WordPress Sicherheit: 11 Maßnahmen, um Ihre Website effektiv zu schützen
Inhalt
- WordPress Sicherheit – Die Sicherheitslücken
- WordPress-Sicherheit – darum ist vorsicht geboten
- Risiken für B2B-Unternehmen
- WordPress Security – So Schützen Sie Ihre Website
- 1. Verwenden Sie sichere Passwörter
- 2. Halten Sie Systeme & Backups aktuell
- 3. Verwenden Sie seriöse Plugins & Themes
- 4. Vergeben Sie sichere Benutzernamen & Rollen
- 5. Doppelte WP Sicherheit – Die Zwei-Faktor-Authentifizierung (2FA)
- 6. Verwenden Sie sichere URL-Protokolle
- 7. Nutzen Sie einen sicheren Hosting-Anbieter
- 8. htaccess Datei konfigurieren
- 9. Rest API einschränken
- 10. WordPress Security Plugins nutzen
- 11. Kommentare deaktivieren
- WordPress Security Checkliste
- Fazit
dotflow®
dotflow ist die B2B Digitalagentur für smartes Online-Marketing und überzeugende Websites.

WordPress ist das weltweit führende Content-Management-System (CMS) – über 43% aller Websites laufen unter WordPress. Diese Popularität macht es zur ersten Wahl für Webseiten jeder Größe, von einfachen Blogs über Landingpages bis hin zu großen E-Commerce-Shops.
Laut Bitkom e. V. entstehen in der deutschen Wirtschaft jährlich 206 Milliarden Euro Schaden durch den Diebstahl von IT-Ausrüstung, Daten sowie gezielte Cyberangriffe – 72 Prozent davon entfallen auf reine Cyberattacken. Kein Unternehmen kann sich vor diesen Bedrohungen sicher fühlen, da rund drei Viertel aller deutschen Unternehmen betroffen sind. Das macht die unangefochtene Reichweite von WordPress zu einem lukrativen Ziel.
Die WordPress Sicherheit ist daher wertvoller den je, um Ihre Webseite und sensible Daten vor Angriffen zu schützen. In diesem Ratgeber erfahren Sie, welche Angriffe besonders kritisch sind und wie Ihr WordPress bestmöglich absichern können. Zudem bieten wir eine Checkliste, mit der Sie die Sicherheit Ihrer WordPress-Seite Schritt für Schritt verbessern – damit Ihr Onlineauftritt nicht nur läuft, sondern auch sicher bleibt.
WordPress Sicherheit – Die Sicherheitslücken
Laut dem WordPress Security Report von Patchwork (Stand 2024) waren 97 % aller identifizierten Sicherheitslücken auf Plugins zurückzuführen. Lediglich 3 % entfielen auf unsichere Themes, und nur 0,2 % der Schwachstellen wurden im WordPress-Core selbst entdeckt. Die Hauptursache für die Sicherheitslücken im WordPress sind also vordergründig unsichere Plugins und Themes sowie kompromittierte WordPress-Administratorkonten.
Da nur 0,02 % der Sicherheitsprobleme direkt auf WordPress zurückzuführen sind, gilt das CMS grundsätzlich als sehr sicher. Die größten Risiken für Cyberangriffe entstehen durch Sicherheitslücken in Plugins und Themes.
Für die Sicherheit im WordPress ist es weiterhin entscheidend, sowohl Erweiterungen sorgfältig auszuwählen als auch die Sicherheit von Benutzerkonten streng im Blick zu behalten.
WordPress-Sicherheit – darum ist vorsicht geboten
Wenn es um Angriffe auf die WordPress Sicherheit geht, setzen Hacker verschiedene Methoden ein, die zu Schäden unterschiedlicher Größenordnung führen können. Laut dem State of WordPress Security Report sind folgende Bedrohungen besonders kritisch zu betrachten:
Cross-Site Scripting (XSS)
Definition: Angriff, bei dem bösartiger Code in eine Webseite eingeschleust wird.
Lücken in der WordPress Sicherheit: 1963
Auswirkung auf die WordPress Sicherheit Kann zur Diebstahl persönlicher Daten oder zur Kompromittierung der Webseite führen.
SQL-Injection
Definition: Angriffsmethode, bei der Angreifer bösartige SQL-Codefragmente in Eingabeformulare oder URLs einschleusen.
Lücken in der WordPress Sicherheit: 279
Auswirkung auf die WordPress Sicherheit: Kann dazu führen, dass sensible Datenbankinformationen preisgegeben, geändert oder gelöscht werden.
Cross-Site Request Forgery (CSRF)
Definition: Angriff, bei dem Aktionen im Namen eines angemeldeten Nutzers einer Webseite ausgeführt werden, ohne seines Wissens.
Lücken in der WordPress Sicherheit: 1098
Auswirkung auf die WordPress Sicherheit: Kann dazu führen, dass unerwünschte Aktionen auf der betroffenen Webseite durchgeführt werden, wie das Ändern von Kontoinformationen oder das Durchführen von Transaktionen.
Fehlende Autorisierung und Umgehung von Autorisierung
Definition: Ein Hacker umgeht die Authentifizierungsmechanismen eines Geräts, um unbefugten Zugriff zu erhalten.
Lücken in der WordPress Sicherheit: 885
Auswirkung auf die WordPress Sicherheit: Erlaubt es Funktionen innerhalb der mobilen Anwendung oder von der mobilen Anwendung verwendeten Backend-Servers anonym auszuführen.
Offenlegung von Informationen
Definition: Sensible Informationen über eine Privatperson oder ein Unternehmen werden offengelegt.
Lücken in der WordPress Sicherheit: 98
Auswirkung auf die WordPress Sicherheit: Private, persönliche Informationen, wie z. B. persönliche Nachrichten, Finanzdaten, Gesundheitsdaten, geografischer Standort oder Kontaktinformationen können offenkundig gemacht werden
Diese Sicherheitslücken zeigen deutlich, dass Unternehmen und Organisationen weiterhin mit ernsthaften Herausforderungen in Bezug auf die Sicherheit ihrer IT-Infrastruktur konfrontiert sind. Um sich gegen diese Bedrohungen zu schützen sind Updates an Ihrer Webseite unverzichtbar.
Experten-Insight
Überprüfen Sie regelmäßig die OWASP TOP 10 Liste. Die Liste Stellt eine Übersicht dar und beinhaltet die wichtigsten Sicherheitsrisiken für Webanwendungen.
Sicherheitsrisiken für B2B-Unternehmen
Für B2B-Unternehmen bedeutet WordPress-Sicherheit, ihre digitalen Systeme, Daten und Kommunikationsprozesse vor Cyberangriffen zu schützen. Dabei gilt es, Sicherheitslücken frühzeitig zu erkennen, bevor sie ausgenutzt werden können. Da B2B-Unternehmen oft sensible Daten ihrer Geschäftspartner verarbeiten, sind sie besonders attraktive Ziele für Angreifer. Eine unzureichende Absicherung kann gravierende Folgen haben:
- Umsatzverlust: Produktionsausfälle oder Systemausfälle können direkte finanzielle Schäden verursachen.
- Imageschaden: Vertrauensverlust bei Partnern und Kunden.
- Existenzgefahr: Besonders kleinere Unternehmen könnten existenziell bedroht sein.
- Strafzahlungen: Hohe Kosten durch Schadensersatzansprüche.
- Betriebsunterbrechung: Cyberangriffe können den Betrieb lahmlegen, was Lieferketten und Geschäftsabläufe erheblich stört.
- Erhöhter Sicherheitsaufwand: Die Kosten für Sicherheitsmaßnahmennach einem Angriff sind höher als es von Anfang richtig zu machen
So sichern Sie Ihr WordPress ab
Nach dem Pareto-Prinzip lassen sich mit nur 20 % Aufwand bereits 80 % der WordPress-Sicherheit herstellen. Der Schlüssel zum Erfolg ist manchmal ganz einfach – Fangen Sie einfach an etwas zu machen, bevor Sie nichts machen. Mit den Basics der Sicherheitsmaßnahmen haben Sie bereits einen großen Schritt getan, bevor Sie später tiefergehende Sicherheitsstrategien ableiten und umsetzen können.
Experten-Insight
Die Umsetzung von Best Practices ist ein wichtiger Schritt zur Absicherung Ihrer WordPress-Website. Dennoch reicht es manchmal nicht aus, nur bestehende Sicherheitsmaßnahmen zu optimieren. Kritische Probleme in der Seitenarchitektur oder schlecht konfigurierte Server können weiterhin ein erhebliches Risiko darstellen.
WIe können Sie Ihr WordPress absichern? Ein Security-Audit schafft in solchen Fällen Klarheit, indem es Schwachstellen aufdeckt, die auf den ersten Blick nicht erkennbar sind. Das Audit analysiert die komplette Website-Struktur und identifiziert potenzielle Sicherheitslücken, die dringend behoben werden sollten.
1. Verwenden Sie sichere Passwörter
Sichere Passwörter sind der erste Schutz gegen Brute-Force-Angriffe, bei denen Hacker automatisierte Skripte nutzen, um Millionen von Passwortkombinationen zu testen. Ein schwaches Passwort kann in Sekunden geknackt werden, was die Sicherheit Ihres WordPress erheblich gefährdet.
Was macht ein sicheres Passwort aus?
- Mindestens 12 Zeichen lang
- Je länger & dynamischer die Zeichenkettung ist, desto schwieriger ist das Cracken des Passworts
- Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
- Keine einfachen Wörter oder persönliche Informationen wie Geburtsjahr, Firmengründung, Namen etc.
- Nutzen Sie auf keinen Fall Standard-Passwörter die beim generieren des Accounts vergeben werden
2. Halten Sie Systeme & Backups aktuell
Ein weiteres wichtiger Punkt für die WordPress-Sicherheit ist die Aktualität der Daten. Updates schließen bekannte Sicherheitslücken in WordPress selbst sowie in Themes und Plugins. Sie beinhalten auch Patches für Schwachstellen, die von der Community oder Entwicklern entdeckt wurden.
Die Best-Practice:
- Aktivieren Sie die Funktion für automatische Updates bei Plugins & Themes
- Führen Sie neben Automatischen Updates auch manuelle Prüfungen durch. Insbesondere bei WordPress selbst.
- Falls größere Updates geplant sind lohnt es sich vorher ein gründliches Backup der Seite zu machen, um im Fall eines Problems einfach auf einen vorherigen funktionalen Stand zurückspringen zu können
3. Verwenden Sie seriöse Plugins & Themes
Aus Sicherheitsgründen sollten Sie die Installation von Plugins und Themes aus nicht verifizierte Quellen sollten Sie vermeiden. Hier besteht die Gefahr das die Dateien veraltet sind und und mangelnde Sicherheitsanforderungen haben, da sich nicht tiefgründig genug auf Schwachstellen geprüft wurden sind.
Folgendes sollten Sie daher beachten:
- Source: Installieren Sie nur Themes und Plugins von vertrauenswürdigen Anbietern oder aus offiziellen Quellen, um sicherzustellen, dass sie den nötigen Sicherheitsstandards entsprechen.
- Bewertungen prüfen: Achten Sie auf Rezensionen und die Häufigkeit von Updates. Regelmäßige Aktualisierungen sind ein Zeichen dafür, dass der Entwickler aktiv an Sicherheitslücken arbeitet.
- WordPress Sicherheitsaudit: Nutzen Sie CVE-Scanner und führen Sie ein Security-Audit durch, um Ihre Sammlung an Plugin und Themes auf Schwachstellen zu prüfen.
Experten-Insight
Bei der Sicherheit für WordPress-Plugins gilt: Qualität statt Quantität. Verwenden Sie von jeder Plugin-Kategorie (z.B. Firewall, Caching) nur ein Plugin. Andernfalls kann es zu Konflikten kommen, und das Risiko für Sicherheitslücken steigt.
4. Vergeben Sie sichere Benutzernamen & Rollen
Eine oft unterschätzte, aber kritische Sicherheitslücke in WordPress ist die Wahl des Benutzernamens. Ein sicherer Benutzername ist eine essenzielle Schutzmaßnahme gegen Brute-Force-Angriffe, bei denen Hacker versuchen, durch das Erraten gängiger Namen wie „Admin“ Zugriff zu erhalten. Um die Sicherheit Ihrer WordPress-Seite zu erhöhen, sollten Sie Standardnamen vermeiden und stattdessen einen einzigartigen, schwer zu erratenden Benutzernamen wählen.
Zudem sollten Benutzerkonten mit Bedacht verwaltet werden. Nicht jeder benötigt Administratorrechte. Eine falsche Zuweisung von Rechten kann unbeabsichtigte Änderungen oder Sicherheitslücken schaffen. Vergeben Sie nur die notwendigsten Rechte, um das Risiko zu minimieren.
WordPress Sicherheit für Benutzerrollen:
- Nutzen Sie keine Standardnamen wie „Admin“ oder Firmennamen
- Achten Sie bei der Vergabe darauf, was Sie öffentlich von Ihrem Unternehmen Preis geben und welchen Accountnamen Sie anschließend vergeben wollen
- Vermeiden Sie folgendes Beispiel: Ihre Mitarbeiter sind auf der „Über Uns“ Seite abgebildet und das Gründungsjahr Ihrer Firma bzw. der Eintritt des Mitarbeiters ins Unternehmen ist als Information öffentlich Sichtbarkeit oder leicht zu recherchieren
- Rechte für Super-Administrator und Administrator sollten stark begrenzt werden, um potenziellen Missbrauch durch einen Angriff einzuschränken
Experten-Insight
Formulare auf WordPress-Websites sind ein häufiges Ziel für Angriffe. Schützen Sie Ihre Formulare durch Einschränkung der Dateitypen wie PDFs oder Bilder und Größen, um Malware oder schädliche Dateien zu blockieren.
5. Doppelte WP Sicherheit – Die Zwei-Faktor-Authentifizierung (2FA)
Zwei-Faktor-Authentifizierung (2FA) ist ein bekanntes Sicherheitsverfahren, das Sie vielleicht schon aus dem Online-Banking oder von Social-Media-Plattformen kennen. Zusätzlich zu einem sicheren Passwort wird ein weiterer Faktor benötigt – meist ein Code, der über ein zweites Medium, wie ein Smartphone, generiert wird. Erst durch die Eingabe dieses Codes wird der Login erfolgreich abgeschlossen. Diese zusätzliche Sicherheitsebene schützt Ihr WordPress-Admin-Konto vor unbefugtem Zugriff.
Best Practice:
- Verwenden Sie zur Einrichtung Plugins wie Wordfence oder WP 2FA
- Aktivieren Sie 2FA für alle Admin-Konten
6. Verwenden Sie sichere URL-Protokolle
Eine URL (Uniform Resource Locator) bezeichnet die Adresse einer Website, die aus dem Protokoll (http/https), dem Domainnamen und dem Dateipfad besteht. Das Protokoll spielt eine entscheidende Rolle bei der Sicherheit Ihres WordPress. Während HTTP (Hypertext Transfer Protocol) unverschlüsselte Daten überträgt und anfällig gegen Hackerangriffe sind, verwendet HTTPS (Hypertext Transfer Protocol Secure) eine Verschlüsselung, um die Kommunikation zwischen dem Browser und dem Server zu schützen.
Best Practice:
- Verwenden Sie HTTPS, um Daten sicher zu übertragen.
- Installieren Sie ein SSL-Zertifikat für die Verschlüsselung.
Experten-Insight
Neben den Sicherheitsaspekten sollten Sie auch aus Sicht der Suchmaschinenoptimierung (SEO) alle HTTP-URLs auf die entsprechenden HTTPS-URLs weiterleiten, um Duplikate und Abstrafungen durch Google zu vermeiden.
7. Nutzen Sie einen sicheren Hosting-Anbieter
Um Ihr WordPress effektiv abzusichern ist das Hosting von Elementarer Bedeutung. Gute Anbieter wie Strato oder Hetzner bietet zusätzlichen Schutz für Ihre WordPress-Seite, indem Sie serverseitige Sicherheitsmaßnahmen wie Firewalls, DDoS-Schutz, Backups und SSL-Zertifikate bereitstellt.
8. htaccess Datei konfigurieren
Die .htaccess-Datei sollte so angepasst werden, dass Ihre WordPress-Website auf Serverebene abgesichert ist, indem Sie den Zugriff auf bestimmte Verzeichnisse einschränken oder komplett blockieren.
Best-Practice:
- Sperren von PHP-Dateien: Blockieren Sie alle unnötigen PHP-Dateiaufrufe, um unbefugten Zugriff zu verhindern. Nur essenzielle Dateien wie index.php und wp-login.php sollten zugelassen werden.
- Absicherung von wp-content: Schützen Sie das Verzeichnis /wp-content durch eine angepasste .htaccess, um bösartigen Code und Backdoors in Plugins und Themes zu verhindern.
- Uploads-Ordner absichern: Sperren Sie PHP-Dateien im Ordner /wp-content/uploads
Beispiel Hauptverzeichnis: PHP-Dateien einschränken
# Blockiert alle PHP-Dateien außer wichtige Core-Dateien
RewriteEngine On
RewriteCond %{REQUEST_URI} !^/(wp-admin|wp-content|wp-includes)
RewriteCond %{REQUEST_URI} !^/(index|wp-login|wp-comments-post|wp-cron|wp-trackback|xmlrpc)\.php
RewriteRule ^(.*\.php)$ – [R=403,L]
Experten-Insight
Die Änderung der URL für die Login-Seite von WordPress ist keine vollständige Lösung, da diese standardmäßig immer über /login erreichbar ist. Eine zusätzliche vorgeschaltete Seite vor dem Login bietet hier die Lösung und erhöht die Sicherheit durch eine weitere Schutzebene.
Haben Sie das Gefühl, Ihr WordPress könnte sicherer sein?
Selbst bewährte Best Practices genügen nicht immer – besonders bei komplexen Webseitenarchitekturen können tiefere Sicherheitsanalysen nötig sein. Als WordPress Agentur haben wir bereits hunderte Websites unter höchsten Sicherheitsanforderungen umgesetzt. Vertrauen Sie auf unsere Erfahrung und Expertise. Lassen Sie uns gemeinsam herausfinden, wie wir Ihre WordPress-Sicherheit auf das nächste Level heben.
9. Rest API einschränken
Die REST API stellt ein potenzielles Sicherheitsrisiko für WordPress dar, da sie externen Anwendungen den Zugriff auf Ihre Website ermöglicht. Während sie für Funktionen wie den Gutenberg-Editor, mobile Apps oder E-Commerce-Integrationen essenziell sein kann, birgt sie auch Gefahren: Hacker können darüber Benutzernamen auslesen und gezielt Brute-Force-Angriffe auf Ihr Passwort durchführen.
Eine vollständige Deaktivierung der REST API ist jedoch nur sinnvoll, wenn sie nicht für andere wichtige Funktionen wie den Gutenberg-Editor, mobile Apps oder E-Commerce-Integrationen benötigt wird. Sie können jedoch die Zugriffsrechte einschränken, sodass die API für nicht authentifizierte Benutzer deaktiviert ist.
Beispiel: REST API für nicht authentifizierte Benutzer deaktivieren
add_filter(‚rest_authentication_errors‘, function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( ‚rest_not_logged_in‘, ‚Sie müssen angemeldet sein, um die API zu nutzen.‘, array( ’status‘ => 401 ) );
}
return $result;
});
10. WordPress Security Plugins nutzen
Um die Sicherheit Ihrer WordPress-Seite weiter zu verbessern, sollten Sie unbedingt Security-Plugins verwenden. Diese bieten umfassende Schutzmaßnahmen, wie die aktive Überwachung der Website auf Anomalien, Datei- und Malware-Scans sowie Schutz vor Brute-Force-Angriffen.
Nutze bewerte Plugins wie:
- Ninja Firewall
- Sucuri
- WordFence
In unserem Ratgeber über WordPress Plugins finden Sie weitere nützliche Tools die als Grundlage bei jeder WordPress-Instanz nicht fehlen sollten.
11. Kommentare deaktivieren
Ein weiteres Sicherheitsrisiko in WordPress ist die Kommentarfunktion. Falls Sie diese nicht benötigen, sollten Sie sie am besten komplett deaktivieren. Falls doch, ist es wichtig, sie so einzuschränken, dass Bots keine Möglichkeit haben, schädliche Links zu posten oder Ihre Website mit unerwünschten Inhalten zu überfluten.
Best-Practice:
- Kommentare deaktivieren oder Einschränken
- Plugins wie Akismet gegen Spam nutzen
- Captchas implementieren
- Pflichtfelder für Name, Email etc. für das posten einstellen
WordPress Security Checkliste
Haben Sie alle bisherigen Maßnahmen erfolgreich umgesetzt? Sehr gut – dann ist Ihr WordPress bereits gut abgesichert. Damit Sie die wichtigsten Anforderungen zur Sicherheit auf einen Blick haben, finden Sie alle wesentlichen Sicherheitskriterien übersichtlich in unserer Checkliste zusammengefasst.
- Installieren Sie ein SSL-Zertifikat
- Verwenden Sie HTTPs-Protokolle für Ihre URLs
- Führen Sie regelmäßige Backups durch
- Schränken Sie die Zugriffsrechte der Rest-API ein
- Aktivieren Sie 2FA
- Legen Sie feste Benutzerrollen fest
- Nutzen Sie WordPress Security Plugins (keine Dopplungen)
- Sperren Sie PHP-Dateien wie wp-config.php, install.php & wp-include sowie Verzeichnisse wie WP-Content
- Sicheres Paswort aus 12 Zeichen & Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
- Halten Sie Plugins, Themes und Ihre WordPress-Version aktuell
- Verwenden Sie einen kompetenten Hosting-Provider (z.B. Strato oder Hetzner)
- Einschränken oder deaktivieren der Kommentarfunktion
- Limitieren Sie den Datei-Upload auf Volumen und Dateiformat
- Führen Sie nach großen Updates ein Security-Audit oder Pentest durch z.B. mit Uns und unserem Partner enginsight, der Cybersecurity All-In-One Plattform
Fazit
Selbstverständlich gibt es keine Garantie, dass ein WordPress zu 100 % abgesichert ist, da sich Sicherheitslücken ständig weiterentwickeln. WordPress ist jedoch von Haus aus ein sehr sicheres CMS, das regelmäßig aktualisiert wird, um CVEs zu beheben. Durch seine Popularität gerät es jedoch häufig ins Visier von Hackern, die gezielt nach Schwachstellen suchen. Daher ist es wichtig, bewährte Best Practice zur WordPress Sicherheit umzusetzen.
Um Ihre WordPress-Website zusätzlich zu schützen, ist ein professionell durchgeführter Pentest oder ein Sicherheits-Audit eine sinnvolle Maßnahme. Diese Tests helfen dabei, Ihre Website-Architektur im Kern sicher zu gestalten und potenzielle Schwachstellen frühzeitig zu identifizieren, bevor sie ausgenutzt werden können.