Wie man einen WordPress-Sicherheitsaudit durchführt: Schritt-für-Schritt-Anleitung

Nur weil Ihre WordPress-Website nicht riesig ist, bedeutet das nicht, dass sie sicher ist.

Je kleiner die Website ist, desto wahrscheinlicher ist es, dass die Leute davon ausgehen, dass niemand sie im Visier hat. Aber WordPress macht über 40 % des Internets aus, und das macht es zu einem massiven Angriffsziel für Hacker.

Allein im Jahr 2024 wurden fast 8.000 neue Sicherheitslücken in Plugins und Themes gefunden. Für fast die Hälfte davon war nicht einmal eine Anmeldung erforderlich, um sie auszunutzen.

Deshalb sind regelmäßige WordPress-Sicherheitsaudits so wichtig. So können Sie Schwachstellen erkennen, bevor es jemand anderes tut.

In diesem Leitfaden führen wir Sie durch einen praktischen, schrittweisen Prüfungsprozess, damit Sie Ihre Website sichern können, ohne ein Cybersecurity-Experte sein zu müssen.

Was ist ein WordPress-Sicherheitsaudit?

Eine WordPress-Sicherheitsprüfung ist eine umfassende Inspektion Ihrer Website, um alle Schwachstellen zu ermitteln, die Hacker ausnutzen könnten. Eine gute Prüfung hilft Ihnen, Schwachstellen in Ihrer Website zu identifizieren, sei es ein vergessenes oder veraltetes Plugin oder ein Benutzerkonto mit mehr als erforderlichem Zugriff.

Es geht auch nicht nur um eine Sache. Eine richtige Prüfung bedeutet Kontrolle:

• Wenn Ihre Plugins und Themes auf dem neuesten Stand sind
• ob Ihre Benutzer die richtigen Rollen und Berechtigungen haben
• Wenn sich in Ihren Dateien Schadsoftware verbirgt
• Und ob Dinge wie SSL und Firewalls ihre Aufgabe erfüllen

Warum ein WordPress-Sicherheitsaudit durchführen?

Wenn Sie noch nie etwas von Dollyway, WannaCry oder Emotet gehört haben, können Sie sich glücklich schätzen.

Sie wissen, dass dies nicht nur seltsame Namen sind. Es handelt sich um einige der berüchtigtsten Malware- und Ransomware-Stämme aller Zeiten. Allein WannaCry verursachte weltweit einen Schaden von über 4 Milliarden US-Dollar. 

Dollyway? Bis Anfang 2025 wurden mehr als 10.000 WordPress-Websites kompromittiert.

Sicherheitsprüfungen helfen Ihnen, Schwachstellen zu erkennen, bevor Sie zu einer weiteren Statistik werden. So bleiben Ihre Website, Ihr Ruf und Ihre Daten sicher.

Und noch eine Tatsache: Hacker greifen WordPress-Websites im Durchschnitt alle 32 Minuten an.

Wie oft sollten Sie eine Website-Sicherheitsprüfung durchführen?

Sicherheit ist keine Sache, die man einstellt und vergisst. Bedrohungen entwickeln sich weiter, Plugins gehen kaputt, und böswillige Akteure warten nicht auf Ihren vierteljährlichen Check-in. Wie oft sollten Sie also Ihre WordPress-Website überprüfen? Das kommt darauf an, aber hier ist ein solider Richtwert:

Nach größeren Änderungen

Wenn Sie Plugins, Themes oder den WordPress-Kern selbst aktualisiert haben, sollten Sie kurz danach ein Audit durchführen. Updates flicken Schwachstellen, aber sie können auch neue einführen. Führen Sie direkt danach einen kurzen Audit durch, um sicherzustellen, dass nichts kaputt gegangen oder offengelegt worden ist.

Alle 3 bis 6 Monate

Für die meisten Websites ist dies ein guter Rhythmus. Lang genug, um alles Neue zu erfassen, kurz genug, um den Bedrohungen voraus zu sein.

Nach einer Sicherheitsbedrohung

Wenn Ihre Website gehackt wurde oder Sie glauben, dass dies der Fall sein könnte, stoppen Sie alles und führen Sie eine vollständige Überprüfung durch. Sie müssen wissen, was passiert ist, wie schlimm es ist und wie Sie es schnell beheben können.

Wenn Sie mit sensiblen Daten umgehen

Wenn auf Ihrer Website sensible Daten wie Kundeninformationen oder Finanztransaktionen verarbeitet werden, sollten Sie häufigere Audits durchführen. Websites mit hohem Besucheraufkommen sind eher Ziel von Hackern, daher sind regelmäßige (vielleicht monatliche) Audits ein kluger Schachzug.

Automatisieren

Mit Tools wie WP Umbrella können Sie den Überblick behalten, ohne ständig manuell nachsehen zu müssen. Es scannt Ihre Website alle paar Stunden und benachrichtigt Sie in Echtzeit, wenn etwas nicht stimmt. Wie das geht, zeigen wir Ihnen später.

Verwandt: Die 10 wichtigsten WordPress-Sicherheitsprobleme [und wie man sie vermeidet]

Wie man einen WordPress-Sicherheitsaudit durchführt: Schritt-für-Schritt-Anleitung

1. Überprüfen Sie Ihre Website-Software

Die WordPress-Entwickler veröffentlichen Updates, um Sicherheitslücken zu schließen, und das Verpassen dieser Updates kann Angreifern Tür und Tor öffnen. Tatsächlich sind 90 % der WordPress-Sicherheitslücken auf veraltete Plugins zurückzuführen, während die restlichen 10 % auf veraltete Themes (6 %) und Kernsoftware (4 %) zurückzuführen sind. 

Daher müssen Sie in erster Linie dafür sorgen, dass alle diese Elemente auf dem neuesten Stand sind. Suchen Sie nach Updates und installieren Sie sie, sobald sie verfügbar sind. Deaktivieren und löschen Sie darüber hinaus die Elemente, die Sie nicht mehr verwenden. Nicht mehr verwendete Plugins und Themes bergen Schwachstellen, weil sie nicht gepatcht werden.

2. Benutzerkonten überprüfen

Schauen Sie sich Ihre Benutzerkonten genau an. Entfernen Sie inaktive Konten und überprüfen Sie die Rollen und Berechtigungen der aktiven Konten. Wenn Sie mehrere Administratoren haben, sollten Sie deren Anzahl begrenzen, um die Risiken zu minimieren.

Wenn für Ihre Website keine Benutzerregistrierung erforderlich ist, deaktivieren Sie die Option "Jeder kann sich registrieren". Sie möchten nicht, dass Personen - insbesondere Hacker - ein Konto erstellen und sich unbefugten Zugang verschaffen können. Setzen Sie bei aktiven Konten das Prinzip der geringsten Berechtigung durch, d. h., die Benutzer erhalten nur die Berechtigungen, die sie für ihre Arbeit benötigen.

3. Starke Passwörter und Login-Sicherheit

Schwache Passwörter sind eine offene Einladung für Angreifer. Laut Astra werden 8 % der WordPress-Websites aufgrund schwacher Passwörter gehackt. Richten Sie für alle Konten auf Ihrer Website sichere, komplexe Passwörter ein, die Buchstaben, Zahlen und Sonderzeichen enthalten. Fordern Sie Ihre Benutzer auf, dies ebenfalls zu tun.

Implementieren Sie darüber hinaus eine Zwei-Faktor-Authentifizierung und CAPTCHA, um Login-Bereiche zu schützen, und setzen Sie Grenzen für Login-Versuche, um Brute-Force-Angriffe zu verhindern. Diese einfachen Schritte können das Risiko eines unbefugten Zugriffs verringern. 

So implementieren Sie die Zwei-Faktor-Authentifizierung in WordPress für mehr Sicherheit

4. Website-Analysen überwachen

Die meisten Leute überprüfen ihre Analysen, um Traffic-Trends, Top-Seiten oder Absprungraten zu sehen. Aber in diesen Zahlen sind Anzeichen dafür versteckt, dass etwas nicht stimmen könnte.

Wenn Sie einen plötzlichen Anstieg des Datenverkehrs von fremden Standorten aus feststellen oder Ihre Website zu ungewöhnlichen Zeiten stark frequentiert wird, könnte es sich um einen Bot-Angriff oder einen Brute-Force-Anmeldeversuch handeln. Auf der anderen Seite kann ein starker Traffic-Rückgang bedeuten, dass Ihre Website von Google auf eine schwarze Liste gesetzt wurde, was oft auf Malware oder Phishing-Skripte zurückzuführen ist, die sich in Ihrem Code verstecken.

Tools wie Google Analytics, Cloudflare oder sogar Ihr Hosting-Dashboard können helfen, ungewöhnliche Muster zu erkennen. Und je früher Sie sie erkennen, desto weniger Schaden richten sie an.

5. Überprüfen Sie die Website-Berechtigungen

Dieser Punkt wird von vielen Website-Besitzern oft nicht beachtet, ist aber ein großer Schwachpunkt, wenn er nicht beachtet wird.

Ihre Dateiberechtigungen bestimmen, wer Dateien auf Ihrem Server lesen, schreiben oder ausführen darf. Wenn Sie sie falsch setzen, geben Sie die Schlüssel aus der Hand. Eine gute Faustregel:

• Dateien auf 0644 setzen
• Ordner/Verzeichnisse auf 0755 setzen

Diese Standardeinstellungen stellen sicher, dass Ihr Server wie erwartet arbeiten kann und dass sich niemand einschleichen und Dateien ohne Erlaubnis ändern kann. Wenn Sie schon dabei sind, deaktivieren Sie die Dateibearbeitung im WordPress-Dashboard. 

Dazu ist eine Zeile in der Datei wp-config.php erforderlich:

php

define('DISALLOW_FILE_EDIT', true);

Dadurch wird der integrierte Editor unter Darstellung > Theme-Editor abgeschaltet - eine der ersten Anlaufstellen für Hacker, wenn sie Zugang erhalten. Wenn Sie diese Option entfernen, wird es für sie schwieriger, bösartigen Code auf Ihrer Website einzuschleusen.

6. Überprüfen Sie Ihren Webhoster

Die Sicherheit Ihrer Website ist nur so stark wie der Server, auf dem sie sich befindet. Nehmen Sie sich eine Minute Zeit, um herauszufinden, was Ihr Hosting-Anbieter bietet. SSL-Zertifikate und DDoS-Schutz sollten eine Selbstverständlichkeit sein. Ist dies nicht der Fall, sollten Sie besser zu einem Anbieter wechseln, bei dem Sicherheit an erster Stelle steht.

Testen Sie auch den Support. Wenn etwas schief geht, bekommen Sie dann echte Hilfe oder müssen Sie stundenlang in der Warteschleife warten? Ein schneller und kompetenter Support macht einen großen Unterschied, wenn Sie mit einer möglichen Sicherheitsverletzung konfrontiert sind.

7. Einrichten eines Aktivitätsprotokolls

In einem Aktivitätsprotokoll wird festgehalten, wer sich anmeldet, welche Änderungen vorgenommen werden und wann dies geschieht. Sehr nützlich, um etwas Skizzenhaftes zu erkennen.

Wenn es jemandem gelingt, sich einzuschleichen, können Sie anhand des Protokolls zurückverfolgen, wie er dorthin gelangt ist - und was er angefasst hat. Das ist eine der einfachsten Möglichkeiten, den Überblick darüber zu behalten, was hinter den Kulissen vor sich geht.

8. Testen Sie Ihre Backup-Lösung

Backups sind großartig. Backups, die funktionieren, wenn man sie braucht? Noch besser.

Warten Sie nicht auf eine Katastrophe, um herauszufinden, dass Ihr Backup defekt ist. Versuchen Sie, ein aktuelles Backup auf einer Testseite wiederherzustellen, um sicherzustellen, dass es sauber ist und funktioniert. Das ist ein schneller Test, der Ihnen später stundenlange Aufräumarbeiten ersparen kann.

WP Umbrella vereinfacht Ihre Sicherheitsaudits

Manuelles Überprüfen auf Sicherheitsprobleme bei mehreren Websites? Das ist mühsam, und man kann leicht etwas übersehen. WP Umbrella behält die Dinge für Sie im Auge, automatisch. Es führt Audits durch, sucht nach Schwachstellen und lässt Sie wissen, wenn etwas behoben werden muss.

Automatisierte Erkennung von Schwachstellen

Mit WP Umbrella müssen Sie nicht mehr daran denken, nach Updates zu suchen oder manuell zu scannen. Das Plugin, das von Patchstack unterstützt wird, scannt Ihre Websites automatisch alle 6 Stunden auf Sicherheitslücken in Plugins, Themes und dem WordPress-Kern. Es sendet Ihnen Echtzeit-Warnungen per E-Mail oder Slack, sobald ein Sicherheitsproblem entdeckt wird.

Sicherheitsprüfungen

WP Umbrella führt nicht nur Schwachstellen-Scans durch, sondern auch Sicherheitsprüfungen, die viele der oben beschriebenen manuellen Prüfungsschritte abdecken:

• SSL-Zertifikat-Überwachung: Es überwacht Ihre SSL-Zertifikate und warnt Sie, bevor sie ablaufen, damit Sie nicht mit einem kaputten Vorhängeschloss und in Panik geratenen Kunden aufwachen müssen.
• PHP-Fehler-Erkennung: PHP-Fehler werden frühzeitig erkannt, um schwerwiegende Website-Probleme oder Sicherheitslücken zu vermeiden.
• Überwachung des Website-Status: Mit behalten Sie den Überblick über Ihre WordPress-Version, inaktive Plugins und Themes.
• Überprüfungen der Sicherheitskonfiguration: Überprüft auf Probleme wie freiliegende Debug-Informationen oder falsche Sicherheitskonfigurationen.

Proaktiver Schutz mit Site Protect

Für Websites, die eine zusätzliche Sicherheitsebene benötigen, bietet WP Umbrella Site Protect - ein Add-on, das über die Erkennung hinausgeht und aktiven Schutz bietet. Es bietet:

• Virtuelles Patching: Selbst wenn ein Plugin eine bekannte Sicherheitslücke aufweist, aber noch nicht aktualisiert wurde, blockiert Site Protect Angriffe auf diese Sicherheitslücke in Echtzeit. Es stoppt Bedrohungen an der Tür, während Sie auf die offizielle Lösung warten.
• Angriffsvermeidung: Es blockiert automatisch böswillige IPs, verhindert Benutzeraufzählungsangriffe und stoppt gängige Angriffsversuche, bevor sie Ihre Website erreichen.
• WordPress-Härtung: Site Protect deaktiviert riskante Funktionen wie Datei-Editoren, blockiert den Zugriff auf sensible Dateien wie readme.txt und fügt Sicherheits-Header hinzu.

Warum dies für Ihre Sicherheitsaudit-Strategie wichtig ist

Betrachten Sie WP Umbrella als Ihren Assistenten für Sicherheitsaudits, der niemals schläft. Sie sollten zwar immer noch alle 3-6 Monate umfassende manuelle Audits durchführen, aber eine kontinuierliche Überwachung bedeutet, dass Sie zwischen den Audits nicht im Blindflug unterwegs sind.

Anstatt bei der vierteljährlichen Prüfung eine Schwachstelle zu entdecken, die schon seit Wochen besteht, werden Sie innerhalb von Minuten nach ihrer Entdeckung benachrichtigt. Das ist der Unterschied zwischen proaktiver und reaktiver Sicherheit.

Für Agenturen oder alle, die mehrere WordPress-Sites verwalten, ist dies sogar noch wichtiger. Die manuelle Überprüfung von Dutzenden von Websites alle paar Monate ist nicht praktikabel, aber eine automatische Überwachung aller Websites in einem Dashboard stellt sicher, dass nichts durch die Maschen rutscht.

Erste Schritte

WP Umbrella alle wichtigen Sicherheitsüberwachungsfunktionen in seinem Monatsplan für 1,99 € pro Website. Das Add-on „Site Protect“ ist für zusätzlich 2 $ pro Monat erhältlich und bietet erweiterte Funktionen zur Absicherung und zum virtuellen Patchen.

Sie können WP Umbrella 14 Tage lang kostenlos testen, um zu sehen, wie es sich in Ihren Sicherheits-Workflow einfügt. Installieren Sie das Plugin, verbinden Sie Ihre Websites und erhalten Sie sofort Echtzeit-Sicherheitseinblicke.