So sichern Sie eine WordPress-Website

Mar 13, 2026 · 4 min read

WordPress betreibt über 43 % des Webs, was es zum meistangegriffenen CMS der Welt macht. Doch hier liegt der häufigste Irrtum der meisten Website-Betreiber: Die Kernsoftware ist selten das Problem. Laut Sicherheitsforschung von Patchstack stammt die überwiegende Mehrheit der WordPress-Schwachstellen aus Plugins und Themes – nicht aus dem WordPress-Core selbst. Das bedeutet, dass Ihre Sicherheitslage fast vollständig davon abhängt, wie Sie Ihre Website warten und konfigurieren.

Dieser Leitfaden behandelt die WordPress-Sicherheitspraktiken, die wirklich wichtig sind – ohne veraltete Ratschläge.

Die wichtigsten Erkenntnisse

Nahezu alle WordPress-Schwachstellen haben ihren Ursprung in Plugins und Themes, nicht im Core – prüfen und bereinigen Sie Ihre Erweiterungen regelmäßig.
Starke Authentifizierung (eindeutige Passwörter, TOTP-basierte 2FA und Passkeys) ist Ihre wirksamste Verteidigung gegen unbefugten Zugriff.
Schutzmaßnahmen auf Serverebene wie das Deaktivieren des Datei-Editors, die Durchsetzung von HTTPS und das Setzen korrekter Dateiberechtigungen reduzieren Ihre Angriffsfläche drastisch.
Zuverlässige, getestete Backups sind Ihre letzte Verteidigungslinie – ein Backup, das Sie nie wiederhergestellt haben, ist ein Backup, dem Sie nicht vertrauen können.

Warum die meisten WordPress-Websites kompromittiert werden

Bevor wir zu den Lösungen kommen, ist es hilfreich, die tatsächliche Angriffsfläche zu verstehen. Die meisten erfolgreichen Angriffe nutzen aus:

Veraltete oder aufgegebene Plugins und Themes
Schwache oder wiederverwendete Passwörter
Falsch konfigurierte Dateiberechtigungen
Hosting-Umgebungen ohne Schutzmaßnahmen auf Serverebene

Der WordPress-Core (derzeit in der 6.x-Release-Linie) wird aktiv von einem dedizierten Sicherheitsteam gepflegt, verwendet bcrypt für das Passwort-Hashing und liefert automatische kleinere Sicherheitsupdates aus. Das Risiko liegt fast immer im umgebenden Ökosystem.

WordPress-Härtungsleitfaden: Die Grundlagen

Halten Sie alles aktuell – ohne Ausnahme

Das Zeitfenster zwischen der Offenlegung einer Schwachstelle und ihrer aktiven Ausnutzung beträgt oft Stunden, nicht Tage. Aktivieren Sie automatische Hintergrund-Updates für kleinere Core-Releases. Für Plugins und Themes sollten Sie Updates mindestens wöchentlich prüfen und anwenden.

Noch wichtiger: Prüfen Sie, was Sie installiert haben. Jedes inaktive Plugin ist eine Angriffsfläche. Wenn Sie es nicht verwenden, löschen Sie es – deaktivieren Sie es nicht nur.

Vor der Installation eines Plugins prüfen Sie:

Datum der letzten Aktualisierung (vermeiden Sie alles, was seit 12+ Monaten nicht aktualisiert wurde)
Anzahl der aktiven Installationen
Ob es im WordPress.org-Plugin-Repository gelistet ist
Offene Support-Threads, die Sicherheitsprobleme erwähnen

Installieren Sie niemals genullte oder raubkopierte Themes und Plugins. Diese enthalten häufig Backdoors.

Verwenden Sie starke Authentifizierung für jedes Konto

Der WordPress-Core enthält keine integrierte Zwei-Faktor-Authentifizierung. Sie benötigen ein Plugin oder einen externen Identity-Provider, um diese hinzuzufügen.

Moderne Best Practices für die Authentifizierung:

Verwenden Sie eine Passphrase (vier oder mehr zufällige Wörter) oder ein zufällig generiertes Passwort, das in einem Passwort-Manager wie Bitwarden oder 1Password gespeichert ist
Aktivieren Sie TOTP-basierte 2FA (Authenticator-App) für alle Admin-Konten – SMS-basierte 2FA ist besser als nichts, aber schwächer
Wo Ihr Stack es unterstützt, erwägen Sie Passkeys/WebAuthn für phishing-resistente Anmeldung
Verwenden Sie WordPress Application Passwords für REST-API und Drittanbieter-Integrationen anstelle Ihrer Hauptanmeldedaten

Vermeiden Sie das Teilen von Admin-Konten. Jeder Benutzer sollte seine eigene Anmeldung mit der minimal erforderlichen Rolle haben.

Wenden Sie grundlegende Schutzmaßnahmen auf Serverebene an

Einige wenige Konfigurationsänderungen reduzieren Ihre Angriffsfläche erheblich:

Deaktivieren Sie den Datei-Editor in wp-config.php, um Codeausführung zu verhindern, falls ein Admin-Konto kompromittiert wird:
```
define( 'DISALLOW_FILE_EDIT', true );
```
Schützen Sie wp-config.php, indem Sie den Zugriff über Ihre Serverkonfiguration einschränken und sicherstellen, dass die Datei nicht öffentlich zugänglich ist
Setzen Sie korrekte Dateiberechtigungen: Verzeichnisse auf 755, Dateien auf 644
Verwenden Sie SFTP oder SSH anstelle von einfachem FTP beim Übertragen von Dateien
Erzwingen Sie HTTPS – jede WordPress-Website sollte ein gültiges TLS-Zertifikat haben und HTTP auf HTTPS umleiten

Fügen Sie eine Web Application Firewall und Rate Limiting hinzu

Eine WAF filtert schädlichen Traffic, bevor er WordPress erreicht. Sie können dies auf drei Ebenen implementieren:

CDN/Proxy-Ebene – Dienste wie Cloudflare bieten WAF und DDoS-Schutz mit Bot-Management
Serverebene – ModSecurity auf Apache oder Nginx
Plugin-Ebene – Sicherheits-Plugins wie Wordfence oder Sucuri fügen Firewall-Regeln auf Anwendungsebene und Login-Rate-Limiting hinzu

Rate Limiting für Login-Versuche ist unerlässlich. Brute-Force-Angriffe gegen wp-login.php sind konstant und automatisiert.

Hinweis zu XML-RPC: Deaktivieren Sie XML-RPC nicht pauschal, ohne Ihre Abhängigkeiten zu verstehen. Einige Plugins und mobile Apps sind darauf angewiesen. Wenn Sie es nicht verwenden, ist das Blockieren sinnvoll – tun Sie dies jedoch auf Serverebene statt mit fragilen .htaccess-Regeln.

Sichern Sie zuverlässig und testen Sie Ihre Wiederherstellungen

Ein Backup, das Sie nie getestet haben, ist kein Backup. Verwenden Sie die 3-2-1-Regel: drei Kopien, zwei verschiedene Medientypen, eine extern. Automatisieren Sie Backups und überprüfen Sie regelmäßig, dass Wiederherstellungen tatsächlich funktionieren.

Sichern Sie Ihre WordPress-Website: Schnellreferenz-Checkliste

Fazit

Die Absicherung einer WordPress-Website dreht sich weniger um exotische Härtungstricks als vielmehr um konsequente Wartungsdisziplin. Halten Sie Ihre Software aktuell, verwenden Sie ordnungsgemäße Authentifizierung, wenden Sie Schutzmaßnahmen auf Serverebene an und sichern Sie regelmäßig. Die meisten Angriffe sind erfolgreich, weil eine dieser Grundlagen übersprungen wurde – nicht weil WordPress selbst versagt hat.

Häufig gestellte Fragen

Nein. Der WordPress-Core wird aktiv von einem dedizierten Sicherheitsteam gepflegt und erhält automatische kleinere Sicherheitsupdates. Die überwiegende Mehrheit der Schwachstellen stammt aus Drittanbieter-Plugins und -Themes, nicht aus der Kernsoftware. Die Prüfung und Aktualisierung Ihrer Erweiterungen ist weitaus wichtiger, als sich um WordPress selbst Sorgen zu machen.

Ja. Brute-Force- und Credential-Stuffing-Angriffe gegen wp-login.php sind konstant und automatisiert. Ein starkes Passwort allein reicht nicht aus, da Passwörter geleakt oder wiederverwendet werden können. TOTP-basierte 2FA über eine Authenticator-App fügt eine zweite Ebene hinzu, die die meisten unbefugten Anmeldeversuche stoppt.

Das hängt von Ihrem Setup ab. XML-RPC ist eine Legacy-API, die einige Plugins und die WordPress-Mobile-App noch verwenden. Wenn nichts auf Ihrer Website darauf angewiesen ist, reduziert die Deaktivierung Ihre Angriffsfläche. Blockieren Sie es auf Serverebene statt durch htaccess-Regeln, die leichter umgangen werden können.

Die Häufigkeit hängt davon ab, wie oft sich Ihr Inhalt ändert. Für aktive Websites sind tägliche automatisierte Backups eine vernünftige Grundlage. Wichtiger als die Häufigkeit ist das regelmäßige Testen Ihrer Wiederherstellungen. Befolgen Sie die 3-2-1-Regel: drei Kopien, zwei verschiedene Speichertypen, eine extern gespeichert.

Understand every bug

Uncover frustrations, understand bugs and fix slowdowns like never before with OpenReplay — the open-source session replay tool for developers. Self-host it in minutes, and have complete control over your customer data. Check our GitHub repo and join the thousands of developers in our community.