WordPress betreibt einen riesigen Teil des Webs, was es zu einem ständigen Ziel macht. Die gute Nachricht: Die überwältigende Mehrheit der WordPress-Kompromittierungen nutzt eine kleine, vorhersehbare Reihe von Schwachstellen aus, und fast alle davon lassen sich verhindern. Diese Checkliste zur WordPress-Sicherheit härten führt durch die Schritte, die 2026 wirklich etwas bewirken, ungefähr in der Reihenfolge ihrer Priorität.
Kurz gesagt
- Anfällige und veraltete Plugins und Themes sind der mit Abstand größte Angriffsvektor für WordPress; disziplinierte Updates und das Entfernen ungenutzten Codes zählen mehr als alles andere
- Starke Authentifizierung (eindeutige Admin-Benutzernamen, starke Passwörter, Zwei-Faktor, Login-Ratenbegrenzung) schließt die zweithäufigste Tür
- Härten Sie
wp-config.php, die Dateirechte und die Angriffsfläche von REST API / XML-RPC und setzen Sie eine WAF vor die Website - Sichern Sie regelmäßig und testen Sie Wiederherstellungen; ein gutes Backup macht aus einem Einbruch eine Unannehmlichkeit statt einer Katastrophe
1. Core, Plugins und Themes aktuell halten
Veraltete Plugins und Themes sind der häufigste Weg, auf dem WordPress-Seiten gehackt werden. Jedes Plugin ist Drittanbieter-Code, der mit Zugriff auf Ihre Website läuft.
- Aktivieren Sie automatische Updates für den WordPress-Core (mindestens Minor-Releases).
- Aktualisieren Sie Plugins und Themes zeitnah, idealerweise nach einem Zeitplan mit einem Staging-Test.
- Entfernen Sie Plugins und Themes, die Sie nicht verwenden. Deaktiviert reicht nicht; gelöscht ist sicher.
- Installieren Sie nur Plugins aus seriösen Quellen mit einer aktiven Wartungshistorie.
- Achten Sie auf verwaiste Plugins; nicht gewarteter Code ist ein Risiko, selbst wenn er noch funktioniert.
2. Authentifizierung abriegeln
Brute-Force- und Anmeldedaten-Angriffe gegen wp-login.php sind unerbittlich.
- Verwenden Sie niemals
adminals Benutzernamen. Nutzen Sie einen eindeutigen Administratornamen. - Erzwingen Sie starke, eindeutige Passwörter für jedes Konto.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle Admin- und Redakteurskonten.
- Begrenzen Sie Anmeldeversuche und fügen Sie eine Ratenbegrenzung hinzu, um Brute-Force-Versuche zu blockieren.
- Erwägen Sie, die Login-URL zu ändern oder zu schützen und eine CAPTCHA-Abfrage hinzuzufügen.
3. Benutzerrollen nach dem Prinzip der geringsten Rechte vergeben
- Geben Sie jedem Benutzer die niedrigste Rolle, die seine Arbeit erlaubt. Nicht jeder muss Administrator sein.
- Prüfen Sie Benutzerkonten regelmäßig und entfernen Sie ehemalige Mitarbeiter und ungenutzte Logins.
- Überprüfen Sie Rollen nach der Installation von Plugins, die eigene Berechtigungen hinzufügen.
4. wp-config.php härten
wp-config.php enthält Ihre Datenbank-Zugangsdaten und geheimen Schlüssel und verdient daher besondere Aufmerksamkeit.
- Setzen Sie eindeutige Authentifizierungsschlüssel und Salts.
- Deaktivieren Sie den integrierten Dateieditor:
define('DISALLOW_FILE_EDIT', true);, damit ein Angreifer, der Admin-Zugriff erlangt, Theme- und Plugin-Code nicht über das Dashboard bearbeiten kann. - Verschieben Sie
wp-config.phpeine Ebene über das Web-Root, wo das Hosting es zulässt, und beschränken Sie ihre Dateirechte. - Halten Sie
WP_DEBUGin der Produktion deaktiviert, damit Fehler keine Informationen preisgeben.
5. Korrekte Datei- und Verzeichnisrechte setzen
- Verzeichnisse
755, Dateien644als Standard-Basis; verwenden Sie niemals777. - Stellen Sie sicher, dass der Webserver-Benutzer die Dateien besitzt, aber dort nicht schreiben kann, wo er es nicht muss.
- Schützen Sie sensible Dateien und deaktivieren Sie das Durchsuchen von Verzeichnissen.
6. Angriffsfläche verkleinern: XML-RPC und REST API
- Deaktivieren Sie XML-RPC, wenn Sie es nicht verwenden; es ist ein häufiger Vektor für Brute-Force und DDoS-Verstärkung.
- Beschränken oder authentifizieren Sie die REST API dort, wo sie Daten offenlegt, die nicht öffentlich sein sollen.
- Entfernen Sie die WordPress-Versionsnummer und andere unnötige Informationspreisgabe aus der Seitenausgabe.
7. WAF und HTTPS davorschalten
- Liefern Sie die gesamte Website über HTTPS aus und leiten Sie den gesamten HTTP-Verkehr um.
- Fügen Sie Sicherheits-Header hinzu (HSTS,
X-Content-Type-Options,X-Frame-Optionsoder eine frame-ancestors Content-Security-Policy und eine CSP, wo praktikabel). - Verwenden Sie eine Web Application Firewall. Eine WAF auf CDN-Ebene wie Cloudflare filtert bösartigen Verkehr, bevor er WordPress erreicht, und absorbiert Bot- und DDoS-Druck.
8. Datenbank- und Hosting-Härtung
- Verwenden Sie bei Neuinstallationen ein nicht standardmäßiges Datenbank-Tabellenpräfix.
- Verwenden Sie einen dedizierten Datenbankbenutzer mit nur den Rechten, die WordPress benötigt.
- Halten Sie PHP auf einer unterstützten, aktuellen Version; End-of-Life-PHP ist ein stilles Risiko.
- Wählen Sie Hosting, das Websites isoliert und den Server-Stack patcht.
9. Überwachung, Backups und Wiederherstellung
- Führen Sie Malware- und Dateiintegritäts-Scans durch, damit unerwartete Änderungen schnell erkannt werden.
- Aktivieren Sie Sicherheitsprotokollierung, damit Sie Anmeldeversuche und Änderungen sehen können.
- Erstellen Sie regelmäßige, automatische Backups außerhalb des Servers und testen Sie die Wiederherstellung. Ein ungetestetes Backup ist eine Hoffnung, kein Plan.
Wichtigste Erkenntnisse
- Die größten Erfolge sind unspektakulär: Alles aktualisieren, ungenutzte Plugins und Themes entfernen und starke Authentifizierung mit 2FA erzwingen.
- Härten Sie
wp-config.php, die Dateirechte und die Angriffsfläche von XML-RPC / REST API, um die Angriffsfläche zu verkleinern. - Setzen Sie HTTPS, Sicherheits-Header und eine WAF vor die Website.
- Sichern Sie regelmäßig und testen Sie Wiederherstellungen, damit ein Einbruch behebbar ist.
Professionelle WordPress-Sicherheit härten
Eine Checkliste bringt Sie den größten Teil des Weges, aber die WordPress-Sicherheit zu härten profitiert dennoch von fachkundigen Augen. Ein WordPress-Sicherheitsaudit
prüft jedes Plugin und Theme, testet Authentifizierung und Zugriff und kontrolliert wp-config.php, die Datenbank sowie die Angriffsfläche von REST API und XML-RPC und erstellt einen priorisierten Härtungsplan. Für das größere Bild über Ihre gesamte Website und Ihren Stack hinweg siehe den Website-Sicherheitsaudit-Leitfaden für britische Unternehmen
. Wenn Ihre Website neben der Härtung laufende Entwicklung und Wartung benötigt, kann ein WordPress-Entwickler zum Anheuern
sie langfristig sicher halten.
Häufig gestellte Fragen (FAQ)
Wie werden WordPress-Seiten am häufigsten gehackt? Über anfällige und veraltete Plugins und Themes. Drittanbieter-Plugin-Code ist der mit Abstand größte Angriffsvektor, weshalb zeitnahe Updates und das Entfernen ungenutzter Plugins mehr zählen als fast alles andere.
Brauche ich wirklich ein Sicherheits-Plugin? Ein seriöses Sicherheits-Plugin hilft bei Malware-Scans, Login-Begrenzung und Überwachung, ist aber kein Ersatz für die Grundlagen: Updates, starke Authentifizierung, Rollen nach dem Prinzip der geringsten Rechte und eine WAF. Ergänzen Sie es zusätzlich zu guter Hygiene, nicht anstelle davon.
Sollte ich XML-RPC deaktivieren? Wenn Sie es nicht verwenden (etwa für die mobile App oder bestimmte Integrationen), ja. XML-RPC wird häufig für Brute-Force und DDoS-Verstärkung missbraucht, sodass das Deaktivieren eine verbreitete Angriffsfläche entfernt.
Wie oft sollte ich meine WordPress-Seite sichern? Häufig genug, dass Sie keine nennenswerten Daten verlieren könnten, typischerweise täglich bei aktiven Seiten, außerhalb des Servers gespeichert. Entscheidend: Testen Sie Ihre Wiederherstellungen; ein Backup, das Sie nie wiederhergestellt haben, ist unbewiesen.
Reicht Cloudflare, um WordPress abzusichern? Eine WAF auf CDN-Ebene wie Cloudflare filtert viel bösartigen Verkehr und absorbiert Bot- und DDoS-Druck, behebt aber keine anfälligen Plugins, schwachen Passwörter oder Fehlkonfigurationen. Nutzen Sie sie als eine Schicht neben der Härtung vor Ort.
Kommentare