WordPress Sicherheit – So schützt Du Deine Seite vor Hackern und Datenverlust

Eine WordPress-Seite ohne Schutzkonzept ist heute praktisch ein offenes Tor. Automatisierte Bots scannen rund um die Uhr nach Schwachstellen, und die meisten gehackten Seiten fallen nicht durch raffinierte Angriffe, sondern durch banale Fehler bei Login, Updates oder Server-Konfiguration. Mit den richtigen Handgriffen bringst Du Deine Seite auf einen Sicherheitsstand, an dem Standard-Angriffe ins Leere laufen.

Warum gerade WordPress so oft im Visier landet

WordPress steckt hinter rund vier von zehn Webseiten weltweit. Das macht das System für Angreifer extrem attraktiv — ein einziger funktionierender Exploit verschafft Zugang zu potenziell Millionen von Zielen. Hinzu kommt ein Plugin-Ökosystem mit zehntausenden Erweiterungen, von denen längst nicht alle aktiv gewartet werden.

Die meisten Angriffe sind dabei nicht zielgerichtet. Bots durchsuchen das Web nach Standard-Login-URLs, veralteten Plugin-Versionen und schwachen Passwörtern. Sie probieren tausende Zugangsdaten pro Stunde, scannen XML-RPC-Endpunkte und klopfen jede bekannte Schwachstelle ab. Ohne Schutzmaßnahmen wirst Du über kurz oder lang getroffen — nicht weil jemand es persönlich auf Dich abgesehen hat, sondern weil Deine Seite in der Liste steht.

Genau diese Automatisierung ist auch Deine Chance. Weil die Angriffe nach Schema F ablaufen, helfen ebenso schematische Gegenmaßnahmen. Du musst nichts erfinden, sondern nur konsequent das umsetzen, was funktioniert.

Login-Härtung — die wirksamste Stellschraube

Der Login-Bereich ist die meistangegriffene Stelle jeder WordPress-Seite. Mit sauberer Login-Konfiguration schließt Du einen Großteil der typischen Einbruchsversuche ab, ohne weitere Maßnahmen.

Beginne mit dem Benutzernamen. WordPress legt bei vielen Installationen automatisch einen Account namens „admin“ oder „Administrator“ an, oft auch unter dem eigenen Vornamen. Bots probieren genau diese Namen zuerst aus. Falls Du einen solchen Account hast, leg einen neuen Admin-Account mit kryptischem Benutzernamen an, übertrag die Inhalte und lösche den alten — den Benutzernamen lässt WordPress nachträglich nicht ändern.

Beim Passwort entscheidet vor allem die Länge. 16 Zeichen oder mehr, gemischt aus Buchstaben in beiden Schreibweisen, Zahlen und Sonderzeichen — keine Wörter aus dem Wörterbuch, keine Geburtstage, keine Wiederverwendung über mehrere Konten hinweg. Ein Passwort-Manager wie Bitwarden, 1Password oder KeePass übernimmt die Verwaltung und generiert beliebig komplexe Zeichenfolgen auf Knopfdruck.

Zwei-Faktor-Authentifizierung gehört für jeden Admin-Account zum Standard. Selbst wenn Dein Passwort durchsickert, scheitert der Angreifer am zweiten Faktor — meist ein zeitbasierter Code aus einer App wie Aegis oder Authy. Plugins wie Wordfence, iThemes Security oder Two Factor erledigen die Einrichtung in wenigen Minuten.

Die Standard-Login-URL /wp-login.php ist Bots bestens bekannt. Verschiebst Du sie auf einen unauffälligen Pfad, läuft ein Großteil der automatisierten Versuche schlicht ins Leere. Plugins wie WPS Hide Login machen das mit einem Klick. Ergänzend solltest Du die Anzahl fehlgeschlagener Login-Versuche begrenzen — nach drei oder fünf Fehlversuchen wird die IP für einige Minuten gesperrt. Auch das übernehmen Sicherheits-Plugins automatisch.

Updates richtig managen — Plugins, Themes, Core

Veraltete Plugins sind die Ursache Nummer eins für gehackte WordPress-Seiten. Sobald eine Sicherheitslücke öffentlich wird, scannen Bots innerhalb weniger Stunden das Netz nach Installationen, die das betroffene Plugin in der verwundbaren Version nutzen. Drei Tage Verzögerung beim Aktualisieren reichen oft schon, um in der Statistik zu landen.

Die Updates selbst sind das kleinere Problem — der WordPress-Core lässt sich seit Version 5.5 automatisch aktualisieren, Plugins und Themes ebenso. Schwieriger ist die Auswahl. Bevor Du ein Plugin installierst, prüfe vier Dinge.

• Wann erschien das letzte Update? Mehr als sechs Monate Funkstille ist ein Warnsignal.
• Mit welchen WordPress-Versionen ist es kompatibel? Die letzten zwei Hauptversionen sollten dabei sein.
• Wie viele aktive Installationen hat es? Sehr kleine Plugins werden seltener auditiert.
• Gibt es Bewertungen, die explizit Bugs oder Sicherheitsprobleme erwähnen?

Themes folgen denselben Regeln. Setze auf etablierte Anbieter mit aktiver Wartung — kostenlose Themes aus dubiosen Quellen enthalten häufig Hintertüren oder eingeschleusten Schadcode. Nulled-Themes, also kostenlose Kopien kostenpflichtiger Templates, sind grundsätzlich tabu.

Bei aktiviertem Auto-Update bleibt eine Restaufgabe übrig — regelmäßiges Aufräumen. Plugins, die Du nicht mehr nutzt, deaktivierst und löschst Du. Jedes inaktive Plugin ist immer noch potenzielle Angriffsfläche, weil der Code auf dem Server liegt und mit anderen Skripten geladen werden kann.

Datei- und Konfigurations-Schutz

Eine Stufe tiefer als der Login liegen die Dateien selbst. Hier gibt es ein paar Stellen, an denen sich Aufwand merklich auszahlt.

Die wp-config.php enthält die Datenbank-Zugangsdaten und sollte für niemanden außer dem Webserver lesbar sein. Verschieb sie ein Verzeichnis nach oben, also außerhalb des öffentlichen Web-Roots — WordPress findet sie dort automatisch, falls Dein Hosting den Schritt erlaubt. Die Datei-Berechtigung sollte auf 600 oder 640 stehen, niemals auf 777.

Die Salt-Keys in der wp-config.php sind kryptografische Werte, mit denen Cookies und Sessions abgesichert werden. Stehen sie noch auf dem Standardwert „put your unique phrase here“, sind sämtliche Sessions auf Deiner Seite trivial fälschbar. Ersetze sie durch zufällige Werte vom offiziellen WordPress-Salt-Generator und tausch sie alle paar Monate gegen frische aus.

In der .htaccess kannst Du sensible Dateien direkt blockieren. Die wp-config.php, die debug.log und alle .git-Verzeichnisse haben im öffentlichen Web nichts verloren. Ein paar Zeilen in der .htaccess, und die Anfragen werden vom Server abgewiesen, bevor PHP überhaupt aktiv wird.

Das Datenbank-Tabellen-Präfix ist standardmäßig wp_. Bei Neuinstallationen änderst Du es auf etwas Eigenes wie wp_x7k_ — das macht generische SQL-Injection-Versuche, die feste Tabellennamen voraussetzen, wirkungslos. Bei bestehenden Installationen ist die nachträgliche Änderung möglich, aber etwas aufwendig — ein Plugin wie iThemes Security hilft beim sauberen Umstellen.

Server- und Hosting-Ebene

Ein Teil der Sicherheit liegt nicht in WordPress selbst, sondern beim Hoster. Auf den Server hast Du keinen direkten Einblick — Du wählst den Hoster aus, und der entscheidet, ob er sauber arbeitet oder nicht.

Bei einem ernstzunehmenden Hoster gehören mehrere Dinge zum Standard.

• Aktuelle PHP-Version, mindestens 8.2, besser 8.3 oder 8.4
• Eine Web Application Firewall, die typische Angriffsmuster vor dem Webserver abfängt
• Isolation zwischen Kunden, sodass eine kompromittierte Nachbar-Webseite nicht auf Deine übergreifen kann
• SSL/TLS automatisch eingerichtet, mit aktiver Erneuerung
• Tägliche Backups auf einem getrennten System
• Brute-Force-Schutz auf Server-Ebene, nicht erst in PHP

Spezialisiertes WordPress-Hosting bringt diese Punkte ab Werk mit — bei einem auf WordPress optimierten Setup wie fastpress.pro sind sie Teil der Grundkonfiguration.

Backups, die wirklich funktionieren

Selbst die beste Sicherheit hat eine Restwahrscheinlichkeit für einen Treffer. Backups sind dabei nicht nur Versicherung gegen Hacker — sie schützen Dich auch vor fehlgeschlagenen Updates, abgestürzten Plugins, versehentlich gelöschten Beiträgen und Server-Hardware-Defekten. Ein Sicherheitskonzept ohne Backup-Strategie ist unvollständig.

Drei Punkte machen ein gutes Backup aus.

• Es liegt physisch getrennt vom Live-System. Ein Backup im selben Hosting-Account hilft nicht, wenn der Account kompromittiert wird.
• Es wird automatisch und regelmäßig erstellt — täglich für aktive Seiten, mindestens wöchentlich für statische.
• Die Wiederherstellung wurde mindestens einmal getestet. Backups, die nie getestet wurden, sind im Ernstfall oft unbrauchbar.

Plugins wie UpdraftPlus, BackWPup oder All-in-One WP Migration übernehmen das Erstellen und Hochladen zu externen Speicherorten wie Google Drive, Dropbox oder einem S3-Bucket. Bei vielen Hostern sind solche Backups bereits Teil des Tarifs und laufen auf Server-Ebene außerhalb Deiner WordPress-Installation — der Hoster greift dann auf einen Server-Snapshot zu und kann auch dann wiederherstellen, wenn WordPress selbst nicht mehr startet.

Monitoring und Notfallplan

Sicherheit ist kein Zustand, sondern ein Prozess. Selbst wenn heute alles korrekt eingerichtet ist, kann morgen ein neues Plugin-Update eine Lücke einführen oder ein bisher harmloser Code-Bestandteil zur Schwachstelle werden. Deshalb gehört zu jedem Sicherheitskonzept ein Frühwarnsystem.

Praktisch sieht das so aus.

• Ein Security-Plugin wie Wordfence, Sucuri oder iThemes Security scannt regelmäßig nach Malware-Signaturen, geänderten Core-Dateien und verdächtigen Code-Schnipseln.
• Login-Versuche werden geloggt und ungewöhnliche Muster gemeldet — wenn plötzlich aus zehn Ländern gleichzeitig Anmeldungen versucht werden, ist das eine Information wert.
• Ein externes Uptime-Monitoring wie UptimeRobot oder BetterUptime meldet Dir, wenn die Seite nicht erreichbar ist — manchmal das erste Anzeichen für einen erfolgreichen Angriff.

Wenn doch einmal etwas passiert, brauchst Du einen Notfallplan, der nicht erst im Notfall geschrieben wird. Drei Fragen solltest Du beantworten können, bevor der Ernstfall eintritt.

• Wo liegt mein letztes funktionierendes Backup, und wie spiele ich es zurück?
• Welche Zugangsdaten brauche ich (Hosting, FTP, Datenbank, WordPress-Admin), und sind sie an einem sicheren Ort hinterlegt?
• Wen rufe ich an, wenn ich nicht weiterkomme — den Hoster, einen WordPress-Profi, eine Agentur?

Mit dieser Vorbereitung stellst Du Deine Seite im Ernstfall in unter einer Stunde wieder her. Fehlt sie, sitzt Du am Wochenende vor einem 500er-Fehler und suchst hektisch nach Hilfe.