Zusammenfassung
Wie kannst du deine Installation prüfen, welche Sicherheits-Setups eignen sich für kleinere und größere Websites oder Shops und warum sichere Passwörter dabei unverzichtbar sind.
Aktualisiert am 30. Oktober 2025
Eine sichere WordPress-Website beginnt mit den richtigen Grundlagen. Bevor du dich in komplexe Sicherheitskonzepte stürzt, reicht oft schon ein durchdachtes Basis-Setup, um deine Seite zuverlässig zu schützen. Ob kleine Visitenkarte, persönlicher Blog oder Unternehmensseite mit mehreren Redakteuren – mit den passenden Plugins und ein paar einfachen Maßnahmen kannst du Login-Angriffe abwehren, Schadcode blockieren und im Ernstfall auf Backups zurückgreifen.
Setup 1: Sicher und einfach für kleine Seiten – kein Stress, kein Aufwand.
Setup 2: Für größere Teams und Projekte – mehr Kontrolle, trotzdem unkompliziert.
WordPress Website-Zustand
… Prüfen: Lese hier, welche Informationen du erhältst ↓
Setup 1: Minimal-Setup
Für kleine Websites (Visitenkarte, Blog, Portfolio)
Plugins
Security Optimizer (SiteGround)
- schützt den Login-Bereich → Angreifer können sich nicht so leicht einloggen
- kann die Login-URL ändern (statt
/wp-login.phpz. B. etwas eigenes) - schaltet unnötige Angriffsflächen ab (z. B. XML-RPC)
BBQ Firewall
- blockiert automatisch „gefährliche Anfragen“ an den Server
- z. B. wenn jemand mit einer URL versucht, Schadcode einzuschleusen
- arbeitet komplett im Hintergrund, keine Einstellung nötig
UpdraftPlus Free
- macht Backups (z. B. täglich)
- Backups lassen sich auf Google Drive, Dropbox usw. speichern
- ganz wichtig, falls doch mal etwas kaputtgeht → man kann die Website leicht wiederherstellen
Hier findest du eine Checkliste, wie du UpdraftPlus funktioniert →
Wenn sich deine Website nur selten ändert, reicht oft ein einfaches Backup-Verfahren: Ich nutze dafür All-in-One Migration → und sichere vor jeder Änderung die Installation. Alternativ kann auch der Kunde selbst nach neuen Artikeln oder Updates eine Sicherung anlegen.
Erklärung :
Dieses Setup schützt eine kleine Website gegen die häufigsten Angriffe und sorgt gleichzeitig dafür, dass man immer ein Backup hat.
- Angreifer kommen schwerer ins Backend.
- Schadcode in URLs wird blockiert.
- Falls doch etwas schiefgeht, gibt es ein Backup.
- Sehr wenig Konfiguration, sehr schnell → ideal für Einsteigerseiten.
Setup 2: Solider Basisschutz
Für Unternehmen, Praxen, Vereine – also Websites, die öfter aktualisiert werden und wo mehrere Personen Inhalte pflegen
Plugins
Security Optimizer
- Login absichern (2-Faktor möglich)
- Grund-Hardening → typische Sicherheitslücken schließen
BBQ Firewall
- blockiert Angriffe über URLs automatisch
WP Activity Log oder Simple History
- protokolliert, wer wann was geändert hat (z. B. ein Redakteur löscht eine Seite)
- sehr praktisch bei mehreren Benutzern, auch für Nachvollziehbarkeit
UpdraftPlus
- tägliche Backups, besser extern gespeichert
- im Ernstfall: Restore mit ein paar Klicks
Erklärung: Dieses Setup geht einen Schritt weiter
- Neben Login-Schutz und URL-Blockierung bekommt man auch Kontrolle und Transparenz: Wer arbeitet wann an der Website?
- Gerade für Teams, Agenturen oder Praxen mit mehreren Mitarbeitern wichtig, um Fehler schnell nachvollziehen zu können.
- Zusätzlich gibt es Backups – die Grundregel: Ohne Backup keine echte Sicherheit!
- Dieses Setup ist immer noch leichtgewichtig, aber professioneller als das Minimal-Setup.
Setup 1 & 2 im Vergleich
| Setup | Plugins | Funktion | Geeignet für |
|---|---|---|---|
| Minimal-Setup | – Security Optimizer- BBQ Firewall- UpdraftPlus | – Login absichern (2FA, URL ändern)- Gefährliche Anfragen blocken- Automatische Backups erstellen | Kleine Websites, Blogs, Portfolios, „Visitenkarten“-Seiten |
| Solider Basisschutz | – Security Optimizer- BBQ Firewall- WP Activity Log oder Simple History- UpdraftPlus | – Alles aus Minimal-Setup- Änderungen im Backend protokollieren- Mehr Transparenz bei mehreren Benutzern- Externe Backups speichern | Unternehmensseiten, Praxen, Vereine, Projekte mit mehreren Redakteuren |
Sichere Passwörter
Sichere Passwörter sind einer der wichtigsten Schritte, um deine WordPress-Website zu schützen. Verwende lange Passwörter (mindestens 12 Zeichen) mit einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Vermeide einfache Wörter oder persönliche Daten wie Namen und Geburtstage. Nutze am besten einen Passwort-Manager, um komplexe Passwörter zu erstellen und sicher zu speichern. So verhinderst du, dass Angreifer dein Login leicht erraten können. Lies hierzu meinen Artikel über Passwörter →
Website-Zustand in WordPress
Werkzeuge → Website-Zustand ist so etwas wie ein Gesundheitscheck für deine Website.
Hier eine einfache Zusammenfassung:
Allgemeine Gesundheit
- Eine Bewertung („Gut“ oder „Verbesserungen erforderlich“).
- Dient als schneller Überblick, ob deine Website technisch sauber läuft.
Kritische Probleme
Dinge, die sofort behoben werden sollten, z. B.:
- Fehlende Sicherheitsupdates
- Veraltetes PHP
So erfährst du, wie du die PHP-Version anpassen kannst → - Plugins oder Themes mit bekannten Sicherheitslücken
Empfohlene Verbesserungen
Hinweise, die nicht kritisch sind, aber die Performance oder Sicherheit verbessern würden, z. B.:
- Inaktive Plugins/Themes löschen
- HTTPS aktivieren
- REST-API prüfen
- Caching aktivieren
Technische Informationen
Detaillierte Systeminfos deiner WordPress-Installation:
- WordPress-Version, PHP-Version, Datenbank-Version
- Serverinfos
- Eingestellte Limits (z. B. max. Uploadgröße, Speicherlimit)
- Aktive Plugins und Themes
Diese Infos sind besonders praktisch, wenn du Support brauchst oder Fehler suchst.
Automatische Updates?
Viele meiner Webdesigner-Kollegen führen Updates manuell durch – das hat den Vorteil, dass man sofort prüfen kann, ob nach einem Update alles reibungslos läuft. Der Nachteil: Es kostet jedes Mal Zeit und wird leicht vergessen. Automatische Updates sind dagegen bequem und sorgen dafür, dass Sicherheitslücken schnell geschlossen werden. Voraussetzung ist jedoch, dass das Theme von den Programmierern aktuell gehalten wird und auch die Plugins regelmäßig gepflegt werden. In diesem Fall bieten automatische Updates eine sichere und stressfreie Lösung.
Ich bevorzuge automatische Updates und habe damit gute Erfahrungen gemacht. Manchmal gibt es Plugins, wo das allerdings nicht sinnvoll ist: bei WPML Multilingual CMS und String Translation kann es z.B. einen Versions-Mismatch geben. Hier solltest du auf einer Stagingbühne die Funktionalität testen oder das alte Plugin über FTP sichern und ggf. wieder einspielen.
| Updates | Vorteile | Nachteile | Geeignet für |
|---|---|---|---|
| Manuell | – Kontrolle bei jedem Update- Fehler lassen sich sofort prüfen | – Zeitaufwendig- Updates können vergessen werden | Kleine Websites, Webdesigner, die alles selbst prüfen möchten |
| Automatisch | – Schnell & bequem- Sicherheitslücken werden sofort geschlossen- Kein Aufwand im Alltag | – Läuft nur stabil, wenn Theme & Plugins regelmäßig gepflegt werden- Probleme werden evtl. später bemerkt | Moderne Themes, aktiv gepflegte Plugins, Websites mit wenig individueller Anpassung |
Weniger ist mehr: Die alte Regel „so wenig Plugins wie nötig“ gilt nach wie vor. Jedes zusätzliche Plugin bringt potenzielle Sicherheitslücken und erhöht die Komplexität. Wenn du bewusst ausgewählte, gepflegte Erweiterungen nutzt, reduziert du Fehlerquellen und machst automatische Updates zuverlässiger.
Woran erkennst du ein gepflegtes Plugin?
Alte oder nicht mehr gepflegte Plugins sind gefährlich, weil Hacker bekannte Schwachstellen ausnutzen können, um in deine Website einzubrechen.
- Letztes Update: Nicht älter als ein paar Monate (idealerweise < 6 Monate).
- Kompatibilität: Hinweis „Kompatibel mit deiner WordPress-Version“ im Plugin-Verzeichnis.
- Downloads & Bewertungen: Viele aktive Installationen und überwiegend gute Rezensionen.
- Support-Aktivität: Fragen im Support-Forum werden zeitnah beantwortet.
- Changelog: Regelmäßige Einträge mit Bugfixes, Verbesserungen und Sicherheits-Updates.
- Entwickler-Team: Seriöser Anbieter oder Firma, nicht nur ein Hobby-Projekt ohne erkennbare Pflege.