Ihre WordPress-Website ist angreifbar – und Sie merken es wahrscheinlich nicht. Jeden Tag werden tausende WordPress-Seiten gehackt, mit Malware infiziert oder für Spam missbraucht. Das Ergebnis: Google-Blacklist, Datenverlust und Vertrauensverlust bei Ihren Kunden.
WordPress betreibt über 40% aller Websites weltweit – und genau das macht es zum Lieblingsziel von Hackern. Die Masse an WordPress-Installationen mit veralteten Plugins, schwachen Passwörtern und fehlenden Sicherheitsmaßnahmen ist ein gefundenes Fressen. Aber: Mit den richtigen Maßnahmen können Sie Ihre Website effektiv absichern. Hier erfahren Sie, wie.
Keine Zeit für Sicherheits-Konfiguration? Ich sichere Ihre WordPress-Website professionell ab →
Warum WordPress-Websites gehackt werden
Die meisten Hacks passieren nicht, weil jemand es gezielt auf Ihre Firma abgesehen hat. Automatisierte Bots scannen das Internet nach bekannten Schwachstellen – und WordPress-Seiten mit veralteten Plugins sind das einfachste Ziel.
Veraltete Plugins und Themes: Über 90% aller WordPress-Hacks gehen auf Sicherheitslücken in Plugins und Themes zurück. Ein einzelnes veraltetes Plugin reicht, um Angreifern eine Hintertür zu öffnen. Besonders gefährlich: Plugins, die seit über einem Jahr kein Update mehr erhalten haben.
Schwache Passwörter: „admin” als Benutzername und „Passwort123″ als Passwort – das klingt absurd, ist aber Realität auf tausenden WordPress-Installationen. Brute-Force-Angriffe probieren automatisiert Millionen von Kombinationen durch. Mit einem schwachen Passwort ist Ihre Website in Minuten geknackt.
Billiges Shared Hosting: Auf einem Shared-Hosting-Server teilen Sie sich die Ressourcen mit hunderten anderen Websites. Wird eine davon gehackt, kann das auch Ihre Website betreffen. Managed WordPress Hosting bietet hier deutlich mehr Isolation und Sicherheit.
Fehlende Updates: WordPress selbst, Plugins und Themes veröffentlichen regelmäßig Sicherheits-Updates. Wer diese ignoriert, lässt bekannte Schwachstellen offen – das ist, als würden Sie Ihre Haustür nachts offen stehen lassen.
Die wichtigsten Sofortmaßnahmen
Diese Schritte können Sie heute umsetzen und damit 80% der häufigsten Angriffe verhindern:
1. WordPress, Plugins und Themes aktualisieren: Gehen Sie ins WordPress-Dashboard unter Updates und aktualisieren Sie alles. Aktivieren Sie automatische Updates für kleinere WordPress-Versionen (Sicherheits-Updates). Für Plugins empfehle ich: Sicherheits-Updates automatisch, Feature-Updates manuell nach einem Backup.
2. Admin-Benutzername ändern: Wenn Ihr Benutzername „admin” ist, erstellen Sie einen neuen Administrator mit einem individuellen Namen, weisen Sie alle Inhalte zu und löschen Sie den alten „admin”-Account. Das allein stoppt einen Großteil der Brute-Force-Angriffe.
3. Starke Passwörter erzwingen: Mindestens 16 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Nutzen Sie einen Passwort-Manager wie Bitwarden oder 1Password. Das gilt für alle Benutzer Ihrer WordPress-Installation – nicht nur für den Administrator.
4. Zwei-Faktor-Authentifizierung aktivieren: Installieren Sie ein 2FA-Plugin wie WP 2FA oder nutzen Sie die 2FA-Funktion von Wordfence. Selbst wenn jemand Ihr Passwort knackt, kommt er ohne den zweiten Faktor nicht rein. Das ist die einzelne Maßnahme mit dem größten Sicherheitsgewinn.
5. Login-Versuche begrenzen: Standardmäßig erlaubt WordPress unbegrenzte Login-Versuche. Das macht Brute-Force-Angriffe trivial. Begrenzen Sie die Versuche auf 3-5 pro IP-Adresse mit einem Plugin wie Limit Login Attempts Reloaded.
WordPress-Sicherheitscheck: Ist Ihre Website geschützt? Jetzt prüfen lassen →
Sicherheits-Plugins: Welches ist das richtige?
Ein gutes Sicherheits-Plugin ist Pflicht für jede WordPress-Website. Hier sind die besten Optionen 2026:
Wordfence Security: Der Klassiker mit über 4 Millionen aktiven Installationen. Bietet Firewall, Malware-Scanner, Login-Schutz und Live-Traffic-Monitor. Die kostenlose Version reicht für die meisten kleinen Unternehmen. Die Premium-Version (119 USD/Jahr) liefert Echtzeit-Firewall-Regeln und Länder-Blocking.
NinjaFirewall: Leichtgewichtiger als Wordfence und sehr effektiv. Arbeitet als Web Application Firewall (WAF) vor WordPress und fängt Angriffe ab, bevor sie WordPress überhaupt erreichen. Besonders gut für Performance-bewusste Website-Betreiber.
Solid Security (ehemals iThemes Security): Gute Allround-Lösung mit einfacher Bedienung. Besonders stark bei der Härtung der WordPress-Installation (Datei-Berechtigungen, Admin-URL ändern, Datenbankpräfix).
Meine Empfehlung: Wordfence für umfassenden Schutz oder NinjaFirewall für maximale Performance. Installieren Sie nie zwei Sicherheits-Plugins gleichzeitig – die blockieren sich gegenseitig.
Backups: Ihre Lebensversicherung
Kein Sicherheitskonzept ist vollständig ohne Backups. Wenn trotz aller Maßnahmen etwas schiefgeht, ist ein aktuelles Backup der Unterschied zwischen „Problem in 30 Minuten gelöst” und „Website komplett verloren”.
Backup-Regel 3-2-1: Drei Kopien Ihrer Daten, auf zwei verschiedenen Medien, davon eine extern (z.B. Cloud). Ihr Hoster-Backup allein reicht nicht – wenn der Server kompromittiert ist, können auch die Hoster-Backups betroffen sein.
Empfohlene Backup-Plugins: UpdraftPlus (kostenlos, sichert automatisch zu Google Drive, Dropbox oder S3), BlogVault (Premium, mit integriertem Staging und Migration) oder BackWPup (kostenlos, solide Grundfunktionen).
Backup-Frequenz: Für eine Website mit regelmäßigen Updates: tägliches Datenbank-Backup, wöchentliches Komplett-Backup. Für statische Unternehmensseiten reicht ein wöchentliches Komplett-Backup. Vor jedem größeren Update: manuelles Backup.
WordPress-Sicherheitspaket: Rundum geschützt
Ich sichere Ihre WordPress-Website ab – Firewall, Backup, Updates, 2FA und Monitoring. Damit Sie sich auf Ihr Geschäft konzentrieren können, statt auf Hacker.
WordPress härten: Fortgeschrittene Maßnahmen
Wer über die Grundlagen hinausgehen will, kann WordPress weiter absichern:
Dateibearbeitung deaktivieren: Fügen Sie define('DISALLOW_FILE_EDIT', true); in Ihre wp-config.php ein. Das verhindert, dass jemand über das WordPress-Dashboard Theme- oder Plugin-Dateien bearbeiten kann – eine beliebte Methode, um Backdoors einzuschleusen.
Login-URL ändern: Die Standard-Login-URL /wp-admin/ ist jedem Angreifer bekannt. Mit einem Plugin wie WPS Hide Login können Sie die URL auf etwas Individuelles ändern (z.B. /mein-zugang/). Das stoppt automatisierte Angriffe auf die Login-Seite.
Datenbankpräfix ändern: Das Standard-Präfix wp_ macht SQL-Injection-Angriffe einfacher. Bei einer neuen Installation wählen Sie ein individuelles Präfix (z.B. xyz_). Bei bestehenden Installationen ist die Änderung möglich, aber riskant – machen Sie vorher unbedingt ein Backup.
HTTP-Sicherheitsheader setzen: Content-Security-Policy, X-Frame-Options und Strict-Transport-Security schützen vor XSS-Angriffen, Clickjacking und Man-in-the-Middle-Attacken. Ihr Hoster oder ein Plugin wie Headers Security Advanced kann diese Header setzen.
XML-RPC deaktivieren: Die XML-RPC-Schnittstelle wird für DDoS-Angriffe und Brute-Force-Attacken missbraucht. Wenn Sie keine Apps nutzen, die darauf zugreifen (wie die WordPress-App), deaktivieren Sie sie komplett.
Was tun, wenn Ihre Website gehackt wurde?
Schritt 1: Ruhe bewahren. Panik führt zu Fehlentscheidungen. Ihre Website ist gehackt, nicht zerstört.
Schritt 2: Website offline nehmen. Setzen Sie eine Wartungsseite auf oder schalten Sie die Website über den Hoster ab. Das verhindert weiteren Schaden und schützt Ihre Besucher.
Schritt 3: Alle Passwörter ändern. WordPress-Admin, FTP, Datenbank, Hosting-Panel – alles. Sofort und mit starken, neuen Passwörtern.
Schritt 4: Backup einspielen. Wenn Sie ein sauberes Backup haben, spielen Sie es ein. Das ist der schnellste Weg zurück zur sicheren Website.
Schritt 5: Malware-Scan durchführen. Nutzen Sie Wordfence oder Sucuri SiteCheck, um alle infizierten Dateien zu finden. Prüfen Sie auch die Datenbank auf unbekannte Admin-Accounts.
Schritt 6: Schwachstelle finden und schließen. Welches Plugin war veraltet? Welches Passwort war schwach? Ohne die Ursache zu beheben, wird Ihre Website erneut gehackt.
Website gehackt? Ich helfe Ihnen bei der Bereinigung und Absicherung →
Was kostet WordPress-Sicherheit?
Selbst machen (0-120 Euro/Jahr): Die Grundabsicherung ist mit kostenlosen Plugins und etwas Zeit machbar. Wordfence Free, UpdraftPlus Free und WP 2FA kosten nichts. Wordfence Premium (119 USD/Jahr) lohnt sich für geschäftskritische Websites.
Professionelle Wartung (50-300 Euro/Monat): Ein WordPress-Wartungsvertrag umfasst typischerweise Updates, Backups, Sicherheits-Monitoring und schnelle Hilfe im Notfall. Für ein kleines Unternehmen ist das oft die smartere Lösung als Selbstbetreuung – weil ein Hack Sie deutlich mehr kostet als die monatliche Wartungspauschale.
Nach einem Hack (500-3.000 Euro): Die Bereinigung einer gehackten WordPress-Website kostet je nach Schweregrad zwischen 500 und 3.000 Euro. Dazu kommen indirekte Kosten: Umsatzausfall, Google-Ranking-Verlust und beschädigtes Kundenvertrauen. Prävention ist immer günstiger als Reparatur.
Die häufigsten Sicherheitsfehler
„Meine kleine Website ist kein Ziel”: Doch, ist sie. Automatisierte Bots unterscheiden nicht zwischen Konzern und Einzelunternehmer. Jede unsichere WordPress-Installation ist ein Ziel – für Spam, Malware-Verteilung oder als Teil eines Botnets.
Zu viele Plugins installiert: Jedes Plugin ist ein potenzielles Einfallstor. Nutzen Sie nur Plugins, die Sie wirklich brauchen, die regelmäßig aktualisiert werden und die mindestens 10.000 aktive Installationen haben.
Kein Backup-Konzept: Viele verlassen sich auf den Hoster. Aber Hoster-Backups sind oft nur 7-14 Tage verfügbar. Wenn ein Hack erst nach Wochen entdeckt wird, sind alle Hoster-Backups bereits infiziert.
Updates aufschieben: „Das mache ich nächste Woche” ist der Satz, der zu den meisten WordPress-Hacks führt. Sicherheits-Updates sollten innerhalb von 24-48 Stunden eingespielt werden.
Häufige Fragen zur WordPress-Sicherheit
Ist WordPress unsicher?
Nein, WordPress selbst ist nicht unsicher. Der WordPress-Core wird von einem großen Team professioneller Entwickler gepflegt und regelmäßig aktualisiert. Die meisten Sicherheitsprobleme entstehen durch veraltete Plugins, schwache Passwörter und fehlendes Grundwissen bei der Administration. Ein gut gewartetes WordPress ist genauso sicher wie jedes andere CMS.
Welches Sicherheits-Plugin brauche ich?
Für die meisten kleinen Unternehmen reicht Wordfence in der kostenlosen Version. Es bietet Firewall, Malware-Scanner und Login-Schutz in einem Plugin. Ergänzen Sie es mit WP 2FA für Zwei-Faktor-Authentifizierung und UpdraftPlus für Backups.
Wie oft sollte ich Backups machen?
Mindestens wöchentlich für statische Websites, täglich für Websites mit regelmäßigen Änderungen (Blog, Shop). Vor jedem Plugin- oder Theme-Update immer ein manuelles Backup erstellen. Speichern Sie Backups extern – nicht nur auf dem gleichen Server.
Was mache ich, wenn meine Website gehackt wurde?
Sofort alle Passwörter ändern, die Website offline nehmen und ein sauberes Backup einspielen. Wenn kein Backup vorhanden ist, hilft ein Malware-Scan mit Wordfence oder eine professionelle Bereinigung. Danach: Schwachstelle identifizieren, schließen und Sicherheitsmaßnahmen verschärfen.
