WordPress sicher machen: Grundschutz gegen Angriffe, Malware und Brute Force

WordPress ist weltweit sehr verbreitet und deshalb ein attraktives Ziel für automatisierte Angriffe. Die meisten Angriffe richten sich nicht gezielt gegen eine einzelne kleine Website, sondern laufen automatisiert ab: Bots suchen nach veralteten Plugins, schwachen Passwörtern, unsicheren Themes, offenen Login-Seiten oder bekannten Sicherheitslücken.

Die gute Nachricht: Viele typische Risiken lassen sich mit konsequenter Wartung, starken Zugangsdaten, regelmässigen Updates, sauberen Benutzerrechten und einer stabilen Hosting-Umgebung deutlich reduzieren. WordPress-Sicherheit ist kein einzelner Schalter, sondern ein Zusammenspiel mehrerer Massnahmen.

Kurz erklärt: Der wichtigste WordPress-Grundschutz besteht aus aktuellen Updates, starken Passwörtern, wenigen Administratoren, sauberer Plugin-Hygiene, Backups, SSL und einem sicheren Hosting-Fundament.

Warum WordPress-Sicherheit so wichtig ist

Eine kompromittierte Website ist nicht nur ein technisches Problem. Sie kann Besucher gefährden, Kundendaten offenlegen, Spam versenden, Malware verteilen, SEO-Rankings beschädigen oder von Browsern und Suchmaschinen als unsicher markiert werden.

Mögliche Folgen eines erfolgreichen Angriffs:

  • Website zeigt fremde Inhalte oder Weiterleitungen,
  • Login funktioniert nicht mehr,
  • Malware wird eingeschleust,
  • Spam-Seiten werden erstellt,
  • Suchmaschinen warnen vor der Website,
  • Kontaktformulare werden missbraucht,
  • E-Mail-Versand landet auf Blacklists,
  • Kundendaten können gefährdet sein,
  • Shop-Bestellungen oder Zahlungen werden gestört,
  • Bereinigung verursacht Aufwand und Kosten.

Prävention ist fast immer einfacher als die Bereinigung einer gehackten Website.

1. WordPress, Plugins und Themes aktuell halten

Veraltete Software ist eines der häufigsten Einfallstore. Das betrifft nicht nur WordPress selbst, sondern vor allem Plugins und Themes. Viele Angriffe nutzen bekannte Sicherheitslücken, für die bereits Updates verfügbar wären.

Aktualisieren Sie regelmässig:

  • WordPress-Core,
  • Plugins,
  • Themes,
  • Übersetzungen,
  • PHP-Version,
  • WooCommerce und Zahlungsplugins, falls vorhanden.

Bei einfachen Websites können automatische Updates sinnvoll sein. Bei WooCommerce-Shops, Mitgliederbereichen oder komplexen Websites sollten grössere Updates zuerst in einer Staging-Umgebung getestet werden.

Wichtig: Erstellen Sie vor grösseren Updates ein Backup. Besonders Updates von WooCommerce, Pagebuildern, Sicherheitsplugins, Caching-Plugins und Zahlungsanbietern sollten getestet werden.

2. Keine unnötigen Plugins und Themes behalten

Jedes installierte Plugin und jedes Theme erhöht die Angriffsfläche. Auch deaktivierte Plugins und nicht genutzte Themes liegen weiterhin als Dateien auf dem Server. Wenn sie veraltet sind, können sie ein Risiko darstellen.

Empfehlungen:

  • nicht benötigte Plugins löschen,
  • deaktivierte Plugins nicht dauerhaft behalten,
  • ungenutzte Themes entfernen,
  • ein Standard-Theme als Fallback behalten,
  • keine Plugins aus unbekannten Quellen installieren,
  • keine „nulled“ Premium-Plugins verwenden,
  • regelmässig Plugin-Liste prüfen.

Plugin-Hygiene ist gleichzeitig Sicherheits- und Performancepflege.

3. Starke Passwörter verwenden

Schwache Passwörter sind ein grosses Risiko. Automatisierte Angriffe probieren häufige Kombinationen, Wörterbuchbegriffe und bekannte Passwortlisten aus.

Ein gutes Passwort:

  • ist lang,
  • ist einzigartig,
  • wird nicht auf anderen Websites wiederverwendet,
  • enthält Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen,
  • wird idealerweise in einem Passwort-Manager gespeichert.

Verwenden Sie keine Passwörter wie admin123, wordpress2024, Firmenname plus Jahreszahl oder persönliche Informationen.

4. Benutzername „admin“ vermeiden

Der Benutzername admin ist ein häufiges Ziel bei Brute-Force-Angriffen. Wenn Angreifer den Benutzernamen bereits kennen, müssen sie nur noch das Passwort erraten.

Empfohlene Vorgehensweise:

  1. Erstellen Sie einen neuen Administrator mit individuellem Benutzernamen.
  2. Loggen Sie sich mit dem neuen Konto ein.
  3. Löschen Sie das alte Konto admin.
  4. Übertragen Sie vorhandene Inhalte auf den neuen Benutzer.

Wählen Sie keinen öffentlich sichtbaren Namen als Login-Benutzernamen, wenn es sich vermeiden lässt.

5. Administratorrechte sparsam vergeben

Nicht jeder Benutzer benötigt Administratorrechte. Je mehr Personen vollen Zugriff haben, desto höher ist das Risiko für Fehlkonfigurationen, versehentliche Änderungen oder kompromittierte Konten.

Grundregel:

  • Administrator: nur für technische Verwaltung.
  • Redakteur: für vollständige Inhaltsverwaltung.
  • Autor: für eigene Beiträge.
  • Mitarbeiter: für Entwürfe ohne Veröffentlichung.
  • Abonnent: für einfache Benutzerkonten.

Externe Dienstleister sollten eigene temporäre Konten erhalten. Teilen Sie niemals Ihr persönliches Administratorpasswort.

6. Zwei-Faktor-Authentifizierung aktivieren

Eine Zwei-Faktor-Authentifizierung, kurz 2FA, schützt den Login zusätzlich. Neben dem Passwort wird ein zweiter Faktor benötigt, zum Beispiel ein Code aus einer Authenticator-App.

2FA ist besonders empfehlenswert für:

  • Administratoren,
  • Shop-Betreiber,
  • Redakteure mit vielen Rechten,
  • Webdesigner-Zugänge,
  • Support-Zugänge,
  • Websites mit Kundendaten.

2FA verhindert nicht jede Angriffsmethode, erhöht aber die Sicherheit des Logins deutlich.

7. Login-Versuche begrenzen

Bei Brute-Force-Angriffen versuchen Bots, sich mit vielen Benutzernamen- und Passwortkombinationen einzuloggen. Eine Begrenzung der Login-Versuche kann solche Angriffe ausbremsen.

Möglichkeiten:

  • Sicherheitsplugin mit Login-Limitierung,
  • 2FA,
  • starke Passwörter,
  • serverseitiger Schutz,
  • IP-Sperren bei auffälligem Verhalten,
  • Monitoring der Login-Versuche.
CURIAWEB-Hinweis: Serverseitige Schutzmechanismen können viele automatisierte Zugriffe abfangen. Die Sicherheit Ihrer WordPress-Installation bleibt dennoch auch von Updates, Passwörtern, Plugins und Benutzerrechten abhängig.

8. Nur vertrauenswürdige Plugins und Themes installieren

Installieren Sie Plugins und Themes nur aus seriösen Quellen, zum Beispiel aus dem offiziellen WordPress-Verzeichnis, direkt vom Hersteller oder von bekannten Marktplätzen. Vermeiden Sie kostenlose Kopien kostenpflichtiger Premium-Plugins.

Prüfen Sie vor der Installation:

  • Wann wurde das Plugin zuletzt aktualisiert?
  • Ist es mit Ihrer WordPress-Version kompatibel?
  • Wie sind Bewertungen und Supportverlauf?
  • Wird es aktiv gepflegt?
  • Gibt es eine klare Dokumentation?
  • Benötigt es unnötig viele Rechte oder externe Verbindungen?

Nulled Plugins und Themes sind ein erhebliches Risiko. Sie können versteckten Schadcode enthalten und sollten niemals produktiv eingesetzt werden.

9. Dateibearbeitung im Dashboard deaktivieren

WordPress erlaubt Administratoren unter bestimmten Bedingungen die Bearbeitung von Theme- und Plugin-Dateien direkt im Dashboard. Diese Funktion ist bequem, aber riskant. Wenn ein Administratorzugang kompromittiert wird, kann ein Angreifer darüber Schadcode einfügen.

Sie können die Dateibearbeitung deaktivieren, indem Sie in der Datei wp-config.php folgende Zeile ergänzen:

define('DISALLOW_FILE_EDIT', true);

Fügen Sie den Code oberhalb der Zeile ein, die sinngemäss sagt, dass die Bearbeitung endet und WordPress geladen wird.

Vorher Backup erstellen: Fehlerhafte Änderungen an der wp-config.php können Ihre Website blockieren. Bearbeiten Sie die Datei nur, wenn Sie Zugriff per cPanel oder FTP haben.

10. Verzeichnis-Browsing deaktivieren

Wenn Verzeichnis-Browsing aktiv ist, können Besucher unter Umständen Ordnerinhalte direkt im Browser sehen, falls keine Indexdatei vorhanden ist. Das sollte vermieden werden.

In vielen Hosting-Umgebungen ist Verzeichnis-Browsing bereits deaktiviert. Falls nötig, kann in der .htaccess folgender Eintrag helfen:

Options -Indexes

Auch hier gilt: Vor Änderungen an der .htaccess immer ein Backup erstellen.

11. SSL konsequent nutzen

Ihre Website sollte vollständig über HTTPS erreichbar sein. SSL schützt die Übertragung zwischen Besucher und Server. Das ist besonders wichtig für Logins, Kontaktformulare, Kundenbereiche und Shops.

Prüfen Sie:

  • SSL-Zertifikat ist aktiv,
  • Website lädt per https://,
  • HTTP wird auf HTTPS weitergeleitet,
  • keine Mixed-Content-Fehler vorhanden,
  • WordPress-Adresse und Website-Adresse stehen auf HTTPS,
  • Formulare und Login-Seiten sind sicher erreichbar.

Wenn trotz SSL eine Browserwarnung erscheint, liegt häufig ein Mixed-Content-Problem vor.

12. Regelmässige Backups erstellen

Backups sind ein zentraler Bestandteil jeder Sicherheitsstrategie. Sie verhindern keinen Angriff, aber sie ermöglichen eine Wiederherstellung, wenn etwas schiefgeht.

Ein gutes Backup umfasst:

  • Dateien,
  • Datenbank,
  • Uploads,
  • Theme und Plugins,
  • Konfigurationsdateien,
  • bei Shops auch aktuelle Bestelldaten.

Speichern Sie Backups nicht ausschliesslich auf demselben Server. Eine externe Kopie ist besonders wichtig.

13. Sicherheitsplugins sinnvoll einsetzen

Sicherheitsplugins können WordPress zusätzlich schützen. Sie ersetzen jedoch keine Updates, Backups oder saubere Benutzerverwaltung.

Typische Funktionen von Sicherheitsplugins:

  • Firewall-Regeln,
  • Login-Limitierung,
  • 2FA,
  • Malware-Scans,
  • Dateiänderungsprüfung,
  • Benachrichtigungen bei verdächtigen Ereignissen,
  • Blockieren auffälliger IP-Adressen,
  • Härtung bestimmter WordPress-Einstellungen.

Bekannte Lösungen sind beispielsweise Wordfence, Solid Security oder ähnliche Sicherheitsplugins. Wählen Sie ein Plugin, das aktiv gepflegt wird und zu Ihrer Website passt.

Realistische Einordnung: Ein Sicherheitsplugin kann helfen, ist aber kein Freibrief. Falsch konfigurierte Sicherheitsplugins können auch Login-Probleme oder Performancebelastung verursachen.

14. Häufige Bedrohungen erklärt

Bedrohung Was passiert? Schutzmassnahmen
Brute Force Bots probieren viele Login-Kombinationen aus. Starke Passwörter, 2FA, Login-Limitierung.
Plugin-Sicherheitslücke Angreifer nutzen eine bekannte Schwachstelle in einem Plugin. Updates, Plugin-Hygiene, seriöse Quellen.
SQL-Injection Manipulierte Eingaben greifen Datenbankabfragen an. Aktuelle Plugins, sichere Programmierung, Firewall.
XSS Schädliches JavaScript wird eingeschleust. Updates, sichere Plugins, Eingabevalidierung.
Malware Schadcode wird in Dateien oder Datenbank eingefügt. Backups, Scans, saubere Zugänge, Updates.

15. wp-config.php und .htaccess schützen

Die Dateien wp-config.php und .htaccess sind besonders sensibel. Sie enthalten wichtige Konfigurationen für WordPress und den Server.

Empfehlungen:

  • Dateien nicht unnötig bearbeiten,
  • vor Änderungen Backup erstellen,
  • Zugriffsrechte nicht zu offen setzen,
  • keine Zugangsdaten veröffentlichen,
  • Änderungen dokumentieren,
  • bei Unsicherheit Support fragen.

Falsch gesetzte Regeln in der .htaccess können Ihre Website unerreichbar machen.

16. Dateirechte nicht zu offen setzen

Zu offene Dateirechte können ein Sicherheitsrisiko darstellen. In WordPress sollten Dateien und Ordner nicht unnötig schreibbar sein.

Als Grundregel gilt häufig:

  • Dateien: 644,
  • Ordner: 755.

Setzen Sie keine pauschalen Rechte wie 777, ausser ein seriöser Support empfiehlt dies ausdrücklich und nur temporär. Dauerhafte 777-Rechte sind ein Sicherheitsrisiko.

17. Unbekannte Administratoren prüfen

Prüfen Sie regelmässig die Benutzerliste unter Benutzer > Alle Benutzer. Unbekannte Administratoren können ein Hinweis auf eine Kompromittierung sein.

Achten Sie auf:

  • unbekannte Benutzerkonten,
  • unerwartete Administratorrechte,
  • alte Konten ehemaliger Mitarbeitender,
  • temporäre Dienstleisterzugänge,
  • ungewöhnliche E-Mail-Adressen,
  • Konten ohne klaren Zweck.

Löschen oder reduzieren Sie Rechte nicht überstürzt, wenn Sie die Herkunft eines Kontos nicht kennen. Prüfen Sie zuerst, ob es von einem Plugin, Dienstleister oder Integrationssystem benötigt wird.

18. Was tun bei Verdacht auf einen Hack?

Wenn Ihre Website ungewöhnlich reagiert, sollten Sie schnell handeln. Je früher ein Problem erkannt wird, desto besser sind die Chancen auf saubere Wiederherstellung.

Warnzeichen:

  • fremde Inhalte auf der Website,
  • Weiterleitungen auf unbekannte Seiten,
  • Browser- oder Google-Warnungen,
  • neue unbekannte Administratoren,
  • ungewöhnliche Dateien im Webspace,
  • Spam-Seiten in Google,
  • plötzlicher E-Mail-Spamversand,
  • massive Performanceprobleme,
  • unbekannte Plugins oder Themes.

Wenn Sie einen Hack vermuten, sollten Sie die Website nicht einfach „irgendwie weiterlaufen lassen“. Erstellen Sie einen aktuellen Zustand zur Analyse, prüfen Sie Backups und kontaktieren Sie den Support.

19. SEO-Schäden durch Hacks vermeiden

Gehackte Websites werden häufig für Spam, Weiterleitungen oder versteckte Inhalte missbraucht. Das kann Suchmaschinen-Rankings und Vertrauen stark beeinträchtigen.

Nach einer Bereinigung sollten Sie prüfen:

  • Google Search Console,
  • indexierte Seiten,
  • Spam-URLs,
  • Sitemap,
  • Weiterleitungen,
  • Meta-Titel und Beschreibungen,
  • unbekannte Dateien,
  • Benutzerkonten,
  • Backups und Update-Stand.

Wenn Google eine Sicherheitswarnung ausgibt, muss nach der Bereinigung eine erneute Prüfung beantragt werden.

20. GEO: Sicherheit als Vertrauenssignal

GEO, also Generative Engine Optimization, hängt indirekt ebenfalls von Sicherheit ab. KI-gestützte Such- und Antwortsysteme bevorzugen klare, erreichbare und vertrauenswürdige Inhalte. Eine kompromittierte Website kann falsche Inhalte, Spam oder technische Fehler ausliefern.

Eine sichere WordPress-Website unterstützt GEO durch:

  • verlässliche Inhalte,
  • stabile Erreichbarkeit,
  • saubere Seitenstruktur,
  • keine versteckten Spam-Inhalte,
  • korrekte technische Auslieferung,
  • vertrauenswürdige Nutzererfahrung.

21. Häufige Fehler bei WordPress-Sicherheit

  • Updates ignorieren: Bekannte Sicherheitslücken bleiben offen.
  • Zu viele Administratoren: Risiko durch kompromittierte Konten steigt.
  • Schwache Passwörter: Brute-Force-Angriffe werden erleichtert.
  • Benutzername admin: Angreifer müssen nur noch das Passwort erraten.
  • Nulled Plugins: Hohes Malware-Risiko.
  • Keine Backups: Wiederherstellung wird schwierig oder unmöglich.
  • Deaktivierte Plugins liegen lassen: Unnötige Angriffsfläche bleibt bestehen.
  • Keine 2FA: Login bleibt unnötig schwach geschützt.
  • Unsichere Dateirechte: Dateien können leichter manipuliert werden.
  • Warnzeichen ignorieren: Ein kleiner Befall kann sich ausbreiten.

Empfohlene Sicherheits-Checkliste

  1. WordPress aktuell halten: Core, Plugins und Themes regelmässig aktualisieren.
  2. Starke Passwörter nutzen: Passwort-Manager verwenden.
  3. 2FA aktivieren: Besonders für Administratoren.
  4. Admin-Benutzer vermeiden: Kein Loginname admin.
  5. Benutzerrollen prüfen: Nur notwendige Rechte vergeben.
  6. Plugin-Hygiene durchführen: Unnötige Plugins und Themes löschen.
  7. Keine nulled Plugins verwenden: Nur vertrauenswürdige Quellen nutzen.
  8. SSL aktivieren: HTTPS konsequent verwenden.
  9. Backups erstellen: Regelmässig und extern speichern.
  10. Dateibearbeitung deaktivieren: DISALLOW_FILE_EDIT setzen, wenn passend.
  11. Verzeichnis-Browsing deaktivieren: Falls nötig mit Options -Indexes.
  12. Logs und Benutzer prüfen: Verdächtige Aktivitäten ernst nehmen.
  13. Staging für Updates nutzen: Besonders bei Shops und komplexen Websites.

Häufige Fragen zur WordPress-Sicherheit

Ist WordPress unsicher?

WordPress ist nicht automatisch unsicher. Risiken entstehen häufig durch veraltete Plugins, schwache Passwörter, unsichere Themes, zu viele Administratoren oder fehlende Wartung.

Was ist die wichtigste Sicherheitsmassnahme?

Regelmässige Updates, starke Passwörter, 2FA, Backups und Plugin-Hygiene gehören zu den wichtigsten Grundlagen.

Soll ich ein Sicherheitsplugin installieren?

Ein Sicherheitsplugin kann sinnvoll sein, ersetzt aber keine Wartung, Updates und Backups. Wählen Sie ein aktiv gepflegtes Plugin und konfigurieren Sie es sorgfältig.

Warum soll ich den Benutzer admin vermeiden?

Weil dieser Benutzername häufig zuerst bei automatisierten Login-Angriffen ausprobiert wird.

Sind deaktivierte Plugins gefährlich?

Sie werden normalerweise nicht ausgeführt, liegen aber weiterhin als Dateien auf dem Server. Nicht benötigte Plugins sollten gelöscht werden.

Was sind nulled Plugins?

Das sind illegal verbreitete Kopien kostenpflichtiger Plugins oder Themes. Sie können Schadcode enthalten und sollten niemals verwendet werden.

Was bedeutet Brute Force?

Bei Brute Force versuchen Bots, durch viele Passwortversuche Zugriff auf den Login zu erhalten.

Was mache ich bei Hack-Verdacht?

Ändern Sie nicht planlos Dateien. Sichern Sie den aktuellen Zustand, prüfen Sie Backups, notieren Sie Auffälligkeiten und kontaktieren Sie den Support zur Analyse.

Haben Sie den Verdacht auf einen Hack?

Wenn sich Ihre Website ungewöhnlich verhält, fremde Inhalte erscheinen oder Warnungen in Browsern oder der Google Search Console auftauchen, sollten Sie schnell handeln. CURIAWEB unterstützt Sie bei der technischen Analyse und Wiederherstellung Ihrer WordPress-Website.

Support-Ticket für Sicherheits-Check öffnen

Hinweis: Sicherheitsanalysen, Malware-Bereinigung und Wiederherstellungen können je nach Aufwand kostenpflichtig sein. Wir informieren transparent vorab.

War diese Antwort hilfreich? 0 Benutzer fanden dies hilfreich (0 Stimmen)

Populärste

WordPress installieren: In wenigen Minuten zur eigenen Website

So installieren Sie WordPress über den Softaculous Auto-Installer WordPress ist das weltweit...
WordPress manuell installieren: Schritt-für-Schritt-Anleitung für maximale Kontrolle

Anleitung: WordPress manuell auf Ihrem Hosting-Konto installieren In diesem Tutorial führen...
Allgemeine WordPress-Einstellungen: Das Fundament Ihrer Website

WordPress-Konfiguration: So passen Sie die allgemeinen Einstellungen an Nachdem Sie WordPress...
Was ist ein WordPress-Plugin und wie installiert man es?

Was ist ein WordPress-Plugin und wie installiert man ein neues Plugin? Einführung Plugins...
So installieren Sie ein neues visuelles Theme in WordPress

So installieren Sie ein neues Design (Theme) in WordPress Einführung Es liegt auf der Hand,...