Über 30 bewährte Verfahren für die WordPress-Sicherheit im Jahr 2026

Vorweg: Die Lektüredieses Artikels über bewährte Verfahren zur WordPress-Sicherheit dauert etwa 20 Minuten – das geht immer noch schneller, als eine gehackte WordPress-Seite wiederherzustellen.

WordPress macht über 40 % des Internets aus. Das bedeutet auch, dass es eine große Zielscheibe auf dem Rücken hat. Jeden Tag stöbern Millionen von Bots und böswilligen Akteuren auf WordPress-Websites herum und suchen nach veralteten Plugins, faulen Passwörtern und dem einen Administratorkonto, das niemand jemals gelöscht hat.

Und wenn sie etwas finden? Es ist selten schön. Websites werden zerstört. Daten gehen verloren. Kunden springen ab. Der Ruf wird geschädigt.

Die gute Nachricht ist, dass sich die meisten dieser Vorfälle vermeiden lassen. Dieser Leitfaden enthält über 30 bewährte Verfahren für die WordPress-Sicherheit, mit denen Sie Ihre Website schützen können – von grundlegenden Sicherheitsmaßnahmen bis hin zu fortgeschrittenen Methoden zur Absicherung von WordPress.

Egal, ob Sie einen Blog betreiben oder Hunderte von Kundenwebsites verwalten, betrachten Sie dies als Ihre inoffizielle Checkliste, um 2026 nicht unterzugehen.

Ist WordPress sicher?

Wer sich mit der Sicherheit von WordPress beschäftigt, stellt sich meist zunächst dieselbe Frage: Ist WordPress an sich sicher? Im Allgemeinen ja. Der WordPress-Kern wird aktiv gepflegt, von einer großen Open-Source-Community überprüft und von einem engagierten Sicherheitsteam unterstützt. Wie bei jeder weit verbreiteten Software treten zwar von Zeit zu Zeit Probleme im Kern auf, diese werden jedoch in der Regel schnell erkannt und behoben.

Das größte Risiko liegt woanders. Patchstack hat wiederholt darauf hingewiesen, dass die überwiegende Mehrheit der bekannten Sicherheitslücken im WordPress-Ökosystem eher auf Plugins als auf den Kern zurückzuführen ist. Auch Themes, die Hosting-Konfiguration, schwache Passwörter, übermäßige Administratorrechte und mangelhafte Wartungsgewohnheiten spielen eine Rolle.

Wenn also gesagt wird, dass WordPress häufig gehackt wird, ist damit meist das gesamte Umfeld einer Website gemeint, nicht nur das CMS selbst. Eine WordPress-Website kann auf der Kernseite gut aufgebaut sein und dennoch anfällig werden, weil ein Plugin veraltet ist, ein Login unzureichend geschützt ist oder niemand die Umgebung im Laufe der Zeit im Auge behält.

Eine sinnvollere Sichtweise auf die Sicherheit von WordPress ist folgende: Das Fundament ist solide, aber das Ergebnis hängt davon ab, wie die Website verwaltet wird. Dazu gehören die auf dem Kern aufbauende Software, die Art und Weise, wie der Zugriff geregelt wird, sowie die Regelmäßigkeit, mit der Updates und Überwachungsmaßnahmen durchgeführt werden.

Über 30 bewährte Verfahren für die WordPress-Sicherheit im Jahr 2026

WP Security Best Practices: Kern-Updates und Softwareverwaltung

Wenn Sie schon Teile dieses Leitfadens auslassen (was wir nicht empfehlen), dann wenigstens nicht diesen. Software-Updates sind der Ort, an dem die meisten WordPress-Sicherheitslücken beginnen und wo sie am einfachsten zu beheben sind.

1. Halten Sie den WordPress-Kern auf dem neuesten Stand

WordPress veröffentlicht Updates nicht nur zum Spaß. Jede neue Version behebt Sicherheitslücken, von denen einige bereits aktiv ausgenutzt werden. Je länger Sie mit dem Update warten, desto größer wird Ihre Angriffsfläche. Kleinere Sicherheitsupdates werden in der Regel automatisch installiert, größere Versionsupgrades müssen jedoch noch von Ihnen genehmigt werden. Zögern Sie nicht zu lange.

Bevor Sie auf "Aktualisieren" klicken, sollten Sie sicherstellen, dass Sie ein vollständiges Backup erstellt haben. Wenn Sie eine geschäftskritische Website betreiben, sollten Sie die Aktualisierung zunächst an einer Staging-Version testen. Und wenn Sie ganz sicher gehen wollen, können Sie über eine einzige Zeile in Ihrer wp-config.php-Datei automatische Updates für alles erzwingen.

2. Aktualisieren Sie Plugins regelmäßig

Die meisten WordPress-Hacks haben ihren Ursprung in Plugins. Nicht, weil Plugins schlecht sind, sondern weil die Nutzer vergessen, sie zu aktualisieren. Allein im Jahr 2025 wurden im WordPress-Ökosystem 11.334 neue Sicherheitslücken entdeckt – ein Anstieg von 42 % gegenüber 2024. Oftmals sind Patches bereits verfügbar, bevor ein Angriff stattfindet. Es ist die Verzögerung, die den Schaden verursacht.

Befolgen Sie daher diese einfache Best Practice für die WordPress-Sicherheit: Nehmen Sie sich regelmäßig Zeit, um nach Plugin-Updates zu suchen. Aktivieren Sie für Plugins, denen Sie vertrauen, insbesondere für solche, die mit Sicherheit, Backups oder der Überwachung der Verfügbarkeit zu tun haben, die automatischen Updates. Wenn Sie in einem Änderungsprotokoll einen Sicherheitsfix sehen, zögern Sie nicht. Führen Sie das Update sofort durch.

Und hier ist eine einfache Regel: Wenn ein Plugin seit über einem Jahr nicht mehr aktualisiert wurde, hat es auf Ihrer Website wahrscheinlich nichts zu suchen.

3. Halten Sie die Themen auf dem neuesten Stand

Bei Themes geht es nicht nur um das Design. Viele enthalten eigene Funktionen, benutzerdefinierte Skripte und gebündelte Plugins, was bedeutet, dass sie zu einem Sicherheitsrisiko werden können, wenn sie veraltet sind. Auch wenn Schwachstellen in Themes seltener sind als in Plugins, können sie, wenn sie auftreten, genauso verheerend sein.

Halten Sie Ihr aktives Theme immer auf dem neuesten Stand. Wenn Sie individuelle Änderungen am Code vorgenommen haben, verwenden Sie ein Child-Theme, damit Ihre Arbeit bei Aktualisierungen nicht verloren geht. Und sobald Ihr Theme live ist, löschen Sie die mitgelieferten Demodateien und zusätzlichen Vorlagen. Sie erfüllen keinen Zweck und öffnen manchmal die Tür für Exploits.

Halten Sie ein Standardthema (wie Twenty Twenty-Four) für die Fehlersuche bereit. Alles andere kann weg.

4. Vermeiden Sie manipulierte Plugins

Nulled Plugins mögen wie ein cleverer Workaround erscheinen, wenn man nicht für die Premium-Version bezahlen möchte. Aber in Wirklichkeit sind sie ein Geschenk an die Angreifer. Diese raubkopierten Versionen enthalten oft versteckte Malware, Hintertüren oder Tracking-Skripte, und da sie vom offiziellen Update-Strom abgekoppelt sind, werden sie nie gepatcht.

Wenn ein Plugin für Ihre Website so wichtig ist, dass Sie bereit sind, das Risiko einer raubkopierten Version einzugehen, ist es wahrscheinlich wichtig genug, um es richtig zu kaufen.

5. Löschen Sie alte Plugins und Themes, die Sie nicht mehr verwenden

Es reicht nicht aus, alte Plugins und Themes zu deaktivieren. Wenn sie sich noch auf Ihrem Server befinden, können sie immer noch ausgenutzt werden. Deaktivierter Code ist immer noch Code. Er kann immer noch Sicherheitslücken enthalten. Und wenn jemand einen Weg hineinfindet, ist das Spiel vorbei.

Wenn Sie ein Plugin oder Thema sechs Monate lang nicht angerührt haben, entfernen Sie es. Horten Sie keine Software "für den Fall der Fälle". Weniger Unordnung bedeutet weniger potenzielle Einstiegspunkte.

Lesen Sie auch: Top 10 WordPress Sicherheitsprobleme [+ wie man sie vermeidet]

Bewährte Verfahren für die WordPress-Sicherheit: Benutzerzugriff und Authentifizierung

6. Nicht mehr "admin" als Benutzername verwenden

Es passiert immer noch. Auf Tausenden von WordPress-Websites gibt es Konten mit dem Namen "admin", und Angreifer lieben sie. Warum einen Benutzernamen und ein Passwort erraten, wenn die Hälfte der Arbeit bereits erledigt ist?

Wenn Ihre Website noch einen "admin"-Benutzer hat, erstellen Sie ein neues Konto mit einem eindeutigen Benutzernamen, geben Sie ihm Administratorrechte, und löschen Sie dann das ursprüngliche Konto. WordPress wird alle Inhalte dem neuen Konto zuweisen. Einfache Lösung, großer Gewinn.

Und werden Sie nicht schlau, indem Sie zu "Administrator" oder Ihrem Firmennamen wechseln. Je weniger zu erraten ist, desto besser.

7. Verwenden Sie sichere Passwörter

Das klingt selbstverständlich, bis Sie feststellen, wie viele Websites immer noch Variationen von "admin123" verwenden. Schwache Passwörter sind einer der schnellsten Wege, um in eine WordPress-Website einzudringen, insbesondere wenn Bots innerhalb von Sekunden Tausende von Kombinationen ausprobieren können.

Verwenden Sie lange, zufällige und eindeutige Passwörter. Lassen Sie sie von WordPress generieren und speichern Sie sie in einem Passwort-Manager. Bitwarden, 1Password, suchen Sie sich einen aus. Verlassen Sie sich einfach nicht auf Ihr Gedächtnis.

Und was ist mit den Richtlinien, die besagen, dass man sein Passwort alle 90 Tage ändern muss? Sie sind überholt. Es ist besser, ein sehr sicheres Passwort zu haben, das Sie nie wieder verwenden, als fünf vergessliche, die Sie immer wieder ändern. Ändern Sie es, wenn Sie den Verdacht haben, dass es kompromittiert wurde, und nicht nur, weil ein Timer abgelaufen ist.

8. Zwei-Faktor-Authentifizierung aktivieren

Selbst wenn Ihr Passwort nach außen dringt, kann die Zwei-Faktor-Authentifizierung (2FA) Angreifer kaltstellen. Es ist eine der effektivsten Sicherheitsverbesserungen mit geringem Aufwand, die Sie vornehmen können.

Sie können Anwendungen wie Google Authenticator oder Authy verwenden. Die meisten guten Sicherheits-Plugins unterstützen 2FA für Admin-Anmeldungen. Stellen Sie außerdem sicher, dass Sie Backup-Codes erstellen und diese an einem sicheren Ort aufbewahren. Der Verlust des Zugriffs auf Ihr 2FA-Gerät ohne ein Backup ist ein Albtraum für sich.

Führen Sie zunächst die Zwei-Faktor-Authentifizierung (2FA) für Administratoren ein. Weiten Sie diese dann auf Redakteure, Autoren und alle anderen Personen mit Backend-Zugriff aus. Hier erfahren Sie, wie Sie die 2FA auf Ihrer WordPress-Website implementieren. Ziehen Sie außerdem Passkeys für WordPress-Konten mit hohen Berechtigungen in Betracht. Passkeys basieren auf FIDO2/WebAuthn, verwenden kryptografische Schlüsselpaare anstelle von gemeinsamen Geheimnissen und sind so konzipiert, dass sie Phishing-Angriffen standhalten.

9. Weisen Sie die richtigen Rollen zu (und nur die richtigen Rollen)

WordPress hat einige Standard-Benutzerrollen: Administrator, Redakteur, Autor, Mitwirkender und Abonnent. Nicht jeder braucht vollen Zugriff auf alles.

Wenn jemand nur Beiträge schreiben soll, machen Sie ihn nicht zum Redakteur. Wenn jemand nur Kommentare moderiert, braucht er keine Plugins zu installieren. Halten Sie sich an das Prinzip des geringsten Privilegs: Geben Sie den Leuten nur das, was sie brauchen, und nicht mehr.

Wenn die eingebauten Rollen nicht ganz richtig sind, können Sie mit Plugins wie User Role Editor den Zugriff bis hin zu den einzelnen Fähigkeiten anpassen. Es ist die Einrichtung wert.

10. Alte Benutzerkonten löschen

Benutzer kommen und gehen. Passwörter werden wiederverwendet. Konten werden vergessen. Und all das schafft Risiken.

Überprüfen Sie Ihre Benutzer monatlich oder zweimonatlich. Wenn sich jemand eine Zeit lang nicht angemeldet hat und keinen Zugang mehr benötigt, entfernen Sie ihn. Bei Personen, die Inhalte veröffentlicht haben, werden Sie von WordPress gefragt, ob Sie sie löschen oder neu zuweisen möchten. Einfach neu zuweisen und weitermachen.

Und wenn Sie eine Agentur leiten oder mehrere Websites verwalten, sollten Sie eine einfache Checkliste für das Offboarding einrichten, damit die Nutzer nicht länger bleiben, als sie sollten.

Sicherheits-Best Practices: WordPress-Anmeldeschutz

11. Anzahl der Anmeldeversuche begrenzen

Einer der einfachsten Gewinne. Ohne Limits können Bots Ihre Anmeldeseite mit Tausenden von Versuchen bombardieren, bis etwas hängen bleibt. Fügen Sie ein Limit hinzu - sagen wir, drei bis fünf Versuche - und sie sind ausgesperrt.

Die meisten Sicherheits-Plug-ins können dies übernehmen. Einige Hosts bieten dies standardmäßig an. Und wenn Sie sich selbst um die Verwaltung kümmern, können Sie es mit ein paar Zeilen Code oder einem leichtgewichtigen Plugin manuell konfigurieren. Das Ergebnis ist in jedem Fall dasselbe: Brute-Force-Bots verschwenden ihre Zeit woanders.

Bonustipp: Setzen Sie Ihre IP-Adresse auf die Whitelist, damit Sie sich nicht während einer nächtlichen Schreibmaschinensitzung selbst aussperren.

12. Ändern Sie Ihre Anmelde-URL

Jede WordPress-Anmeldeseite befindet sich unter /wp-login.php oder /wp-admin. Das ist kein Geheimnis. Das bedeutet, dass Bots nicht erraten müssen, wo sie angreifen sollen - sie tauchen einfach auf.

Die Änderung der Anmelde-URL wird einen entschlossenen Angreifer nicht aufhalten, aber sie kann einen Großteil des automatisierten Bot-Verkehrs blockieren. Das ist so, als würde man die Seitentür abschließen, ohne ein Neonschild mit der Aufschrift "Eingang hier" anzubringen.

Plugins wie „WPS Hide Login“ machen dies relativ einfach. Wählen Sie eine benutzerdefinierte URL, die nicht leicht zu erraten ist, und vermeiden Sie offensichtliche Optionen wie „/login“ oder „/admin“.

13. Fügen Sie einen Passwortschutz auf Serverebene für wp-admin hinzu

Schützen Sie Ihr /wp-admin-Verzeichnis mit einem zusätzlichen Benutzernamen und Passwort auf Serverebene.

Bei den meisten Hosts können Sie dies über cPanel oder Ihr bevorzugtes Kontrollpanel tun. Vergewissern Sie sich nur, dass sich das Passwort von Ihren eigentlichen WordPress-Anmeldedaten unterscheidet - was bringt das sonst?

Es ist ein zusätzlicher Schritt für legitime Nutzer, aber die zusätzliche Reibung ist es wert, wenn Sie eine sensible oder stark frequentierte Website betreiben.

14. reCAPTCHA zur Anmeldung und zu Formularen hinzufügen

ReCAPTCHA hilft, die Menschen von den Bots zu trennen, und es funktioniert. Wenn es zu Ihrer Anmeldeseite hinzugefügt wird, kann es automatisierte Brute-Force-Tools ausschalten.

Die neueren Versionen (v2 und v3) sind viel weniger lästig als die alten "Klick alle Ampeln" Tage. Viele Sicherheits- und Formular-Plugins integrieren jetzt reCAPTCHA mit ein paar Klicks. Verwenden Sie es auf Ihrer Anmeldeseite, in Kontaktformularen und überall sonst, wo Bots sein könnten. 

Vergewissern Sie sich nur, dass es nicht zu Konflikten mit Caching-Plugins oder benutzerdefinierten Anmeldeseiten kommt. Wenn etwas nicht funktioniert, testen und optimieren Sie es.

15. Inaktive Benutzer automatisch abmelden

Menschen gehen von ihren Computern weg. Das kommt vor. Was Sie nicht wollen, ist ein Admin-Dashboard, das auf einem gemeinsam genutzten Bildschirm oder in einem öffentlichen Raum geöffnet ist.

Legen Sie fest, dass ungenutzte Sitzungen für Admin-Nutzer nach 15-30 Minuten ablaufen, für normale Nutzer länger. Sie können Plugins finden, die dies automatisch tun, und einige geben den Benutzern sogar eine Warnung, bevor sie abgemeldet werden.

Stellen Sie sich das so vor, als würden Sie den Bildschirm Ihres Telefons sperren. Niemand mag es, aber Sie werden froh sein, dass es sie gibt, wenn Sie in einem Café vergessen haben, eine Registerkarte zu schließen.

WordPress-Sicherheitsbest Practices: Dateien und Server

16. Sichern Sie die Datei „wp-config.php“

Die Datei wp-config.php enthält die Schlüssel zu Ihrer Website: Datenbankanmeldeinformationen, Sicherheitssalze, API-Schlüssel - alles.

Sperren Sie die Datei. Setzen Sie die Dateiberechtigungen auf 600, damit nur der Server sie lesen oder schreiben kann.

Wenn Ihr Hosting dies zulässt, verschieben Sie die Datei eine Ebene über Ihr WordPress-Root. WordPress findet sie dann immer noch, aber Hacker nicht mehr. (Hinweis: Dies funktioniert nur, wenn Ihr Hoster den Zugriff außerhalb des Verzeichnisses public_html oder www erlaubt).

Möchten Sie noch weiter gehen? Fügen Sie eine Regel in Ihre .htaccess-Datei ein, um den HTTP-Zugriff auf diese Datei zu verweigern.

17. Den integrierten Datei-Editor deaktivieren

Ja, mit WordPress können Sie Theme- und Plugin-Dateien direkt über das Dashboard bearbeiten. Ja, das ist praktisch. Aber es ist auch ein großes Sicherheitsrisiko.

Wenn sich ein Angreifer Zugang zu einem Administratorkonto verschafft, wird er als Erstes den Editor nutzen, um bösartigen Code einzuschleusen. Deaktivieren Sie ihn vollständig, indem Sie diese Zeile zur wp-config.php hinzufügen:

php

define('DISALLOW_FILE_EDIT', true);

Entwickler können nach wie vor über SFTP oder Git auf Dateien zugreifen - der richtige Weg, um Änderungen vorzunehmen.

18. Die richtigen Dateiberechtigungen festlegen

Berechtigungen steuern, wer Dateien lesen, schreiben und ausführen darf. Wenn Sie sie falsch einstellen, kann jeder darin herumstöbern - oder schlimmer noch, bösartigen Code einschleusen.

Dateiberechtigungen regeln, wer was mit Ihren Dateien tun darf. Bleiben Sie bei 755 für Ordner und 644 für Dateien - so sind sie für den Server lesbar, aber nicht für jeden beschreibbar.

Verwenden Sie niemals 777, es sei denn, Sie wollen jedem vollen Zugriff gewähren. Und wenn Sie ein Shared Hosting nutzen, lesen Sie die Dokumentation Ihres Hosts. Einige Systeme erfordern etwas strengere Regeln, z. B. 750.

Prüfen Sie nach der Änderung der Berechtigungen, ob Ihre Website noch funktioniert. Es ist eine langweilige Arbeit, aber sie ist wichtig.

19. Das Standard-Datenbankpräfix ändern

WordPress verwendet standardmäßig wp_ als Präfix für alle Datenbanktabellen. Angriffs-Bots wissen das.

Das Ändern des Präfixes kann einfache SQL-Injektionsangriffe abwehren, die nach bekannten Tabellennamen suchen, wie z. B. wp_users oder wp_options.

Um dies zu ändern, bearbeiten Sie das $table_prefix in der wp-config.php und benennen Sie alle Datenbanktabellen entsprechend um.

Warnung: Dies kann Ihre Website zerstören, wenn Sie es falsch machen. Sichern Sie immer zuerst Ihre Datenbank. Verwenden Sie ein Plugin, wenn Sie sich unsicher sind.

20. Verzeichnisdurchsuchen deaktivieren

Wenn ein Ordner auf Ihrem Server keine Indexdatei enthält, sehen Besucher möglicherweise eine vollständige Liste aller darin enthaltenen Dateien. Das ist nicht ideal.

Sie wollen nicht, dass jemand in Ihren /wp-content/uploads/ oder Plugin-Verzeichnissen herumschnüffelt. Um das zu verhindern, fügen Sie dies zu Ihrer .htaccess-Datei hinzu: Optionen -Indexe

Das war's. Eine Zeile. Sie müssen Ihre Dateistruktur nicht mehr durchsuchen, als wäre sie ein öffentlicher Ordner auf Dropbox.

WordPress-Sicherheit – Bewährte Verfahren: Netzwerk und Kommunikation

21. Verwenden Sie überall SSL

Wenn Ihre Website immer noch über HTTP geladen wird, sind Sie nicht auf der Höhe der Zeit - und gefährdet. Ohne SSL werden Anmeldeinformationen, Formulardaten und sogar Cookies unverschlüsselt übertragen. Das ist eine offene Einladung zum Abfangen.

Die meisten Hosting-Anbieter bieten mittlerweile kostenlose SSL-Zertifikate über Let’s Encrypt an. Nutzen Sie eines davon. Sobald es installiert ist, leiten Sie den gesamten Datenverkehr über HTTPS um und aktualisieren Sie Ihre WordPress-URL-Einstellungen. Das Vorhängeschloss im Browser? Dabei geht es nicht nur um Vertrauen, sondern auch um Verschlüsselung.

Wenn Sie Warnungen vor gemischten Inhalten sehen, bedeutet dies, dass einige Inhalte noch über HTTP geladen werden. Verwenden Sie ein Plugin wie SSL Insecure Content Fixer, um diese zu bereinigen.

22. Verwenden Sie eine Web Application Firewall (WAF)

Eine WAF filtert bösartigen Datenverkehr heraus, bevor er überhaupt auf Ihre Website gelangt. Cloud-basierte WAFs, wie z. B. Cloudflare, leiten den Datenverkehr durch ihre Server, blockieren Bedrohungen und beschleunigen Ihre Website sogar mit integrierten CDN-Funktionen. Firewalls auf Anwendungsebene wie Wordfence oder Sucuri werden in WordPress selbst ausgeführt und können bekannte Angriffsmuster und bösartige IPs in Echtzeit blockieren.

Keines von beiden ist perfekt. Aber beide geben Ihnen einen Einblick in das, was hereinzukommen versucht - und die Macht, es abzuschalten.

23. XML-RPC deaktivieren

XML-RPC ist eine alte Funktion, die es externen Anwendungen ermöglicht, sich mit WordPress zu verbinden. Die meisten Websites benötigen sie nicht, und Hacker nutzen sie häufig für Brute-Force-Angriffe und DDoS-Verstärkung.

Deaktivieren Sie XML-RPC, es sei denn, Sie verwenden ein Plugin, das es benötigt. Wenn Sie unsicher sind, können Sie auch nur die gefährlichen Methoden blockieren, wie system.multicall, anstatt sie ganz abzuschalten. Sicherer ist es so oder so.

24. Ein CDN hinzufügen

Ein Content Delivery Network (CDN) speichert statische Versionen Ihrer Website auf Servern in aller Welt. Das bedeutet schnellere Ladezeiten und mehr Schutz.

Bei einem DDoS-Angriff kann ein CDN den Datenverkehr absorbieren und so einen Serverabsturz verhindern. Es verbirgt auch Ihre Herkunfts-IP-Adresse, was es schwieriger macht, sie anzugreifen. Cloudflare, Bunny.net und Amazon CloudFront sind allesamt solide Optionen. Bei einigen Hosts sind CDN-Dienste sogar bereits im Lieferumfang enthalten.

Es ist nicht nur ein Leistungsinstrument. Es ist eine Verteidigungsschicht.

25. Sicherheits-Header hinzufügen

Sicherheitskopfzeilen teilen den Browsern mit, wie sie Ihre Inhalte behandeln sollen. Sie können helfen, Dinge wie Cross-Site-Scripting (XSS), Clickjacking und andere clientseitige Angriffe zu verhindern.

Fügen Sie Kopfzeilen wie Content-Security-Policy, X-Frame-Options und X-XSS-Protection über Ihre .htaccess-Datei oder ein Plugin, das sie unterstützt, hinzu. Es dauert nicht lange, sie zu konfigurieren, und wenn sie einmal eingestellt sind, funktionieren sie einfach.

Sie können Ihre aktuelle Konfiguration unter securityheaders.com überprüfen. Streben Sie mindestens die Note „B“ an.

WordPress-Sicherheit – bewährte Verfahren: Überwachung und Wartung

26. Führen Sie regelmäßig einen Scan auf Malware durch

Nicht alle Hacks sind offensichtlich. Manche Malware hält sich unauffällig im Hintergrund und schöpft Daten ab oder leitet Benutzer um, ohne Aufmerksamkeit zu erregen. Deshalb sind regelmäßige Scans so wichtig.

Verwenden Sie einen Malware-Scanner, der Kerndateien, Themes und Plugins auf nicht autorisierte Änderungen oder verdächtigen Code überprüft. Täglich ist ideal - mindestens aber wöchentlich. Viele Tools vergleichen Ihre Dateien mit den Originalen und markieren alles, was verdächtig aussieht.

Achten Sie auf Fehlalarme, insbesondere bei der Verwendung von benutzerdefiniertem Code. Wenn etwas als verdächtig markiert wird, geraten Sie nicht in Panik, sondern prüfen Sie den Fall zunächst, bevor Sie ihn löschen.

27. Erstelle regelmäßig Backups von allem

Wenn etwas schief geht, sind Backups Ihre Rettungsleine. Mit ihnen können Sie Ihre Website in einem sauberen Zustand wiederherstellen, ohne bei Null anfangen zu müssen.

Eine ordnungsgemäße Sicherung umfasst sowohl Ihre Website-Dateien als auch Ihre Datenbank. Speichern Sie sie außerhalb der Website - auf einem Cloud-Speicher, einem sicheren Remote-Server oder sogar lokal, wenn Sie diszipliniert sind, was die Synchronisierung angeht. Verlassen Sie sich niemals allein auf die Backups Ihres Hosts.

Wie oft sollten Sie Backups erstellen? Bei statischen Websites kann einmal pro Woche ausreichend sein. Bei viel genutzten Blogs oder eCommerce-Shops? Täglich. Oder öfter.

Das Wichtigste: Testen Sie Ihr Sicherungs- und Wiederherstellungsverfahren. Wenn Sie noch nie versucht haben, eine Sicherung wiederherzustellen, wissen Sie nicht, ob sie funktioniert.

28. Benutzeraktivitäten überwachen

Haben Sie sich jemals gefragt, wer dieses zufällige Plugin installiert hat oder warum dieser Beitrag plötzlich verschwunden ist? Die Aktivitätsprotokolle beantworten diese Fragen.

Protokollierungstools verfolgen Anmeldungen, Plugin-Installationen, Inhaltsänderungen und mehr. Sie sind nützlich, um verdächtiges Verhalten zu erkennen, vor allem, wenn Sie mehrere Nutzer oder Kunden im Backend arbeiten lassen.

Wenn jemand Schadcode einschleust oder etwas Unlauteres versucht, wissen Sie, wer es war, wann es passiert ist und was genau getan wurde. Das beschleunigt die Bereinigung und macht das Rätselraten überflüssig.

29. Verstecken Sie Ihre WordPress-Version

Standardmäßig enthält WordPress seine Versionsnummer im Seitenquelltext Ihrer Website. Bots nutzen diese Information, um Websites mit veralteter Software und bekannten Schwachstellen zu finden.

Sie können die Versionsausgabe entfernen, indem Sie dies in der Datei functions.php Ihres Themes hinzufügen:

php

remove_action('wp_head', 'wp_generator');

Es wird zwar keinen gezielten Angreifer aufhalten, aber es wird das Drive-by-Scannen durch automatisierte Tools einschränken. Und bei der Sicherheit ist jedes bisschen hilfreich.

30. Halten Sie Ihre PHP-Version auf dem neuesten Stand

WordPress läuft mit PHP. Und genau wie WordPress muss auch PHP auf dem neuesten Stand gehalten werden.

Neuere Versionen von PHP sind nicht nur schneller, sondern auch sicherer. Derzeit sind alle Versionen unter PHP 8.0 entweder kurz vor dem Ende ihrer Lebensdauer oder werden bereits nicht mehr unterstützt. Überprüfen Sie Ihre aktuelle Version unter „Tools“ → „Site Health“ → „Info“ → „Server“. Wenn Sie hinterherhinken, sprechen Sie mit Ihrem Host über ein Upgrade. Testen Sie zunächst die Kompatibilität, da einige ältere Themes oder Plugins möglicherweise selbst aktualisiert werden müssen.

WordPress-Sicherheit – Bewährte Verfahren: Infrastruktur und Hosting

31. Wählen Sie einen sicherheitsbewussten Hosting-Anbieter

Die Sicherheit Ihrer Website ist nur so gut wie der Server, auf dem sie läuft. Wählen Sie einen Hoster, der sich mit WordPress auskennt und integrierte Sicherheitsfunktionen wie Malware-Scans, Account-Isolierung, Firewalls und Ratenbegrenzung bietet.

Fragen Sie, ob sie Container oder Chroot-Gefängnisse zur Trennung von Konten verwenden. Wenn sie nicht wissen, was das bedeutet, laufen Sie weg.

Achten Sie auf tägliche Backups, Offsite-Speicher und Wiederherstellungsoptionen mit nur einem Klick. Bonuspunkte für echten 24/7-Support von Leuten, die wissen, was WordPress ist.

32. Installieren Sie ein echtes Sicherheits-Plugin

Ja, WordPress ist technisch gesehen von Haus aus sicher. Aber es ist auch flexibel, und diese Flexibilität birgt Schwachstellen.

Ein gut gepflegtes Sicherheits-Plugin wie WP Umbrella bietet Ihnen umfassenden Schutz: Login-Schutz, Überwachung der Dateiintegrität, DSGVO-konforme Backups und vieles mehr aus einer Hand.

Entscheiden Sie sich für ein Plugin, das aktiv gewartet wird und weit verbreitet ist - jeder der großen Anbieter wird diese Aufgabe erfüllen. Vermeiden Sie es einfach, drei auf einmal zu installieren. Zu viele Sicherheits-Plugins können zu Konflikten führen oder Ihre Website verlangsamen.

Überlassen Sie einem Tool die schwere Arbeit, und konfigurieren Sie es richtig.

33. PHP-Fehlerausgabe deaktivieren

Der Debug-Modus ist ideal, wenn Sie eine Website erstellen. Bei Produktionsseiten sollten Sie die Fehlerberichterstattung ausschalten. Dadurch können Dateipfade, Datenbankdetails oder Plugin-Namen nach außen dringen.

Um dies zu verhindern, fügen Sie dies zu Ihrer wp-config.php Datei hinzu:

php

define('WP_DEBUG', false);

define('WP_DEBUG_DISPLAY', false);

Bei einigen Anbietern können Sie dies auch auf der Serverebene verwalten. Das Ziel ist in jedem Fall dasselbe: Geben Sie Ihre Serverarchitektur nicht an jeden Besucher mit einem Browser weiter.

Fortgeschrittene Strategien zum Schutz von WordPress

34. Sichern Sie Ihren Datenbankzugriff

Ihre WordPress-Datenbank enthält alles: Anmeldedaten, Beiträge, Einstellungen, Kommentare und benutzerdefinierte Felder. Wenn jemand Zugriff darauf erhält, muss er Ihre Startseite nicht unbedingt verunstalten; er kann Ihre gesamte Website von Grund auf neu gestalten.

Beginnen Sie damit, Ihrem Datenbankbenutzer eingeschränkte Berechtigungen zuzuweisen. WordPress benötigt keinen vollständigen Root-Zugriff. Es reicht aus, um Inhalte zu lesen, zu schreiben und zu verwalten. Nicht mehr und nicht weniger.

Regelmäßige Wartung ist ebenfalls wichtig. Löschen Sie Überarbeitungen von Beiträgen, Spam-Kommentare und ungenutzte Plugin-Tabellen. Je kleiner und sauberer Ihre Datenbank ist, desto einfacher ist es, etwas Ungewöhnliches zu entdecken.

Wenn Ihr Hoster eine Verschlüsselung im Ruhezustand für Datenbanken anbietet, sollten Sie diese aktivieren, insbesondere wenn Sie mit persönlichen oder finanziellen Daten arbeiten.

35. Erstellen Sie einen Plan für die Reaktion auf Zwischenfälle

Selbst die beste Einrichtung kann fehlschlagen. Jemand klickt auf einen Phishing-Link. Eine Zero-Day-Attacke. Ein Plugin-Update geht daneben. In solchen Momenten kommt es vor allem darauf an, wie schnell Sie reagieren können.

Sie sollten genau wissen, was zu tun ist, wenn etwas schiefgeht: wen Sie kontaktieren müssen, was Sie zuerst überprüfen sollten und wie Sie die Website sicher wieder online bringen können. Dazu gehören natürlich Backups, aber auch Protokolle, Zugangsdaten, DNS-Einstellungen und eine Möglichkeit, während der Fehlerbehebung mit Ihrem Team oder Ihren Kunden zu kommunizieren.

Halten Sie Vorlagen für die Benachrichtigung der Benutzer bereit. Dokumentieren Sie Ihre Bereinigungsschritte. Und wenn sich die Wogen geglättet haben, machen Sie eine Nachuntersuchung. Jeder Vorfall ist eine Lehre - wenn Sie aufmerksam sind.

Verwandt: Wie man einen WordPress-Sicherheitsaudit durchführt: Schritt-für-Schritt-Anleitung

Der beste Weg, um mit WordPress-Sicherheit umzugehen: WP Umbrella

Wir haben soeben mehr als 30 Best Practices für die Sicherheit von WordPress vorgestellt. Sie auf einer oder zwei WordPress-Seiten zu befolgen, ist durchaus machbar. Aber bei 10, 20 oder 50 Websites? Viel Glück, wenn Sie da mithalten können, ohne Ihre Wochenenden zu verlieren.

Um Ihre Zeit zu sparen, hilft WP Umbrella Ihnen, eine gute Sicherheitshygiene zu erreichen. Von einem einzigen Dashboard aus können Sie veraltete Plugins, Themes und den WordPress-Kern überwachen, proaktiv Schwachstellen blockieren und alles sichern, ohne zwischen Websites hin und her zu springen oder 30 verschiedene Kalendererinnerungen einzustellen.

Automatisierte Sicherheitsüberwachung

WP Umbrella überwacht Ihre WordPress-Websites kontinuierlich auf Schwachstellen, veraltete Software und Sicherheitsbedrohungen. Die Plattform erkennt automatisch, wenn Plugins, Themes oder der WordPress-Kern aktualisiert werden müssen, und weist Sie auf kritische Sicherheitspatches hin, die sofortige Aufmerksamkeit erfordern.

WP Umbrella scannt viermal täglich nach Schwachstellen und bietet so ständigen Schutz vor neuen Bedrohungen. Die Plattform überwacht auch SSL-Zertifikate und validiert die korrekte HTTPS-Konfiguration auf all Ihren Websites.

Die Überwachung der Sicherheitskonfiguration verfolgt kritische Einstellungen wie den WP_DEBUG-Status, um sicherzustellen, dass der Debug-Modus auf Produktionsseiten nicht versehentlich aktiviert wird. WP Umbrella warnt Sie, wenn Debug-Einstellungen sensible Informationen preisgeben, die Angreifern helfen könnten, die Struktur Ihrer Website zu verstehen und Schwachstellen zu identifizieren.

Dieser Zusatz ist absolut sinnvoll, da er direkt mit der zuvor behandelten bewährten Sicherheitspraxis zusammenhängt, die die Deaktivierung von PHP-Fehlerberichten und des Debug-Modus beinhaltet. Sie zeigt, wie WP Umbrella die Überwachung dieser wichtigen Sicherheitskonfigurationen automatisiert.

Site Protect: Erweiterte Sicherheitserweiterung

Site Protect, basierend auf Patchstack, setzt viele der in diesem Leitfaden behandelten bewährten Sicherheitsverfahren automatisch um. Dieses Add-on bietet virtuelles Patching, das bereits vor der Veröffentlichung offizieller Patches vor bekannten Sicherheitslücken schützt. Es arbeitet auf PHP-Ebene, um zu verhindern, dass Angriffe Ihre WordPress-Installation erreichen.

Sicherheitshärtungsfunktionen deaktivieren automatisch die Dateibearbeitung, entfernen WordPress-Versionsinformationen, blockieren Benutzeraufzählungsversuche und fügen Sicherheits-Header hinzu. Die integrierte Firewall blockiert bösartigen Datenverkehr, Brute-Force-Angriffe und gängige WordPress-Exploits, ohne legitime Besucher zu beeinträchtigen.