WordPress betreibt einen riesigen Teil des Webs, was es zu einem ständigen Ziel macht. Die gute Nachricht: Die überwältigende Mehrheit der WordPress-Kompromittierungen nutzt eine kleine, vorhersehbare Reihe von Schwachstellen aus, und fast alle davon lassen sich verhindern. Diese Checkliste zur WordPress-Sicherheit härten führt durch die Schritte, die 2026 wirklich etwas bewirken, ungefähr in der Reihenfolge ihrer Priorität.

Kurz gesagt

  • Anfällige und veraltete Plugins und Themes sind der mit Abstand größte Angriffsvektor für WordPress; disziplinierte Updates und das Entfernen ungenutzten Codes zählen mehr als alles andere
  • Starke Authentifizierung (eindeutige Admin-Benutzernamen, starke Passwörter, Zwei-Faktor, Login-Ratenbegrenzung) schließt die zweithäufigste Tür
  • Härten Sie wp-config.php, die Dateirechte und die Angriffsfläche von REST API / XML-RPC und setzen Sie eine WAF vor die Website
  • Sichern Sie regelmäßig und testen Sie Wiederherstellungen; ein gutes Backup macht aus einem Einbruch eine Unannehmlichkeit statt einer Katastrophe

1. Core, Plugins und Themes aktuell halten

Veraltete Plugins und Themes sind der häufigste Weg, auf dem WordPress-Seiten gehackt werden. Jedes Plugin ist Drittanbieter-Code, der mit Zugriff auf Ihre Website läuft.

  • Aktivieren Sie automatische Updates für den WordPress-Core (mindestens Minor-Releases).
  • Aktualisieren Sie Plugins und Themes zeitnah, idealerweise nach einem Zeitplan mit einem Staging-Test.
  • Entfernen Sie Plugins und Themes, die Sie nicht verwenden. Deaktiviert reicht nicht; gelöscht ist sicher.
  • Installieren Sie nur Plugins aus seriösen Quellen mit einer aktiven Wartungshistorie.
  • Achten Sie auf verwaiste Plugins; nicht gewarteter Code ist ein Risiko, selbst wenn er noch funktioniert.

2. Authentifizierung abriegeln

Brute-Force- und Anmeldedaten-Angriffe gegen wp-login.php sind unerbittlich.

  • Verwenden Sie niemals admin als Benutzernamen. Nutzen Sie einen eindeutigen Administratornamen.
  • Erzwingen Sie starke, eindeutige Passwörter für jedes Konto.
  • Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) für alle Admin- und Redakteurskonten.
  • Begrenzen Sie Anmeldeversuche und fügen Sie eine Ratenbegrenzung hinzu, um Brute-Force-Versuche zu blockieren.
  • Erwägen Sie, die Login-URL zu ändern oder zu schützen und eine CAPTCHA-Abfrage hinzuzufügen.

3. Benutzerrollen nach dem Prinzip der geringsten Rechte vergeben

  • Geben Sie jedem Benutzer die niedrigste Rolle, die seine Arbeit erlaubt. Nicht jeder muss Administrator sein.
  • Prüfen Sie Benutzerkonten regelmäßig und entfernen Sie ehemalige Mitarbeiter und ungenutzte Logins.
  • Überprüfen Sie Rollen nach der Installation von Plugins, die eigene Berechtigungen hinzufügen.

4. wp-config.php härten

wp-config.php enthält Ihre Datenbank-Zugangsdaten und geheimen Schlüssel und verdient daher besondere Aufmerksamkeit.

  • Setzen Sie eindeutige Authentifizierungsschlüssel und Salts.
  • Deaktivieren Sie den integrierten Dateieditor: define('DISALLOW_FILE_EDIT', true);, damit ein Angreifer, der Admin-Zugriff erlangt, Theme- und Plugin-Code nicht über das Dashboard bearbeiten kann.
  • Verschieben Sie wp-config.php eine Ebene über das Web-Root, wo das Hosting es zulässt, und beschränken Sie ihre Dateirechte.
  • Halten Sie WP_DEBUG in der Produktion deaktiviert, damit Fehler keine Informationen preisgeben.

5. Korrekte Datei- und Verzeichnisrechte setzen

  • Verzeichnisse 755, Dateien 644 als Standard-Basis; verwenden Sie niemals 777.
  • Stellen Sie sicher, dass der Webserver-Benutzer die Dateien besitzt, aber dort nicht schreiben kann, wo er es nicht muss.
  • Schützen Sie sensible Dateien und deaktivieren Sie das Durchsuchen von Verzeichnissen.

6. Angriffsfläche verkleinern: XML-RPC und REST API

  • Deaktivieren Sie XML-RPC, wenn Sie es nicht verwenden; es ist ein häufiger Vektor für Brute-Force und DDoS-Verstärkung.
  • Beschränken oder authentifizieren Sie die REST API dort, wo sie Daten offenlegt, die nicht öffentlich sein sollen.
  • Entfernen Sie die WordPress-Versionsnummer und andere unnötige Informationspreisgabe aus der Seitenausgabe.

7. WAF und HTTPS davorschalten

  • Liefern Sie die gesamte Website über HTTPS aus und leiten Sie den gesamten HTTP-Verkehr um.
  • Fügen Sie Sicherheits-Header hinzu (HSTS, X-Content-Type-Options, X-Frame-Options oder eine frame-ancestors Content-Security-Policy und eine CSP, wo praktikabel).
  • Verwenden Sie eine Web Application Firewall. Eine WAF auf CDN-Ebene wie Cloudflare filtert bösartigen Verkehr, bevor er WordPress erreicht, und absorbiert Bot- und DDoS-Druck.

8. Datenbank- und Hosting-Härtung

  • Verwenden Sie bei Neuinstallationen ein nicht standardmäßiges Datenbank-Tabellenpräfix.
  • Verwenden Sie einen dedizierten Datenbankbenutzer mit nur den Rechten, die WordPress benötigt.
  • Halten Sie PHP auf einer unterstützten, aktuellen Version; End-of-Life-PHP ist ein stilles Risiko.
  • Wählen Sie Hosting, das Websites isoliert und den Server-Stack patcht.

9. Überwachung, Backups und Wiederherstellung

  • Führen Sie Malware- und Dateiintegritäts-Scans durch, damit unerwartete Änderungen schnell erkannt werden.
  • Aktivieren Sie Sicherheitsprotokollierung, damit Sie Anmeldeversuche und Änderungen sehen können.
  • Erstellen Sie regelmäßige, automatische Backups außerhalb des Servers und testen Sie die Wiederherstellung. Ein ungetestetes Backup ist eine Hoffnung, kein Plan.

Wichtigste Erkenntnisse

  • Die größten Erfolge sind unspektakulär: Alles aktualisieren, ungenutzte Plugins und Themes entfernen und starke Authentifizierung mit 2FA erzwingen.
  • Härten Sie wp-config.php, die Dateirechte und die Angriffsfläche von XML-RPC / REST API, um die Angriffsfläche zu verkleinern.
  • Setzen Sie HTTPS, Sicherheits-Header und eine WAF vor die Website.
  • Sichern Sie regelmäßig und testen Sie Wiederherstellungen, damit ein Einbruch behebbar ist.

Professionelle WordPress-Sicherheit härten

Eine Checkliste bringt Sie den größten Teil des Weges, aber die WordPress-Sicherheit zu härten profitiert dennoch von fachkundigen Augen. Ein WordPress-Sicherheitsaudit prüft jedes Plugin und Theme, testet Authentifizierung und Zugriff und kontrolliert wp-config.php, die Datenbank sowie die Angriffsfläche von REST API und XML-RPC und erstellt einen priorisierten Härtungsplan. Für das größere Bild über Ihre gesamte Website und Ihren Stack hinweg siehe den Website-Sicherheitsaudit-Leitfaden für britische Unternehmen . Wenn Ihre Website neben der Härtung laufende Entwicklung und Wartung benötigt, kann ein WordPress-Entwickler zum Anheuern sie langfristig sicher halten.

Häufig gestellte Fragen (FAQ)

Wie werden WordPress-Seiten am häufigsten gehackt? Über anfällige und veraltete Plugins und Themes. Drittanbieter-Plugin-Code ist der mit Abstand größte Angriffsvektor, weshalb zeitnahe Updates und das Entfernen ungenutzter Plugins mehr zählen als fast alles andere.

Brauche ich wirklich ein Sicherheits-Plugin? Ein seriöses Sicherheits-Plugin hilft bei Malware-Scans, Login-Begrenzung und Überwachung, ist aber kein Ersatz für die Grundlagen: Updates, starke Authentifizierung, Rollen nach dem Prinzip der geringsten Rechte und eine WAF. Ergänzen Sie es zusätzlich zu guter Hygiene, nicht anstelle davon.

Sollte ich XML-RPC deaktivieren? Wenn Sie es nicht verwenden (etwa für die mobile App oder bestimmte Integrationen), ja. XML-RPC wird häufig für Brute-Force und DDoS-Verstärkung missbraucht, sodass das Deaktivieren eine verbreitete Angriffsfläche entfernt.

Wie oft sollte ich meine WordPress-Seite sichern? Häufig genug, dass Sie keine nennenswerten Daten verlieren könnten, typischerweise täglich bei aktiven Seiten, außerhalb des Servers gespeichert. Entscheidend: Testen Sie Ihre Wiederherstellungen; ein Backup, das Sie nie wiederhergestellt haben, ist unbewiesen.

Reicht Cloudflare, um WordPress abzusichern? Eine WAF auf CDN-Ebene wie Cloudflare filtert viel bösartigen Verkehr und absorbiert Bot- und DDoS-Druck, behebt aber keine anfälligen Plugins, schwachen Passwörter oder Fehlkonfigurationen. Nutzen Sie sie als eine Schicht neben der Härtung vor Ort.