Mal ehrlich — wann hast du das letzte Mal über deine WordPress Sicherheit nachgedacht? Vor sechs Monaten? Vor einem Jahr? Wenn du diesen Artikel liest, wahrscheinlich genau jetzt. Und das ist auch gut so.
Sucuri hat in seinem Hacked Website Report 2025 etwas Beunruhigendes festgestellt: Über 90.000 WordPress-Seiten werden täglich angegriffen. Wordfence blockiert allein über seine Threat Intelligence rund 4 Milliarden Login-Versuche pro Monat.
Wer die folgenden 12 Punkte sauber umsetzt, gehört zu den oberen 5% der WordPress-Betreiber in puncto Sicherheit. Die schlechte Nachricht: Es kostet einen Nachmittag Arbeit. Die gute: Danach schläfst du ruhiger.
Punkt 1 — Login-URL ändern und 2FA aktivieren
Standardmäßig erreichst du dein WordPress-Backend unter /wp-admin oder /wp-login.php. Das weiß jeder Bot dieser Welt.
Mit Plugins wie WPS Hide Login oder Solid Security änderst du den Pfad zu etwas wie /zugang-2026-xyz. Brute-Force-Bots laufen ab diesem Moment ins Leere.
Zweiter Schritt: Zwei-Faktor-Authentifizierung. Nicht per SMS — die ist seit dem SIM-Swap-Skandal von 2024 endgültig durch. Nutze TOTP-Apps wie Authy oder einen YubiKey.
Punkt 2 — Wordfence vs Solid Security
Wordfence bleibt stark in der Live-Threat-Detection. Die kostenlose Version verzögert neue Signaturen um 30 Tage. Für produktive Seiten kein guter Deal.
Solid Security (das ehemalige iThemes Security) hat seit dem Rebrand 2024 massiv aufgeholt. Verbraucht spürbar weniger Server-Ressourcen als Wordfence.
Mein Tipp: Wordfence Premium für Hochrisiko-Seiten (Shops, Membership). Solid Security Pro für klassische Business-Sites und Blogs.
Punkt 3 — Updates: Was automatisch, was manuell?
Automatisch: WordPress Core Minor- und Security-Releases, Sprachpakete, kleinere Plugins ohne kommerzielle Funktion.
Manuell prüfen: Major-Versionen von WordPress, WooCommerce, Elementor Pro, Yoast/Rank Math, Theme-Updates.
Ein automatisches Update von WooCommerce auf einer Live-Seite mit 200 Bestellungen pro Tag kann dich fünfstellig kosten. Lösung: Staging-System nutzen oder unsere WordPress-Wartungspakete.
Punkt 4 — Backups nach der 3-2-1-Regel
3 Kopien deiner Daten. 2 verschiedene Speichermedien. 1 Kopie an einem externen Ort.
Konkret: Original-Site auf dem Webserver, tägliches Backup beim Hoster, wöchentliches externes Backup auf S3 oder Backblaze B2.
Plugins: UpdraftPlus Premium, BackWPup Pro (deutscher Anbieter), WP Time Capsule für inkrementelle Backups.
Wichtiger als das Plugin: Teste deine Backups. Mindestens einmal pro Quartal. Backups, die nie getestet wurden, sind statistisch zu 30% defekt.
Punkt 5 — SSL und HSTS richtig konfiguriert
Ein Let’s-Encrypt-Zertifikat reicht 2026 nicht mehr. Du brauchst auch HSTS.
In .htaccess:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
SSL-Test bei SSL Labs durchführen. Du willst mindestens A+. Mehr dazu auch in unserem Beitrag zur SEO-Optimierung.
Punkt 6 — wp-config.php absichern
Drei konkrete Schritte:
Erstens, Datei verschieben. WordPress sucht wp-config.php automatisch eine Ebene über dem Stammverzeichnis. Verschiebe sie aus /public_html/ nach /.
Zweitens, Salts neu generieren über api.wordpress.org/secret-key/1.1/salt/.
Drittens, File-Editor deaktivieren:
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
Punkt 7 — File-Permissions richtig setzen
Verzeichnisse: 755. Dateien: 644. wp-config.php: 600 oder 640.
Per SSH:
find /pfad/zu/wordpress -type d -exec chmod 755 {} \;
find /pfad/zu/wordpress -type f -exec chmod 644 {} \;
chmod 600 /pfad/zu/wordpress/wp-config.php
Punkt 8 — XML-RPC blockieren
XML-RPC war 2003 eine gute Idee. 2026 ist es ein Sicherheitsalbtraum. Über die Schnittstelle lassen sich 1000 Login-Versuche in einer einzigen HTTP-Anfrage bündeln.
In .htaccess:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Punkt 9 — Brute-Force-Schutz mit Rate Limiting
Brute-Force-Angriffe haben sich verändert. Statt klassischer Wörterbuch-Attacken sehen wir 2026 zunehmend „Slow-Burn“-Versuche — drei Logins pro Stunde von 500 verschiedenen IPs.
In Solid Security Pro: „Local Brute Force Protection“ und „Network Brute Force Protection“ auf strengste Stufe. Auf Server-Ebene: Fail2Ban. Cloudflare Bot Fight Mode in der kostenlosen Version filtert bereits 80% der bekannten Brute-Force-Bots.
Punkt 10 — Datenbank-Präfix ändern
Standardmäßig nutzt WordPress das Tabellen-Präfix wp_. SQL-Injection-Versuche zielen auf genau diesen String ab.
Bei Neuinstallation: In der wp-config.php $table_prefix = 'xy42_'; setzen.
Bei bestehender Site: Plugin Brozzme DB Prefix nutzen. Vorher Vollbackup machen.
Punkt 11 — Security Headers
In .htaccess:
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Permissions-Policy "geolocation=(), microphone=(), camera=()"
Header always set Content-Security-Policy "upgrade-insecure-requests"
Test danach auf securityheaders.com. Du willst mindestens A. Wichtig für DSGVO-Compliance.
Punkt 12 — Monitoring und Incident Response
Monitoring auf drei Ebenen:
Uptime-Monitoring über UptimeRobot oder Better Uptime. Sagt dir innerhalb von 60 Sekunden Bescheid, wenn deine Seite offline geht.
File-Integrity-Monitoring über Wordfence oder Solid Security. Speichert Hashes aller Core-Dateien und schlägt Alarm bei Änderungen.
Log-Monitoring über Logflare, Better Stack oder Papertrail. Analysiert Server-Logs in Echtzeit.
Schreib dir einen Incident-Response-Plan. Wen rufst du zuerst an? Wo liegen die Backups? Wer informiert die Kunden? Drei A4-Seiten reichen — aber sie müssen existieren, bevor etwas passiert.
Häufige Fragen
Wie oft sollte ich die WordPress Sicherheit überprüfen?
Komplett-Audit einmal pro Quartal. Plugin-Updates wöchentlich. Logs täglich, zumindest stichprobenartig.
Reicht ein Security-Plugin alleine?
Nein. Plugins decken die Anwendungsebene ab. Server-Konfiguration, Backups und Headers brauchen separate Maßnahmen.
Was kostet ein professionelles Security-Setup?
Einmalige Härtung zwischen 400 und 1500 Euro. Laufende Wartung mit Monitoring ab 49 Euro pro Monat.
Was tun, wenn meine Seite trotzdem gehackt wurde?
Sofort vom Netz nehmen. Backup vom letzten sauberen Zeitpunkt einspielen. Alle Passwörter und Salts neu generieren. Bei personenbezogenen Daten: binnen 72 Stunden DSGVO-Meldung an die Aufsichtsbehörde.
Welches Hosting ist das sicherste?
Managed-WordPress-Hoster wie Kinsta, WP Engine oder Cloudways bieten serverseitig die beste Absicherung.
Brauche ich Cloudflare zusätzlich?
Empfohlen. Cloudflare blockiert bereits am Edge — bevor schädlicher Traffic überhaupt deinen Server erreicht.
Wie erkenne ich, ob meine Seite kompromittiert wurde?
Plötzliche Geschwindigkeits-Einbrüche. Unbekannte Admin-User. Spam-Pop-ups, die nur Besucher ohne Login sehen. Google Search Console meldet „Website wurde gehackt“.
Sicherheits-Audit für deine WordPress-Seite
In 48 Stunden bekommst du: Eine vollständige Schwachstellen-Analyse, konkrete Handlungsempfehlungen priorisiert nach Risiko, optional die komplette Umsetzung aller 12 Punkte durch unser Team.
Preise ab 290 Euro netto für den reinen Audit, ab 890 Euro netto für Audit plus Härtung.
Eine letzte Sache: Sicherheit ist günstiger als Schaden. Ein durchschnittlicher WordPress-Hack kostet einen Mittelständler laut IBM Cost of a Data Breach Report 2025 rund 14.300 Euro.