst (z.B. /mein-einlogg-pfad), wissen Bots nicht, wo sie angreifen sollen. Plugins wie WPS Hide Login erledigen das in wenigen Minuten.
Login-Limit
Ein Login-Limit blockiert IP-Adressen nach zu vielen fehlgeschlagenen Versuchen. Das verhindert Brute-Force-Angriffe wirkungsvoll. Sicherheits-Plugins wie Wordfence bringen diese Funktion mit, oder du nutzt ein spezialisiertes Plugin wie Limit Login Attempts Reloaded.
Updates und Patches
Veraltete Software ist die häufigste Ursache für gehackte WordPress-Seiten. Jedes Update schliesst meistens irgendwelche Sicherheitslücken. Wer die Updates nicht einspielt, bleibt verwundbar.
Was regelmässig aktualisiert werden muss
- WordPress-Core: Hauptsoftware. Sicherheitsupdates kommen kurzfristig, Haupt-Releases etwa zweimal pro Jahr.
- Themes: Auch Themes können Schwachstellen haben, besonders bei älteren oder selten gepflegten.
- Plugins: Der häufigste Einfallsweg. Ein verwundbares Plugin reicht.
- PHP-Version: Der Hoster aktualisiert PHP. Prüf die Kompatibilität deiner Plugins und wechsle rechtzeitig.
Automatische Updates
WordPress unterstützt automatische Updates für den Core und für Plugins. Für Sicherheits-Releases sind automatische Updates praktisch Pflicht, weil sie sofort installiert werden, ohne manuelles Eingreifen. Für grössere Plugin-Updates ist manuelles Testen in einer Staging-Umgebung sicherer.
Alte PHP-Versionen vermeiden
PHP 7.4 und älter bekommen keine Sicherheitsupdates mehr. Wer noch auf diesen Versionen ist, sollte dringend auf PHP 8.x wechseln. Beim Wechsel prüfst du vorher, ob alle deine Plugins kompatibel sind.
Plugins und Themes
Jedes Plugin und jedes Theme ist ein potenzielles Einfallstor. Weniger ist sicherer.
Vertrauenswürdige Quellen
Installier Plugins und Themes nur aus vertrauenswürdigen Quellen: das offizielle WordPress-Repository, die Premium-Marketplaces von etablierten Entwicklerinnen, direkt von bekannten Herstellern. Cracked oder Nulled Plugins aus zwielichtigen Quellen enthalten oft Schadcode.
Plugin-Bestand schlank halten
Jedes Plugin kostet Performance und Sicherheits-Angriffsfläche. Eine WordPress-Seite mit 40 Plugins hat 40 potenzielle Einfallstore. Räum regelmässig auf: welche Plugins brauchst du wirklich? Welche hast du mal installiert und nie genutzt? Deaktiviere und lösche alles, was du nicht brauchst.
Abandoned Plugins meiden
Plugins, die seit Jahren nicht mehr aktualisiert wurden, sind ein Risiko. Wenn der Entwickler nicht mehr reagiert, werden Sicherheitslücken nicht geschlossen. Such nach Alternativen, die aktiv gepflegt werden.
Nicht genutzte Themes löschen
WordPress installiert standardmässig mehrere Themes. Löschen, was du nicht brauchst. Auch inaktive Themes können Schwachstellen haben.
Sicherheits-Plugin einrichten
Ein Sicherheits-Plugin bündelt viele Schutzmassnahmen in einem Werkzeug.
Empfehlenswerte Sicherheits-Plugins
- Wordfence: Weit verbreitet, kostenlose Version mit WAF, Malware-Scan, Login-Schutz, 2FA.
- Solid Security: Fokus auf Härtung der Installation, 2FA, Brute-Force-Schutz.
- Sucuri Security: Bekannt für Malware-Scan und WAF, Pro-Version mit Unterstützung.
- All-In-One Security (AIOS): Kostenlose Alternative mit vielen Features.
Was das Plugin leistet
- Web Application Firewall (WAF) zum Blockieren bekannter Angriffs-Muster.
- Malware-Scanner zum Erkennen kompromittierter Dateien.
- Login-Schutz mit Brute-Force-Limit und 2FA.
- Benachrichtigung bei verdächtigen Aktivitäten.
- Blockieren von IP-Adressen, die wiederholt angegriffen haben.
- Verstärkung der Dateirechte und Konfiguration.
Nur ein Sicherheits-Plugin
Installier nicht mehrere Sicherheits-Plugins parallel. Sie kommen sich in die Quere, verlangsamen die Seite und können falsche Positives erzeugen. Wähl ein Plugin und konfiguriere es sauber.
Dateirechte und wp-config.php
Die Dateirechte im Webspace sind oft zu lax eingestellt. Richtige Werte erschweren das Schreiben bösartiger Dateien durch Angreiferinnen.
Empfohlene Dateirechte
- Verzeichnisse: 755 (rwxr-xr-x)
- Dateien: 644 (rw-r--r--)
- wp-config.php: 600 oder 640 (nur Lese-Zugriff für den Webserver-Nutzer)
wp-config.php schützen
Die wp-config.php enthält die Datenbank-Zugangsdaten und andere sensible Informationen. Sie sollte strenger geschützt werden als normale Dateien. Zusätzlich kannst du in der .htaccess verbieten, dass die Datei direkt über das Web aufgerufen wird. Die meisten Sicherheits-Plugins machen das automatisch.
Disable File Editing
Standardmässig erlaubt WordPress, Plugin- und Theme-Dateien direkt im Admin-Backend zu bearbeiten. Das ist bequem, aber ein Sicherheitsrisiko: ein kompromittierter Admin-Account kann direkt Schadcode einschleusen. Deaktivier das in der wp-config.php mit der Zeile define('DISALLOW_FILE_EDIT', true);
Backups als Sicherheitsnetz
Auch die beste Sicherheit kann scheitern. Ein aktuelles Backup ist dein Sicherheitsnetz.
Backup-Strategie
- Automatisierte regelmässige Backups (je nach Änderungshäufigkeit täglich bis wöchentlich).
- Mindestens zwei voneinander unabhängige Speicherorte.
- Regelmässige Tests der Wiederherstellung.
- Backups vor jedem grösseren Update als zusätzliche Vorsichtsmassnahme.
Empfehlenswerte Backup-Plugins
- UpdraftPlus: Der Klassiker, kostenlose Version reicht für viele Projekte.
- BackWPup: Kostenlose Alternative mit gutem Funktionsumfang.
- Duplicator: Fokus auf komplette Website-Pakete, auch gut für Backups.
Rolle des Hosters
Ein guter Hoster trägt viel zur Sicherheit bei.
Was ein sicherer Hoster liefert
- Aktuelle PHP-Version mit Sicherheits-Patches.
- Server-seitige Firewall.
- Isolation zwischen Kunden-Accounts.
- SSL-Zertifikat kostenlos inklusive.
- Automatische Hoster-Backups als zusätzliche Ebene.
- Support bei Sicherheits-Vorfällen.
- Erkennung und Abwehr häufiger Angriffsmuster auf Netzwerk-Ebene.
Schweizer Hoster als solide Basis
Die grossen Schweizer Hoster (Cyon, Hostpoint, Infomaniak, Hosttech) erfüllen diese Punkte in ihren Hosting-Paketen. Das allein macht deine Website aber nicht sicher. Du musst weiterhin deine Passwörter pflegen, Plugins aktuell halten und auf auffälliges Verhalten achten.
Mein Fazit, WordPress lässt sich gut absichern
WordPress-Sicherheit ist machbar, auch ohne tiefes Technik-Wissen. Die wichtigsten Schritte sind konkret und schnell umgesetzt.
Meine konkreten Empfehlungen:
- Setze ein starkes, einmaliges Passwort und richte Zwei-Faktor-Authentisierung ein.
- Ändere die Login-URL zu etwas Eigenem.
- Aktivier automatische Updates für den Core und Plugin-Sicherheitsupdates.
- Installier ein Sicherheits-Plugin wie Wordfence oder Solid Security.
- Halte den Plugin-Bestand schlank, lösch ungenutzte Plugins und Themes.
- Sorge für regelmässige Backups auf mehreren Speicherorten.
- Schütze die wp-config.php und deaktivier den File-Editor im Admin.
- Nutze einen Schweizer Hoster mit soliden Sicherheits-Grundlagen.
Wer diese Punkte umsetzt, hat die wichtigsten Schutzmassnahmen abgedeckt. Die meisten automatisierten Angriffe werden an dieser Basis scheitern, und für die seltenen gezielten Angriffe ist das Backup dein Rettungsanker. WordPress-Sicherheit ist kein einmaliger Akt, sondern ein laufender Prozess, der mit jeder neuen Plugin-Version, jedem Core-Update und jeder Konfigurations-Änderung wiederkehrt.
