Warum muss WordPress abgesichert werden?
WordPress betreibt über 40 % aller Websites weltweit. Diese Verbreitung macht es zum beliebtesten Ziel für automatisierte Angriffe. Hacker suchen nicht gezielt nach deiner Website, sie scannen das gesamte Internet nach bekannten Schwachstellen in WordPress-Core, Plugins und Themes. Wird eine Lücke gefunden, schlägt der Angriff automatisch zu.
Die gute Nachricht: Die meisten erfolgreichen Angriffe auf WordPress nutzen vermeidbare Schwachstellen aus. Mit den richtigen Maßnahmen kannst du das Risiko drastisch reduzieren.
1. Updates konsequent einspielen
Die wichtigste Maßnahme überhaupt. Veraltete Software ist die Hauptursache für erfolgreiche Angriffe auf WordPress-Websites.
- WordPress-Core: Halte die Installation immer auf der neuesten Version. Minor-Updates (z. B. 6.4.1 auf 6.4.2) werden automatisch eingespielt, Major-Updates musst du manuell anstoßen.
- Plugins: Aktiviere automatische Updates für alle Plugins oder prüfe mindestens wöchentlich auf verfügbare Updates.
- Theme: Auch das aktive Theme muss aktuell gehalten werden.
- PHP-Version: Stelle sicher, dass dein Hoster eine aktuelle PHP-Version einsetzt. PHP 5.x, 7.x und 8.0/8.1 erhalten keine Sicherheitspatches mehr.
ThreatPulse erkennt automatisch deine WordPress-Version und gleicht sie live gegen die aktuelle Version von wordpress.org ab. Auch bis zu 10 Plugins werden auf bekannte Schwachstellen geprüft.
2. Unbenutzte Plugins und Themes löschen
Jedes installierte Plugin ist ein potenzielles Einfallstor, auch wenn es deaktiviert ist. Der Code liegt weiterhin auf dem Server und kann Schwachstellen enthalten. Lösche deshalb alles, was du nicht aktiv verwendest. Das gilt genauso für Themes: Behalte nur dein aktives Theme und lösche alle anderen.
3. Starke Zugangsdaten und 2FA
Schwache Passwörter sind nach veralteter Software die zweithäufigste Ursache für erfolgreiche Angriffe. Verwende für jedes Konto ein einzigartiges, starkes Passwort mit mindestens 16 Zeichen. Ändere den Standard-Benutzernamen admin in etwas Individuelles.
Aktiviere Zwei-Faktor-Authentifizierung (2FA) für alle Administrator-Konten. Selbst wenn ein Angreifer dein Passwort kennt, kommt er ohne den zweiten Faktor nicht rein.
4. Security Headers konfigurieren
HTTP Security Headers weisen den Browser an, bestimmte Schutzmaßnahmen zu aktivieren. Die meisten WordPress-Installationen senden standardmäßig keine Security Headers. Die wichtigsten:
- Strict-Transport-Security (HSTS): Erzwingt HTTPS-Verbindungen. Anleitung: HSTS einrichten
- X-Frame-Options: Verhindert Clickjacking durch Einbettung in Frames.
- Content-Security-Policy (CSP): Kontrolliert, welche Ressourcen der Browser laden darf.
- X-Content-Type-Options: Verhindert MIME-Sniffing.
- Referrer-Policy: Steuert, welche Informationen an externe Seiten weitergegeben werden.
Security Headers kannst du über die Server-Konfiguration (Apache .htaccess oder Nginx) oder über ein WordPress-Plugin einrichten. Welche Headers fehlen auf deiner Website?
5. SSL/TLS korrekt einrichten
Ein gültiges SSL-Zertifikat ist Pflicht, aber es reicht allein nicht aus. Stelle sicher, dass dein Server nur TLS 1.2 und 1.3 akzeptiert. Veraltete Protokolle wie TLS 1.0, 1.1, SSLv2 und SSLv3 müssen deaktiviert sein. Anleitung: TLS 1.0 deaktivieren
6. Login-Bereich absichern
Der WordPress-Login unter /wp-admin ist das häufigste Ziel für Brute-Force-Angriffe. Schütze ihn mit diesen Maßnahmen:
- Login-Versuche begrenzen: Plugins wie Limit Login Attempts Reloaded sperren eine IP nach mehreren Fehlversuchen.
- Login-URL ändern: Verschiebe den Login-Pfad von
/wp-adminauf eine individuelle URL. - XML-RPC deaktivieren: Die Schnittstelle
xmlrpc.phpwird häufig für Brute-Force-Angriffe missbraucht und wird in den meisten Fällen nicht benötigt.
7. Regelmäßige Backups
Backups schützen nicht vor Angriffen, aber sie ermöglichen eine schnelle Wiederherstellung, wenn etwas schiefgeht. Richte automatische tägliche Backups ein und speichere sie getrennt vom Server (z. B. in der Cloud oder auf einem externen Speicher). Teste regelmäßig, ob die Wiederherstellung funktioniert.
8. Dateiberechtigungen prüfen
Falsche Dateiberechtigungen auf dem Server können Angreifern das Schreiben in Systemdateien ermöglichen. Die empfohlenen Berechtigungen für WordPress:
- Verzeichnisse:
755 - Dateien:
644 wp-config.php:600oder640
9. Regelmäßig prüfen
Sicherheit ist kein einmaliges Projekt. Neue Schwachstellen werden täglich entdeckt, Plugins veröffentlichen Patches, TLS-Standards ändern sich. Prüfe die Sicherheit deiner Website regelmäßig, zum Beispiel monatlich mit ThreatPulse.
Falls deine Website bereits kompromittiert wurde, findest du in unserem Artikel WordPress gehackt: was tun? eine Schritt-für-Schritt-Anleitung zur Bereinigung.