Jetzt erreichbar +49 1763 0798345 oder Termin buchen – Antwort innerhalb 24 h

Sicherheit

WordPress sicher betreiben: 10 Maßnahmen gegen die häufigsten Hacks

25. Januar 2026 2 Min. Lesezeit

WordPress läuft auf 40 Prozent aller Websites – und ist entsprechend Angriffsziel Nummer eins. Mit diesen 10 Maßnahmen wird WordPress deutlich sicherer.

WordPress an sich ist nicht unsicher – die Probleme entstehen fast immer durch Plugins, Themes und vernachlässigte Updates. Mit diesen zehn Maßnahmen wird WordPress in den meisten KMU-Setups deutlich sicherer.

1. Updates aktuell halten

Über 80 Prozent aller WordPress-Hacks nutzen bekannte Lücken in veralteten Versionen. Automatische Updates für Minor-Releases aktivieren, Plugin-Updates regelmäßig (mindestens wöchentlich) prüfen.

2. Wenige, aber gepflegte Plugins

Jedes Plugin ist potentielles Einfallstor. Faustregel: maximal 15-20 aktive Plugins, alle aktuell, alle aus vertrauenswürdiger Quelle. Verwaiste Plugins (kein Update seit 1+ Jahr) deinstallieren.

3. Starkes Admin-Passwort und 2FA

Plugins wie WP 2FA oder Two Factor Authentication aktivieren Zwei-Faktor-Login. Passwort-Manager nutzen, mindestens 16-Zeichen-Passwörter. Standard-Username "admin" niemals nutzen.

4. Login-Versuche limitieren

Brute-Force-Angriffe sind Standard. Plugins wie Limit Login Attempts oder WordFence sperren IP-Adressen nach mehreren Fehlversuchen automatisch.

5. Login-URL ändern

Standard-Login wp-admin/wp-login.php ist überall bekannt. Plugin WPS Hide Login leitet auf eine eigene URL um (z. B. /mein-login). Spart 90 Prozent automatisierter Login-Versuche.

6. Datei-Berechtigungen sauber setzen

PHP-Dateien sollten 644, Verzeichnisse 755, wp-config.php idealerweise 440 haben. Nicht-Beschreibbare Dateien können nicht modifiziert werden.

7. wp-config.php sichern

  • Außerhalb des Webroots verschieben, falls möglich.
  • Database-Passwort, AUTH_KEYs, SECURE_AUTH_KEYs eindeutig setzen.
  • In .htaccess Zugriff explizit verbieten.

8. XML-RPC deaktivieren

XML-RPC ist Standard-Einfallstor für Brute-Force. Über .htaccess oder Plugins wie Disable XML-RPC deaktivieren. Nur aktivieren, wenn es wirklich gebraucht wird (z. B. mobile App).

9. WAF und Sicherheits-Plugin

WordFence, Sucuri oder iThemes Security bieten Web Application Firewall, Malware-Scans und Login-Schutz in einem. Cloudflare als zusätzliche WAF auf DNS-Ebene.

10. Regelmäßige Backups + Restore-Test

Selbst die beste Sicherheit kann scheitern. Tägliches Backup mit getestetem Restore ist der letzte und wichtigste Schutz.

Aus der Praxis · Software Fehlner

Wie wir Website-Sicherheit in der Praxis angehen

IT-Sicherheit ist ein Dauerthema – nie abgeschlossen, nie „fertig". Wir richten Websites von Anfang an so ein, dass die wichtigsten Schutzmechanismen automatisch greifen: HTTPS überall, aktuelle TLS-Versionen, HSTS-Header, strenge Content-Security-Policy, DSGVO-konforme Protokollierung.

Für Bestandswebsites prüfen wir den Status, schlagen konkrete Maßnahmen vor und setzen sie gemeinsam um – oft in einem kompakten Audit mit priorisierter Maßnahmenliste. Unsere Kunden sparen dadurch typischerweise 20 bis 30 Prozent Aufwand bei Technik- und Prozessthemen.

Wir sind im Großraum Regensburg und der Oberpfalz vor Ort verfügbar und reagieren bei akuten Vorfällen schnell. Kein Hotline-System, kein Ticket-Pingpong.

Passende Leistung

Websites mit Nischenfunktionen

Websites, die organisch ranken und interaktive Funktionen direkt einbauen. Unsere Kundenseiten landen regelmäßig auf Platz 1 für naheliegende Keywords – ohne laufende Ads.

Kostenfreies Erstgespräch buchen Mehr zu dieser Leistung

kostenfrei unverbindlich ca. 20 Minuten Antwort innerhalb 24 h

Weitere Artikel

Konkrete Frage zu diesem Thema?

Schreiben Sie uns – wir antworten persönlich innerhalb 24 Stunden, oder buchen Sie direkt ein kostenfreies 20-Minuten-Erstgespräch.

Termin buchen Nachricht schreiben

kostenfrei unverbindlich ca. 20 Minuten Antwort innerhalb 24 h