WordPress Sicherheit: So schützen Sie Ihre Website vor Angriffen

Über 43 % aller Websites weltweit laufen auf WordPress. Das macht das Open-Source-CMS nicht nur zum beliebtesten Content-Management-System, sondern auch zum attraktivsten Ziel für Cyberangriffe. Allein im Jahr 2025 wurden über 90.000 Angriffe pro Minute auf WordPress-Seiten registriert. Wer eine WordPress-Website betreibt, muss sich deshalb aktiv mit dem Thema Sicherheit auseinandersetzen – oder die Konsequenzen tragen.

In diesem Leitfaden zeigen wir Ihnen, welche Bedrohungen real sind, welche Maßnahmen wirklich helfen und wie Sie Ihre Website langfristig absichern. Ob Sie einen Corporate Blog, einen WooCommerce-Shop oder ein Unternehmensportal betreiben: Die Grundprinzipien der WordPress-Sicherheit gelten für alle.

Warum WordPress ein beliebtes Angriffsziel ist

WordPress ist nicht unsicher – es ist populär. Und Popularität zieht Angreifer an. Die WordPress-Core-Software wird von einem dedizierten Security-Team gepflegt und gehört zu den am besten auditierten Open-Source-Projekten der Welt. Die eigentlichen Schwachstellen liegen woanders:

• Plugins sind die Achillesferse: Das WordPress-Ökosystem umfasst über 60.000 Plugins. Viele davon werden von Einzelentwicklern gepflegt, die weder die Ressourcen noch das Wissen für professionelle Sicherheitsaudits haben. Laut WPScan entfallen über 95 % aller WordPress-Schwachstellen auf Plugins und Themes.
• Veraltete Installationen: Studien zeigen, dass rund 40 % aller WordPress-Sites nicht die aktuelle Version verwenden. Jede ungepatchte Version ist eine offene Tür.
• Standard-Konfigurationen: Die Standardinstallation von WordPress ist auf Benutzerfreundlichkeit optimiert, nicht auf Sicherheit. Admin-Pfade, Datei-Berechtigungen und Datenbankpräfixe bleiben bei vielen Installationen unverändert.
• Automatisierte Angriffe: Bots scannen das gesamte Internet systematisch nach WordPress-Installationen und testen bekannte Schwachstellen automatisch. Ihr kleiner Blog ist genauso betroffen wie eine Enterprise-Website.

Das bedeutet: WordPress-Sicherheit ist kein Luxus, sondern eine Notwendigkeit. Unsere WordPress Agentur sieht regelmäßig Websites, die durch vermeidbare Sicherheitslücken kompromittiert wurden.

Die häufigsten Angriffsarten auf WordPress

Um sich effektiv zu schützen, müssen Sie die Bedrohungslandschaft verstehen. Hier sind die fünf häufigsten Angriffsvektoren:

Besonders perfide sind Supply-Chain-Angriffe: Ein bisher vertrauenswürdiges Plugin wird verkauft, und der neue Besitzer schleust Schadcode ein. 2024 betraf dies mehrere Plugins mit zusammen über 1 Million aktiven Installationen. Ohne professionelles Monitoring bleiben solche Angriffe oft wochenlang unentdeckt.

Die richtige Update-Strategie

Updates sind die wichtigste Einzelmaßnahme für WordPress-Sicherheit. Doch „einfach alles updaten" greift zu kurz. Eine durchdachte Update-Strategie berücksichtigt Stabilität und Sicherheit gleichermaßen:

• Sicherheits-Patches sofort: Wenn ein Plugin oder WordPress Core ein Sicherheits-Update veröffentlicht, sollte es innerhalb von 24–48 Stunden eingespielt werden. Exploit-Code wird oft innerhalb von Stunden nach Bekanntwerden einer Lücke veröffentlicht.
• Feature-Updates mit Staging: Größere Versionssprünge (z.B. WordPress 6.x auf 7.x) sollten zuerst in einer Staging-Umgebung getestet werden, um Inkompatibilitäten zu erkennen.
• Plugin-Kompatibilität prüfen: Vor jedem Update ein vollständiges Backup erstellen und die Kompatibilitätsnotizen lesen. Besonders bei WooCommerce-Shops kann ein inkompatibles Update den gesamten Bestellprozess lahmlegen.
• Automatische Minor-Updates aktivieren: WordPress bietet automatische Updates für Minor-Releases (z.B. 6.5.1 → 6.5.2). Diese sollten aktiviert bleiben, da sie primär Sicherheitsfixes enthalten.
• Unused Plugins entfernen: Deaktivierte Plugins sind nicht sicher – ihr Code ist weiterhin auf dem Server und kann ausgenutzt werden. Löschen Sie, was Sie nicht nutzen.

Bei unserer WordPress Wartung führen wir Updates nach einem strukturierten Prozess durch: Backup → Staging-Test → Live-Update → Funktionstest. So minimieren wir Ausfallrisiken.

Backup-Konzept: Ihre Lebensversicherung

Ein Backup ist keine Sicherheitsmaßnahme im engeren Sinne – es ist Ihre letzte Verteidigungslinie. Wenn alle anderen Maßnahmen versagen, entscheidet das Backup darüber, ob Sie Ihre Website in Stunden wiederherstellen oder Wochen damit verbringen, sie von Grund auf neu aufzubauen.

Ein professionelles Backup-Konzept umfasst:

• Tägliche automatische Backups: Datenbank und Dateisystem werden separat gesichert. Bei hochfrequenten Shops (mehr als 50 Bestellungen pro Tag) empfehlen wir stündliche Datenbank-Backups.
• Externer Speicherort: Backups auf demselben Server wie die Website sind wertlos, wenn der Server kompromittiert wird. Speichern Sie Backups bei einem separaten Cloud-Anbieter (AWS S3, Google Cloud Storage oder ein dedizierter Backup-Dienst).
• Aufbewahrungsstrategie: 30 Tage tägliche Backups, 12 Monate monatliche Backups. So können Sie auch Malware erkennen, die erst Wochen nach der Infektion aktiv wird.
• Regelmäßige Wiederherstellungstests: Ein Backup, das sich nicht wiederherstellen lässt, ist kein Backup. Testen Sie die Wiederherstellung mindestens vierteljährlich auf einer Testumgebung.

WordPress Hardening: 10 Maßnahmen, die wirken

WordPress Hardening beschreibt die systematische Absicherung einer WordPress-Installation über die Standard-Konfiguration hinaus. Hier sind zehn Maßnahmen, die wir bei jeder von uns betreuten Website umsetzen:

1. Datei-Editor deaktivieren: define('DISALLOW_FILE_EDIT', true); in der wp-config.php verhindert, dass über das Dashboard PHP-Code bearbeitet werden kann.
2. Login-URL ändern: Die Standard-URL /wp-admin ist jedem Angreifer bekannt. Eine individuelle Login-URL reduziert automatisierte Brute-Force-Angriffe um über 90 %.
3. Zwei-Faktor-Authentifizierung (2FA): Selbst wenn ein Passwort kompromittiert wird, verhindert 2FA den Zugriff. Pflicht für alle Administratoren und Redakteure.
4. Login-Versuche limitieren: Nach 5 fehlgeschlagenen Versuchen wird die IP für 30 Minuten gesperrt. Nach 3 Sperrungen für 24 Stunden.
5. XML-RPC deaktivieren: Die XML-RPC-Schnittstelle wird für die meisten modernen Anwendungen nicht mehr benötigt, bietet aber eine Angriffsfläche für DDoS-Amplification und Brute-Force-Attacken.
6. HTTP-Security-Header setzen: Content-Security-Policy, X-Frame-Options, Strict-Transport-Security und Permissions-Policy schützen vor XSS, Clickjacking und Downgrade-Angriffen.
7. Datenbankpräfix ändern: Statt des Standard-Präfixes wp_ ein individuelles Präfix verwenden, um automatisierte SQL-Injection-Angriffe zu erschweren.
8. Datei-Berechtigungen härten: Verzeichnisse auf 755, Dateien auf 644, wp-config.php auf 440. Die .htaccess und wp-config.php sollten zusätzlich vor direktem Zugriff geschützt werden.
9. User Enumeration blockieren: Die Standard-API (?author=1) verrät Benutzernamen. Diese Enumeration muss unterbunden werden, um gezielte Brute-Force-Angriffe zu verhindern.
10. SSL/TLS erzwingen: HTTPS ist seit Jahren Standard und ein Ranking-Faktor für SEO. Erzwingen Sie HTTPS für die gesamte Website, einschließlich Admin-Bereich und API-Aufrufe.

Diese Maßnahmen klingen technisch, und das sind sie auch. Genau deshalb ist professionelle Unterstützung bei der Umsetzung sinnvoll – falsch konfigurierte Sicherheitseinstellungen können Ihre Website funktionsunfähig machen.

Site Protect: Proaktiver Schutz für WordPress

Reaktive Sicherheit – also nur auf Angriffe zu reagieren – reicht in der heutigen Bedrohungslandschaft nicht mehr aus. Wir setzen deshalb auf proaktive Schutzkonzepte, die Angriffe verhindern, bevor sie Schaden anrichten.

Unser Site-Protect-Ansatz umfasst:

• Virtual Patching: Bekannte Schwachstellen werden auf WAF-Ebene (Web Application Firewall) blockiert, noch bevor ein offizielles Update verfügbar ist. Das ist besonders kritisch bei Zero-Day-Exploits, bei denen der Plugin-Entwickler noch gar nicht reagiert hat.
• IP-Blocking & Geo-Fencing: Automatische Sperrung von IPs, die schadhaftes Verhalten zeigen. Optional können ganze Länder-Regionen blockiert werden, wenn Ihr Geschäft nur bestimmte Märkte bedient.
• User Enumeration Schutz: Blockierung aller bekannten Methoden zur Ermittlung von Benutzernamen – über die REST-API, Author-Archive und oEmbed-Endpunkte.
• Echtzeit-Malware-Scanning: Kontinuierliche Überwachung aller Dateien auf bekannte Malware-Signaturen und verdächtige Code-Muster. Alerts werden sofort an unser Team weitergeleitet.
• Integritäts-Monitoring: Vergleich der aktuellen Dateien mit den Original-Versionen aus dem WordPress-Repository. Jede nicht autorisierte Änderung wird sofort erkannt.
• Login-Schutz mit Brute-Force-Detection: Intelligente Erkennung von Brute-Force-Mustern, die über einfache Login-Limiter hinausgeht. Verteilt ein Botnet den Angriff über Tausende IPs, erkennt unser System das Muster trotzdem.

Dieser umfassende Schutz ist Teil unserer WordPress Wartungspakete ab 140 €/Monat. Sie erhalten nicht nur Updates und Backups, sondern eine aktive Sicherheitsüberwachung.

DSGVO und WordPress-Sicherheit

Datensicherheit und Datenschutz sind zwei Seiten derselben Medaille. Die DSGVO verlangt „angemessene technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. Für WordPress-Betreiber bedeutet das konkret:

• Verschlüsselung: SSL/TLS ist Pflicht, nicht optional. Das gilt für die gesamte Website, nicht nur für Formulare.
• Auftragsverarbeitungsverträge: Mit jedem Dienstleister, der Zugriff auf personenbezogene Daten hat (Hoster, CDN-Anbieter, E-Mail-Service), muss ein AV-Vertrag geschlossen werden.
• Datensparsamkeit: Sammeln Sie nur Daten, die Sie wirklich benötigen. Jedes zusätzliche Kontaktformularfeld ist eine zusätzliche DSGVO-Verpflichtung.
• Meldepflicht bei Datenschutzverletzungen: Ein Hack, bei dem personenbezogene Daten abfließen, muss innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden. Ohne professionelles Monitoring wissen Sie möglicherweise nicht einmal, dass es zu einem Datenleck gekommen ist.
• Cookie-Consent: Technisch nicht notwendige Cookies (Analytics, Marketing) dürfen nur nach expliziter Einwilligung gesetzt werden. Der Consent muss dokumentiert und widerrufbar sein.

Ein gehackter WordPress-Shop, aus dem Kundendaten abfließen, kann neben dem Reputationsschaden auch ein DSGVO-Bußgeld nach sich ziehen – bis zu 4 % des Jahresumsatzes. Prävention ist hier deutlich günstiger als Schadensbegrenzung.

Professionelle Wartung vs. Selbstverwaltung

Die ehrliche Frage: Brauchen Sie wirklich einen professionellen Wartungsvertrag, oder können Sie das selbst? Die Antwort hängt von Ihrem Risikoprofil ab:

Für einen persönlichen Blog oder eine einfache Portfolio-Seite kann Selbstwartung ausreichen – vorausgesetzt, Sie nehmen sich tatsächlich die Zeit dafür. Für geschäftskritische Websites – insbesondere Shops, die Kundendaten verarbeiten – ist professionelle Wartung keine optionale Ausgabe, sondern eine Investition in Betriebssicherheit.

Rechnen Sie nach: Wenn Ihr Shop 5.000 € Umsatz pro Tag generiert und ein Sicherheitsvorfall zwei Tage Downtime verursacht, haben Sie 10.000 € Umsatz verloren – zuzüglich Wiederherstellungskosten und Reputationsschaden. Dagegen stehen 1.680 € Jahreskosten für professionelle Wartung.