Termin buchen

Sicherheit

WordPress sicher betreiben: 10 Maßnahmen gegen die häufigsten Hacks

25. Januar 2026 1 Min. Lesezeit

WordPress läuft auf 40 Prozent aller Websites – und ist entsprechend Angriffsziel Nummer eins. Mit diesen 10 Maßnahmen wird WordPress deutlich sicherer.

WordPress an sich ist nicht unsicher – die Probleme entstehen fast immer durch Plugins, Themes und vernachlässigte Updates. Mit diesen zehn Maßnahmen wird WordPress in den meisten KMU-Setups deutlich sicherer.

1. Updates aktuell halten

Über 80 Prozent aller WordPress-Hacks nutzen bekannte Lücken in veralteten Versionen. Automatische Updates für Minor-Releases aktivieren, Plugin-Updates regelmäßig (mindestens wöchentlich) prüfen.

2. Wenige, aber gepflegte Plugins

Jedes Plugin ist potentielles Einfallstor. Faustregel: maximal 15-20 aktive Plugins, alle aktuell, alle aus vertrauenswürdiger Quelle. Verwaiste Plugins (kein Update seit 1+ Jahr) deinstallieren.

3. Starkes Admin-Passwort und 2FA

Plugins wie WP 2FA oder Two Factor Authentication aktivieren Zwei-Faktor-Login. Passwort-Manager nutzen, mindestens 16-Zeichen-Passwörter. Standard-Username "admin" niemals nutzen.

4. Login-Versuche limitieren

Brute-Force-Angriffe sind Standard. Plugins wie Limit Login Attempts oder WordFence sperren IP-Adressen nach mehreren Fehlversuchen automatisch.

5. Login-URL ändern

Standard-Login wp-admin/wp-login.php ist überall bekannt. Plugin WPS Hide Login leitet auf eine eigene URL um (z. B. /mein-login). Spart 90 Prozent automatisierter Login-Versuche.

6. Datei-Berechtigungen sauber setzen

PHP-Dateien sollten 644, Verzeichnisse 755, wp-config.php idealerweise 440 haben. Nicht-Beschreibbare Dateien können nicht modifiziert werden.

7. wp-config.php sichern

  • Außerhalb des Webroots verschieben, falls möglich.
  • Database-Passwort, AUTH_KEYs, SECURE_AUTH_KEYs eindeutig setzen.
  • In .htaccess Zugriff explizit verbieten.

8. XML-RPC deaktivieren

XML-RPC ist Standard-Einfallstor für Brute-Force. Über .htaccess oder Plugins wie Disable XML-RPC deaktivieren. Nur aktivieren, wenn es wirklich gebraucht wird (z. B. mobile App).

9. WAF und Sicherheits-Plugin

WordFence, Sucuri oder iThemes Security bieten Web Application Firewall, Malware-Scans und Login-Schutz in einem. Cloudflare als zusätzliche WAF auf DNS-Ebene.

10. Regelmäßige Backups + Restore-Test

Selbst die beste Sicherheit kann scheitern. Tägliches Backup mit getestetem Restore ist der letzte und wichtigste Schutz.

Passend zu diesem Thema

Websites mit Nischenfunktionen von Software Fehlner

Websites, die organisch ranken und interaktive Funktionen direkt einbauen. Unsere Kundenseiten landen regelmäßig auf Platz 1 für naheliegende Keywords – ohne laufende Ads.

Mehr zu Websites mit Nischenfunktionen Erstgespräch buchen

Weitere Artikel

Konkrete Frage zu diesem Thema?

Schreiben Sie uns – wir antworten persönlich innerhalb 24 Stunden, oder buchen Sie direkt ein kostenfreies 20-Minuten-Erstgespräch.

Termin buchen Nachricht schreiben

kostenfrei unverbindlich ca. 20 Minuten Antwort innerhalb 24 h