WordPress absichern: 12 effektive Maßnahmen für mehr Sicherheit

WordPress ist beliebt – auch bei Angreifern. In diesem Beitrag zeigen wir dir 12 bewährte Maßnahmen, mit denen du die Sicherheit deiner WordPress-Website deutlich erhöhst. Von Hosting über Login-Schutz bis zu Backups: So sicherst du deine Website richtig ab.

 

1. Wähle ein sicheres Fundament: Das richtige Hosting

Ein sicheres WordPress beginnt mit einem soliden Hosting-Anbieter. Viele Sicherheitsprobleme entstehen nicht durch WordPress selbst, sondern durch schlechte Serverkonfigurationen.

Achte auf:

• Aktuelle Server-Software (PHP, MySQL)
• Firewall und Malware-Scan inklusive
• Tägliche Backups
• Schneller und kompetenter Support

2. Halte dein System aktuell – immer!

Updates sind eine der einfachsten und wichtigsten Sicherheitsmaßnahmen. Veraltete Plugins oder Themes sind eine der Hauptursachen für Hacks.

Was du aktuell halten solltest:

• WordPress-Core
• Plugins und Themes
• PHP-Version auf dem Server

Tipp: Aktiviere automatische Updates für kleinere Releases.

3. Schütze deinen Login-Bereich effektiv

Der Login-Bereich ist das beliebteste Ziel für Angreifer. Deshalb sollte er besonders gesichert werden.

Empfohlene Maßnahmen:

• Login-Versuche einschränken (z. B. mit "Limit Login Attempts Reloaded")
• 2-Faktor-Authentifizierung aktivieren
• Benutzername „admin“ vermeiden
• Starke Passwörter verwenden
• Zugriff per IP beschränken oder Pfad zum Login ändern

Der Login-Bereich ist das beliebteste Ziel für Angreifer. Deshalb sollte er besonders gesichert werden. Um Login-Versuche effektiv einzuschränken, bieten wir unseren Kunden unser eigenes Plugin "Login Limiter" an, das zuverlässig vor Brute-Force-Angriffen schützt.

4. HTTPS ist Pflicht – sichere deine Verbindung

Ein SSL-Zertifikat verschlüsselt die Verbindung zwischen Browser und Server. Das ist nicht nur für Google wichtig, sondern auch für den Datenschutz.

Maßnahmen:

• SSL-Zertifikat aktivieren
• HTTP-Weiterleitung auf HTTPS einrichten
• Mixed Content vermeiden

 

5. Setze auf Sicherheits-Plugins – aber gezielt

Plugins können viele Sicherheitsfunktionen übernehmen. Aber zu viele Plugins machen das System instabil.

Bewährte Plugins:

• Wordfence Security
• iThemes Security
• Patchstack – WordPress & Plugins Security
• Defender Security – Malware Scanner, Login Security & Firewall

Tipp: Niemals mehrere Sicherheitsplugins parallel mit ähnlichen Funktionen verwenden.

 

6. Begrenze, was Benutzer im Dashboard dürfen

Je weniger Nutzer im Backend ändern können, desto geringer das Risiko.

Empfehlungen:

• Datei-Editor in WordPress deaktivieren: define('DISALLOW_FILE_EDIT', true);
• Benutzerrollen gezielt einschränken
• Keine unnötigen Admin-Konten vergeben

7. Sichere deine Konfigurationsdateien

wp-config.php und .htaccess enthalten sensible Informationen. Sie sollten besonders geschützt werden.

Beispiel .htaccess-Schutz:

<files wp-config.php>
  order allow,deny
  deny from all
</files>

Tipp: Die wp-config.php eine Ebene nach außen verschieben, falls der Server es erlaubt.

Wie du deine wp-config.php verschieben kannst, findest du im folgenden Blog-Beitrag: wp-config.php verschieben: So schützt du deine WordPress-Konfiguration besser

8. Setze auf starke Dateirechte

Falsche Dateiberechtigungen sind ein offenes Scheunentor für Angreifer.

Empfohlene Einstellungen:

• Dateien: 644
• Ordner: 755
• wp-config.php: 600

Am besten per FTP oder Hosting-Panel kontrollieren.

9. Die Datenbank absichern – klein, aber wirksam

Die Datenbank enthält alle Inhalte. Ein paar kleine Maßnahmen machen sie sicherer.

Tipps:

• Datenbank-Präfix von wp_ ändern
• Starke Zugangsdaten verwenden
• Remote-Zugriff deaktivieren

10. XML-RPC deaktivieren – nur wenn du’s nicht brauchst

XML-RPC wird von manchen Diensten gebraucht, ist aber ein bekanntes Einfallstor für Brute-Force-Angriffe.

So deaktivierst du es:

• Per Plugin (z. B. "Disable XML-RPC")
• Oder mit folgendem Code in der .htaccess:

<Files xmlrpc.php>
  order deny,allow
  deny from all
</Files>

11. Hotlinking verhindern – Inhalte vor Missbrauch schützen

Hotlinking stiehlt deine Bandbreite, indem externe Seiten deine Bilder direkt einbinden.

Schutz per .htaccess:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?deineseite\.de [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

12. Backup, Backup, Backup!

Wenn alles schiefgeht, hilft nur ein aktuelles Backup. Ohne Backup ist alles verloren.

Empfohlene Backup-Plugins:

• UpdraftPlus
• BackWPup
• Akeeba Backup

Tipp: Mindestens ein Backup extern speichern (Cloud, FTP, E-Mail).

Fazit: Sicherheit ist kein Einmal-Projekt

Sicheres WordPress bedeutet nicht, dass nie etwas passiert. Aber so reduzierst du das Risiko massiv. Bleib wachsam, halte dein System aktuell und setze auf bewährte Tools – so bist du auf der sicheren Seite.

Du bist dir unsicher, ob deine Website ausreichend geschützt ist? Oder brauchst du professionelle Unterstützung beim Thema WordPress-Sicherheit? Dann nimm gerne Kontakt mit uns auf – wir helfen dir weiter.

Schreibe uns unverbindlich!