Sicherheit in WordPress

Aktualisiert am 10. Mai 2026

Eine sichere WordPress-Website beginnt mit den richtigen Grundlagen. Bevor du dich in komplexe Sicherheitskonzepte stürzt, reicht oft schon ein durchdachtes Basis-Setup, um deine Seite zuverlässig zu schützen. Ob kleine Visitenkarte, persönlicher Blog oder Unternehmensseite mit mehreren Redakteuren – mit den passenden Plugins und ein paar einfachen Maßnahmen kannst du Login-Angriffe abwehren, Schadcode blockieren und im Ernstfall auf Backups zurückgreifen.

Schritt 1: Prüfe deine WordPress-Installation
Setup 1: Sicher und einfach für kleine Seiten – kein Stress, kein Aufwand.
Setup 2: Für größere Teams und Projekte – mehr Kontrolle, trotzdem unkompliziert.
Setup 3: Profi-Absicherung

WordPress Website-Zustand

… Prüfen: Lese hier, welche Informationen du erhältst ↓

Setups im Vergleich

Setup 1: Minimal-Setup

Für kleine Websites (Visitenkarte, Blog, Portfolio)

• Security Optimizer (SiteGround)
  • schützt den Login-Bereich und erschwert unbefugte Zugriffe
    nutze auch hier die Option Zwei-Faktor-Authentifizierung – kurz hier erklärt ↓
  • Login-URL kann angepasst werden (statt /wp-login.php)
  • reduziert typische Angriffsflächen (z. B. XML-RPC)
• BBQ Firewall
  • blockiert automatisch auffällige oder schädliche Anfragen
  • schützt vor Angriffen über manipulierte URLs
  • läuft im Hintergrund, kaum Konfiguration nötig
• UpdraftPlus (Free)
  • erstellt regelmäßige Backups (z. B. täglich)
  • Speicherung extern möglich (Google Drive, Dropbox etc.)
  • schnelle Wiederherstellung im Notfall
    UdraftPlus Anleitung →

Alternativ bei sehr kleinen Seiten: Vor Änderungen manuelle Sicherung (z. B. mit All-in-One Migration)

Ergebnis

• Login ist besser geschützt
• einfache Angriffe werden abgefangen
• im Notfall steht ein Backup bereit

Ideal für kleinere Websites mit wenig Änderungen und geringem Risiko.

Setup 2: Solider Basisschutz

Für Unternehmen, Praxen, Vereine oder Websites mit mehreren Nutzern

• Security Optimizer
  • Login-Schutz inkl. optionaler Zwei-Faktor-Authentifizierung ↓
  • grundlegendes Hardening der Website
• BBQ Firewall (optional)
  • blockiert Angriffe über manipulierte Anfragen
  • kann entfallen, wenn eine umfassendere Firewall genutzt wird
• WP Activity Log oder Simple History
  • protokolliert Änderungen im Backend
  • zeigt, wer wann was gemacht hat
  • wichtig bei mehreren Benutzern
  • 2-Factor Authentifizierung
• UpdraftPlus
  • automatische Backups, idealerweise extern gespeichert
  • schnelle Wiederherstellung möglich

Ergebnis

• mehr Transparenz bei Änderungen
• bessere Kontrolle bei mehreren Nutzern
• weiterhin einfache und stabile Absicherung

Wichtig: Ohne Backup keine echte Sicherheit.

Setup 3: Profi-Setup

Für Websites mit Kunden, sensiblen Daten oder erhöhtem Risiko

Plugins / Maßnahmen

• Wordfence oder Security Optimizer
  • Firewall und Malware-Scan
  • schützt aktiv vor Angriffen
  • erkennt verdächtige Dateien und Veränderungen
  • Wordfence und Securitity Optimizer: Zwei-Faktor-Authentifizierung ↓
  • Security Optimizer kann Plugins re-installieren
• Patchstack (nicht kostenlos)
  • überwacht bekannte Sicherheitslücken in Plugins
  • warnt frühzeitig bei Risiko
  • verhindert, dass unsichere Plugins unbemerkt bleiben
• WP Activity Log
  • vollständige Nachvollziehbarkeit aller Änderungen
• UpdraftPlus (auch die kostenfreie Variante)
  • automatisierte, externe Backups (täglich empfohlen)
• Regelmäßige Wartung
  • Updates zeitnah einspielen
  • ungenutzte Plugins entfernen
  • Benutzerkonten prüfen
  • Sicherheitschecks durchführen

Ergebnis

• Angriffe werden aktiv blockiert
• Schwachstellen werden früh erkannt
• Änderungen sind vollständig nachvollziehbar
• die Website wird regelmäßig gepflegt

Der entscheidende Unterschied: Risiken werden früh erkannt und nicht erst nach einem Angriff sichtbar.

Mein Fazit

• Minimal-Setup schützt vor den häufigsten Standardangriffen
• Basisschutz bringt zusätzliche Kontrolle und Stabilität
• Profi-Setup sorgt für nachhaltige Sicherheit durch Monitoring und Wartung

Die größten Probleme entstehen in der Praxis selten durch fehlende Plugins, sondern durch veraltete oder unsichere Erweiterungen ohne regelmäßige Kontrolle. Lies hierzu meinen aktualisierten Artikel zur WordPress Sicherheit →

Auch interessant:  der Podcast von Wordfence ↑ aber mach dich nicht verrückt, sondern warte einfach regelmäßig deine Website.

Sichere Passwörter

Sichere Passwörter sind einer der wichtigsten Schritte, um deine WordPress-Website zu schützen. Verwende lange Passwörter (mindestens 12 Zeichen) mit einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Vermeide einfache Wörter oder persönliche Daten wie Namen und Geburtstage. Nutze am besten einen Passwort-Manager, um komplexe Passwörter zu erstellen und sicher zu speichern. So verhinderst du, dass Angreifer dein Login leicht erraten können. Lies hierzu meinen Artikel über Passwörter →

Zwei-Faktor-Anmeldung

Die Zwei-Faktor-Anmeldung (z. B. über Wordfence und Security-Optimizer) schützt dein Login zusätzlich zum Passwort durch einen zweiten Code (z. B. per App). Selbst wenn ein Passwort gestohlen wird, können sich Angreifer nicht einfach einloggen. Das reduziert die häufigsten Angriffe auf WordPress-Websites deutlich. Auch z.B. der Provider netbeat.de nutzt diese Funktionalität.

Wenn du dich nicht einloggen kannst mit der Nummernfolge – so mir passiert. Die Lösung: den IONOS-Cache deinstallieren. Dieser kann dazu führen, dass Änderungen zunächst nicht sichtbar sind. Mögliche Ursache sind hier nicht zusammen passende Zeitstempel.

Anleitung: Zwei-Faktor-Anmeldung (Wordfence) einrichten:

1. Melde dich an
2. Öffne die Login-Sicherheit von Wordfence: https://deine-domain.de/wp-admin/admin.php?page=WFLS
3. Installiere oder öffnen auf dem Smartphone z. B. die App Google Authenticator
4. Tippe in der App auf „Konto hinzufügen“ und scanne den angezeigten QR-Code.
5. Gebe den 6-stelligen Code aus der App in das Feld auf der Website ein und bestätige die Einrichtung.
6. Lade anschließend die angezeigten Recovery-Codes herunter und speichere diese sicher ab.
7. Melde dich einmal ab und wieder an, um die Anmeldung mit Sicherheitscode zu testen.

Einstellungen Wordfence

Die Standard-Einstellungen sind schon mal gut, du kannst aber diese Einstellungen verfeinern und auch nicht gültige Usernames vorab sperren lassen. Wenn du E-Mail-Berichte von deinen Sicherheitstools bekommst, wirst du feststellen, das “admin” als Username immer noch von den Hackern verwendet wird. Hier eine Liste, die du kopieren und so einfügen kannst.

admin,administrator,test,user,demo,root,webmaster,support,info,office,kontakt,wordpress,wp,wpadmin,wp-admin,manager,editor,author

Gute Einstellungen bei deinem Login-Schutz sind diese:

Was ist ein Brut-Force-Angriff?

Ein Brute-Force-Angriff ist ein einfacher, aber wirkungsvoller Angriff auf den Login-Bereich einer Website. Dabei probiert ein Angreifer automatisch sehr viele Kombinationen aus Benutzername und Passwort aus – so lange, bis eine funktioniert.

Statt zu „hacken“, wird einfach geraten schau dir die Passwörter an, die schon Datenleaks gefunden werden →

admin + 123456  
admin + password  
admin + 12345678  

Das passiert nicht von Hand, sondern durch Programme, die tausende Versuche pro Minute durchführen. Mit dem Ziel:

• Zugriff auf den Admin-Bereich
• Kontrolle über die Website
• Spam oder Schadsoftware platzieren

Ein Brute-Force-Angriff ist kein raffinierter Hack, sondern pures Ausprobieren in hoher Geschwindigkeit. Deshalb sind Maßnahmen wie Login-Schutz und starke Passwörter so wichtig.

Website-Zustand in WordPress

Werkzeuge → Website-Zustand ist so etwas wie ein Gesundheitscheck für deine Website.

Hier eine einfache Zusammenfassung:

Allgemeine Gesundheit

• Eine Bewertung („Gut“ oder „Verbesserungen erforderlich“).
• Dient als schneller Überblick, ob deine Website technisch sauber läuft.

Kritische Probleme

Dinge, die sofort behoben werden sollten, z. B.:

• Fehlende Sicherheitsupdates
• Veraltetes PHP
  So erfährst du, wie du die PHP-Version anpassen kannst →
• Plugins oder Themes mit bekannten Sicherheitslücken

Empfohlene Verbesserungen

Hinweise, die nicht kritisch sind, aber die Performance oder Sicherheit verbessern würden, z. B.:

• Inaktive Plugins/Themes löschen
• HTTPS aktivieren
• REST-API prüfen
• Caching aktivieren

Technische Informationen

Detaillierte Systeminfos deiner WordPress-Installation:

• WordPress-Version, PHP-Version, Datenbank-Version
• Serverinfos
• Eingestellte Limits (z. B. max. Uploadgröße, Speicherlimit)
• Aktive Plugins und Themes

Diese Infos sind besonders praktisch, wenn du Support brauchst oder Fehler suchst.

Automatische Updates?

Viele meiner Webdesigner-Kollegen führen Updates manuell durch – das hat den Vorteil, dass man sofort prüfen kann, ob nach einem Update alles reibungslos läuft. Der Nachteil: Es kostet jedes Mal Zeit und wird leicht vergessen. Automatische Updates sind dagegen bequem und sorgen dafür, dass Sicherheitslücken schnell geschlossen werden. Voraussetzung ist jedoch, dass das Theme von den Programmierern aktuell gehalten wird und auch die Plugins regelmäßig gepflegt werden. In diesem Fall bieten automatische Updates eine sichere und stressfreie Lösung.

Ich bevorzuge automatische Updates und habe damit gute Erfahrungen gemacht. Manchmal gibt es Plugins, wo das allerdings nicht sinnvoll ist: bei WPML Multilingual CMS und String Translation kann es z.B. einen Versions-Mismatch geben. Hier solltest du auf einer Stagingbühne die Funktionalität testen oder das alte Plugin über FTP sichern und ggf. wieder einspielen.

Weniger ist mehr: Die alte Regel „so wenig Plugins wie nötig“ gilt nach wie vor. Jedes zusätzliche Plugin bringt potenzielle Sicherheitslücken und erhöht die Komplexität. Wenn du bewusst ausgewählte, gepflegte Erweiterungen nutzt, reduziert du Fehlerquellen und machst automatische Updates zuverlässiger.

Woran erkennst du ein gepflegtes Plugin?

Alte oder nicht mehr gepflegte Plugins sind gefährlich, weil Hacker bekannte Schwachstellen ausnutzen können, um in deine Website einzubrechen.

• Letztes Update: Nicht älter als ein paar Monate (idealerweise < 6 Monate).
• Kompatibilität: Hinweis „Kompatibel mit deiner WordPress-Version“ im Plugin-Verzeichnis.
• Downloads & Bewertungen: Viele aktive Installationen und überwiegend gute Rezensionen.
• Support-Aktivität: Fragen im Support-Forum werden zeitnah beantwortet.
• Changelog: Regelmäßige Einträge mit Bugfixes, Verbesserungen und Sicherheits-Updates.
• Entwickler-Team: Seriöser Anbieter oder Firma, nicht nur ein Hobby-Projekt ohne erkennbare Pflege.

Website abhärten mit .htaccess

Die XML-RPC schützen

WordPress enthält eine Datei namens xmlrpc.php. Sie wurde früher genutzt, damit man Inhalte von außen steuern kann – zum Beispiel über Apps oder externe Programme. Heute wird diese Funktion in den meisten Websites gar nicht mehr benötigt.

Was ist eine .htaccess-Datei und wie du diese bearbeitest  →

Warum solltest du die XML-RPC deaktivieren?

Die Datei ist ein beliebtes Ziel für Angriffe:

• Login-Versuche von Bots
• automatisierte Angriffe auf die Website
• unnötige Serverbelastung

Wenn du sie nicht brauchst, ist sie eher ein Risiko als ein Nutzen. Du kannst den Zugriff auf diese Datei blockieren. Dann ist sie von außen nicht mehr erreichbar.

Dazu wird eine kleine Regel in die .htaccess ganz oben an erster Stelle vor deinen anderen Anweisungen eingefügt:

# 1. XML-RPC sperren (ganz oben)
<Files xmlrpc.php>
Require all denied
</Files>

Was passiert dann? Die Website funktioniert ganz normal weiter und deine Besucher merken nichts. Angriffe über diese Schnittstelle werden gestoppt.

Wann solltest du es nicht machen?

Nur wenn du bewusst eine dieser Funktionen nutzt:

• WordPress-App auf dem Handy
• Jetpack
• externe Tools zur Steuerung deiner Website

Maßnahmen in Wordfence kontrollieren

In den Logs ist gut zu erkennen, dass die Härtung greift: Vor der Anpassung wurde xmlrpc.php noch mit Status 200 (also erfolgreich erreichbar) beantwortet. Nach der Sperre in der .htaccess werden entsprechende Zugriffe nicht mehr regulär ausgeliefert, sondern blockiert bzw. durch Wordfence abgefangen (403 = Forbidden).

Die 302-Antworten betreffen die Anmeldung über eine geänderte Login-URL. Statt /wp-login.php wird eine individuelle Adresse verwendet, die über das Plugin „Hide Login“ realisiert ist, z.B. /hier-lang

Auf Wikipedia ein Überblick über die Statuscodes ↑

Checkliste WordPress-Sicherheit

Ich notiere das hier auch für mich, bei einem meiner Standdardschutz-Maßnahmen:

Plugins: Wordfence, Hide Login
Plugin optional: Patchstack (für bekannte Schwachstellen, teuer)
Manuell: .htaccess

1. Wordfence
   Brute-Force Schutz anpassen (z. B. 5 / 5 / 4h / 4h)
   Invalid usernames hinterlegen (Komma-getrennt)
   „Immediately lock out invalid usernames“ aktivieren
   Live Traffic / Firewall regelmäßig prüfen
   /wp-admin/admin.php?page=WordfenceTools (hier kann ich auch überprüfen, ob meine Maßnahmen greifen)
2. .htaccess Härtung
   XML-RPC sperren
   .user.ini schützen
   SQL-Injection Basic-Schutz (moderat)
   Redirects sauber setzen (z. B. /en statt ?lang=)
   Spracheinstellungen bei Mehrsprachigkeit /en besser als /?lang=en – ENOptional: debug.log schützen
   <Files debug.log>
   Require all denied
   </Files>
3. Mehrsprachigkeit
   /en/ statt ?lang=en verwenden
   Redirects sauber setzen (302 → 301)
   hreflang prüfen
4. Kontrolle /Monitoring
   Wordfence → Live Traffic prüfen
   Hosting-Logs (403, 404, ungewöhnliche Zugriffe)
   prüfen, ob Angriffe geblockt werden
5. Plugins & Dateien
   Plugins aktuell halten (besonders WPML!)
   nicht genutzte Plugins löschen
   Demo-/Testdateien entfernen (z. B. upload.php)
6. Login-Schutz
   starke Passwörter
   keine Standard-Usernamen (admin etc.)
   2FA aktivieren (Wordfence)
   Login-URL ändern (Hide Login)
7. Optional
   Backups regelmäßig prüfen
   PHP-Version aktuell halten
   Datenbank aktuell halten

WPML-Spracheinstellungen – gut zu wissen

Ich hatte kürzlich bei einem Kunden “increased Attacks” und immer SQL-Injection – also Angriffe auf die Datenbank und stellte fest, ich hatte die Website suboptimal konfiguriert…

?lang=en

ist ein offener Parameter und wird gerne für Angriffe missbraucht (SQL Injection etc.)

/en/

kein Parameter und hat deutlich weniger Angriffsfläche