WordPress Sicherheit: So schützen Sie Ihre Website zuverlässig

WordPress ist das meistgenutzte Content-Management-System der Welt – und genau deshalb auch das meistangegriffene. Wer als Unternehmen eine WordPress-Website betreibt, trägt Verantwortung: für die eigenen Daten, für die Daten seiner Kunden und für die Verfügbarkeit seiner digitalen Visitenkarte. WordPress Sicherheit ist daher kein „nice to have", sondern eine betriebliche Pflichtaufgabe.

In diesem Artikel erklärt Steven Weißheimer von SW Business Solutions, welche Angriffsvektoren realistisch sind, welche Maßnahmen wirklich helfen und wie KMU eine nachhaltige Sicherheitsstrategie aufbauen – ohne ein eigenes IT-Sicherheitsteam zu benötigen.

---

Warum WordPress so häufig angegriffen wird

WordPress betreibt nach aktuellen Schätzungen rund 40 % aller Websites weltweit. Diese Marktdominanz macht es zum attraktiven Ziel für automatisierte Angriffe: Hacker schreiben Skripte, die Millionen von WordPress-Installationen gleichzeitig auf bekannte Schwachstellen scannen – unabhängig davon, ob es sich um einen globalen Konzern oder die Website einer kleinen Bäckerei handelt.

Die häufigsten Einfallstore sind:

• Veraltete Plugins und Themes mit bekannten Sicherheitslücken
• Schwache Passwörter und fehlende Zwei-Faktor-Authentifizierung
• Ungepatchter WordPress-Core (die eigentliche CMS-Software)
• Unsichere Hosting-Umgebungen ohne Web Application Firewall
• Nicht entfernte Demo- oder Testinstallationen

Praxishinweis: Laut Analysen von Sicherheitsanbietern wie Wordfence entstehen über 90 % aller WordPress-Hacks durch Schwachstellen in Plugins oder Themes – nicht durch den WordPress-Kern selbst.

---

Die häufigsten Angriffsarten auf WordPress-Websites

Um die richtigen Schutzmaßnahmen zu treffen, hilft es, die Angriffsmuster zu kennen:

Angriffsart	Beschreibung	Typische Folge
Brute-Force-Angriff	Automatisiertes Durchprobieren von Passwörtern	Übernahme des Admin-Accounts
SQL-Injection	Einschleusen von Datenbankbefehlen über Formulare	Datenverlust, Datendiebstahl
Cross-Site-Scripting (XSS)	Einbetten von Schadcode in Kommentare oder Formulare	Manipulation der Website, Phishing
File Inclusion	Ausführen externer Skripte auf dem Server	Vollständige Server-Kompromittierung
Malware-Injektion	Einpflegen von Schadcode in Theme- oder Plugin-Dateien	SEO-Spam, Weiterleitung auf Phishing-Seiten
DDoS-Angriff	Überlastung des Servers durch Anfragenflut	Website-Ausfall

---

WordPress Sicherheit: Die 12 wichtigsten Maßnahmen

1. WordPress, Plugins und Themes immer aktuell halten

Updates sind die effektivste Einzelmaßnahme im Bereich WordPress-Sicherheit. Sobald eine Sicherheitslücke öffentlich bekannt wird, erscheint oft innerhalb von Stunden ein Patch – gleichzeitig beginnen Angreifer gezielt nach ungepatchten Installationen zu suchen.

Empfehlung: Aktivieren Sie automatische Minor-Updates für den WordPress-Core (define('WP_AUTO_UPDATE_CORE', true); in der wp-config.php). Major-Updates sollten nach einem Backup manuell eingespielt werden.

2. Nicht benötigte Plugins und Themes löschen

Jedes installierte Plugin ist eine potenzielle Angriffsfläche – auch wenn es deaktiviert ist. Deaktivierte Plugins werden zwar nicht ausgeführt, ihre Dateien liegen aber weiterhin auf dem Server und können über direkte URL-Aufrufe kompromittiert werden.

Faustregel: Wenn Sie ein Plugin seit drei Monaten nicht genutzt haben, sollten Sie ernsthaft prüfen, ob Sie es wirklich noch benötigen.

3. Starke Passwörter und Zwei-Faktor-Authentifizierung (2FA)

Das Standard-Admin-Konto „admin" mit einem simplen Passwort ist die Einladung für jeden Brute-Force-Angreifer. Mindestanforderungen für WordPress-Accounts:

• Mindestens 16 Zeichen, Groß-/Kleinschreibung, Zahlen, Sonderzeichen
• Kein wiederverwendetes Passwort
• 2FA per TOTP-App (z. B. Google Authenticator) oder Hardware-Key

Passwort-Manager wie 1Password machen die Verwaltung sicherer Passwörter für das gesamte Team einfach handhabbar.

4. Nutzerverwaltung und Rollen sauber pflegen

Vergeben Sie nur die Rechte, die jemand tatsächlich benötigt. Ein Redakteur braucht keine Admin-Rechte. Prüfen Sie regelmäßig:

• Gibt es noch Accounts ehemaliger Mitarbeiter oder Agenturen?
• Haben alle Nutzer eine valide E-Mail-Adresse hinterlegt?
• Wer hat tatsächlich Administrator-Status?

5. WordPress-Login-URL ändern oder absichern

Die Standard-Login-URL /wp-admin oder /wp-login.php ist weltweit bekannt. Sie können den Anmeldepfad umbenennen (z. B. per Plugin wie „WPS Hide Login") oder den Zugriff auf /wp-login.php per .htaccess oder Nginx-Konfiguration auf bestimmte IP-Adressen beschränken.

6. Web Application Firewall (WAF) einsetzen

Eine WAF analysiert den eingehenden Datenverkehr und blockiert bekannte Angriffsmuster, bevor sie den WordPress-Server erreichen. Lösungen wie Wordfence, Sucuri oder eine Firewall auf Hosting-Ebene (z. B. über Cloudflare) bieten hier zuverlässigen Schutz.

7. SSL/HTTPS konsequent nutzen

Eine verschlüsselte HTTPS-Verbindung ist heute Mindeststandard – sowohl für die Sicherheit als auch für das Google-Ranking. Kostenloses SSL erhalten Sie über Let's Encrypt. Stellen Sie sicher, dass alle HTTP-Anfragen automatisch auf HTTPS umgeleitet werden.

Mehr dazu finden Sie in unserem Artikel zu Domain, Hosting und SSL für Unternehmen.

8. wp-config.php und .htaccess schützen

Die wp-config.php enthält Datenbankzugangsdaten und geheime Schlüssel – sie darf niemals öffentlich abrufbar sein. Schützen Sie sie per .htaccess:

<Files wp-config.php>
  order allow,deny
  deny from all
</Files>

Verschieben Sie die Datei zusätzlich ein Verzeichnis oberhalb der WordPress-Installation – WordPress findet sie dort automatisch.

9. Datei-Editor im Dashboard deaktivieren

WordPress erlaubt es Administratoren standardmäßig, Theme- und Plugin-Dateien direkt im Browser zu bearbeiten. Wird ein Admin-Account kompromittiert, kann der Angreifer darüber sofort Schadcode einschleusen. Deaktivieren Sie den Editor in der wp-config.php:

define('DISALLOW_FILE_EDIT', true);

10. Regelmäßige Backups mit geprüfter Wiederherstellung

Ein Backup, das nie auf seine Funktionsfähigkeit geprüft wurde, ist kein Backup – es ist eine Hoffnung. Richtige Backup-Strategie für WordPress:

• Tägliche automatisierte Backups (Datenbank und Dateien)
• Offsite-Speicherung (z. B. in einer separaten Cloud, nicht nur auf demselben Server)
• Regelmäßige Testwiederherstellung in einer Staging-Umgebung

Unsere Datensicherungs-Strategie für KMU nach der 3-2-1-Regel erklärt das Prinzip anschaulich.

11. Sicherheits-Scans und Monitoring einrichten

Sicherheits-Plugins wie Wordfence oder iThemes Security scannen Ihre WordPress-Installation regelmäßig auf veränderte Kerndateien, bekannte Malware-Signaturen und suspekte Nutzeraktivitäten. Kombiniert mit einem Monitoring & Logging-System erkennen Sie Anomalien frühzeitig.

12. Hosting-Umgebung sorgfältig wählen

Nicht jedes günstiges Shared Hosting ist für Unternehmenswebsites geeignet. Achten Sie auf:

• PHP-Version aktuell und regelmäßig aktualisiert
• Isolierte Hosting-Umgebungen (keine Ansteckung durch Nachbar-Websites)
• Serverseitige WAF und Malware-Scanner
• Automatische Backups inklusive
• SSH-Zugang für sichere Dateiübertragung statt FTP

---

Praxisbeispiel: WordPress-Absicherung für einen mittelständischen Dienstleister

Ein Beratungsunternehmen aus Brandenburg betrieb seit mehreren Jahren eine WordPress-Website – gepflegt von einer kleinen Marketingabteilung, ohne feste IT-Zuständigkeit. Nach einer Routineprüfung durch SW Business Solutions wurden folgende Probleme identifiziert:

• 23 installierte Plugins, davon 8 seit über 12 Monaten nicht aktualisiert
• 3 Accounts mit Admin-Rechten, darunter zwei ehemalige Mitarbeiter
• Kein regelmäßiges Backup – der Hoster machte wöchentliche Snapshots, die aber nie getestet worden waren
• Kein 2FA auf dem Haupt-Admin-Account
• HTTP statt HTTPS auf mehreren Unterseiten durch fehlerhafte Weiterleitung

Innerhalb weniger Stunden wurden die kritischsten Punkte behoben: überflüssige Plugins entfernt, veraltete aktualisiert, Admin-Accounts bereinigt, 2FA aktiviert, SSL-Weiterleitung korrigiert und ein tägliches Offsite-Backup eingerichtet. Das Ergebnis: eine messbar kleinere Angriffsfläche und die Gewissheit, im Ernstfall auf ein funktionsfähiges Backup zurückgreifen zu können.

---

WordPress-Sicherheits-Checkliste für KMU

Nutzen Sie diese Checkliste als schnellen Selbstcheck:

• WordPress-Core auf aktuelle Version aktualisiert
• Alle Plugins und Themes aktuell
• Nicht benötigte Plugins und Themes vollständig gelöscht
• Kein Standard-Username „admin" im Einsatz
• Admin-Passwörter länger als 16 Zeichen, einzigartig
• 2FA für alle Admin-Accounts aktiviert
• Nutzer-Rollen geprüft und bereinigt
• HTTPS auf der gesamten Website aktiv
• Login-URL geändert oder per IP-Whitelist geschützt
• WAF aktiv (Hosting-Ebene oder Plugin)
• DISALLOW_FILE_EDIT in wp-config.php gesetzt
• wp-config.php und .htaccess vor direktem Zugriff geschützt
• Tägliche automatisierte Backups eingerichtet
• Backup-Wiederherstellung mindestens einmal getestet
• Regelmäßiger Sicherheits-Scan aktiv

---

WordPress vs. individuelle Website: Sicherheitsvergleich

Viele KMU fragen sich, ob WordPress überhaupt die richtige Wahl ist oder ob eine individuelle Website von Haus aus sicherer wäre. Die ehrliche Antwort: Es kommt auf die Umsetzung an.

Kriterium	WordPress (gut gepflegt)	Individuelle Website
Angriffsfläche	Mittel (Plugin-Ökosystem)	Gering (nur eigener Code)
Update-Aufwand	Regelmäßig, überschaubar	Projektabhängig
Sicherheits-Community	Sehr groß, schnelle Patches	Keine externe Community
Kosten für Absicherung	Gering bis mittel	Mittel bis hoch
Risiko bei Vernachlässigung	Hoch	Mittel

Unseren ausführlichen Vergleich finden Sie in den Artikeln WordPress oder individuelle Website? und Next.js vs. WordPress für Unternehmenswebsites.

---

Wann reicht Eigenverantwortung – und wann brauchen Sie professionelle Unterstützung?

Wenn Sie ein kleines Team haben und WordPress nur für eine einfache Unternehmenswebsite einsetzen, können Sie mit Bordmitteln, einem guten Sicherheits-Plugin und einem zuverlässigen Hoster sehr weit kommen. Die beschriebene Checkliste lässt sich ohne tiefes technisches Wissen umsetzen.

Professionelle Unterstützung lohnt sich, wenn:

• Ihre Website E-Commerce-Funktionen enthält und Kundendaten verarbeitet
• Sie sensible Daten (Gesundheit, Finanzen, Kanzleidaten) verwalten
• Ihre Website ein kritischer Umsatzkanal ist und Ausfallzeiten direkte finanzielle Schäden bedeuten
• Sie mehrere WordPress-Installationen betreiben und keine Zeit für manuelles Management haben
• Sie nach einem Angriff Incident Response benötigen

In diesen Fällen sind strukturierte IT-Sicherheit-Dienstleistungen und regelmäßige Audits sinnvoll. SW Business Solutions unterstützt KMU bei der Analyse, Härtung und laufenden Überwachung von WordPress-Umgebungen – ebenso wie bei der Frage, ob WordPress für Ihren Anwendungsfall überhaupt die beste Wahl ist.

Auch das Thema IT-Systembetreuung ist in diesem Zusammenhang relevant: Wer seine IT auslagert, profitiert von regelmäßigen Sicherheitschecks ohne Eigenaufwand.

---

DSGVO und WordPress: Was Sie beachten müssen

WordPress-Sicherheit und Datenschutz sind eng miteinander verknüpft. Eine gehackte Website kann zu einem meldepflichtigen Datenschutzvorfall nach Art. 33 DSGVO werden – mit Meldepflicht gegenüber der Aufsichtsbehörde innerhalb von 72 Stunden.

Relevante Punkte für DSGVO-Konformität Ihrer WordPress-Website:

• Verarbeitungsverzeichnis für alle eingesetzten Plugins pflegen, die personenbezogene Daten verarbeiten (Kontaktformulare, Tracking, Newsletter)
• Auftragsverarbeitungsverträge (AVV) mit Hoster und ggf. Plugin-Anbietern schließen
• Datenschutzerklärung aktuell halten
• Cookies und Tracking rechtssicher konfigurieren

Mehr dazu in unserem Praxisartikel DSGVO im Alltag für kleine Unternehmen.

---

Nach dem Angriff: Was tun, wenn WordPress gehackt wurde?

Auch mit guter Vorbereitung kann es im Ernstfall zur Kompromittierung kommen. Die wichtigsten Sofortmaßnahmen:

1. Website offline nehmen – schützt Ihre Besucher vor Weiterleitung oder Malware
2. Hosting-Anbieter informieren – viele haben Incident-Response-Prozesse
3. Backup einspielen – sofern vorhanden und sauber (Zeitstempel vor dem Angriff wählen)
4. Alle Passwörter zurücksetzen – WordPress-Admin, FTP, Datenbank, Hosting-Panel
5. Schadcode-Scan durchführen – mit Wordfence oder externem Scanner
6. Ursache identifizieren – welches Plugin, welches Passwort war der Einfallspunkt?
7. Behörde melden – bei Datenschutzvorfällen innerhalb von 72 Stunden (Art. 33 DSGVO)

Lassen Sie nach einem Angriff immer eine professionelle Analyse durchführen, bevor Sie die Website wieder live schalten. Oft ist die sichtbare Kompromittierung nur die Spitze des Eisbergs.

---

Fazit: WordPress Sicherheit ist kein Einmal-Projekt

WordPress-Sicherheit ist kein Zustand, den Sie einmal herstellen und dann vergessen können. Es ist ein laufender Prozess: Updates einspielen, Nutzer pflegen, Backups prüfen, Logs beobachten.

Die gute Nachricht: Mit den richtigen Maßnahmen und einem strukturierten Ansatz ist WordPress auch für sensible Unternehmenswebsites eine solide Wahl. Der Aufwand ist beherrschbar – und deutlich geringer als der Schaden, den ein erfolgreicher Angriff anrichten kann.

Wenn Sie sich unsicher sind, wo Ihre WordPress-Website aktuell steht, ist ein unabhängiger Sicherheits-Check der sinnvolle erste Schritt.

Möchten Sie wissen, wie sicher Ihre IT-Infrastruktur aufgestellt ist? SW Business Solutions begleitet KMU aus der Region Brandenburg und Berlin bei der Analyse und nachhaltigen Absicherung ihrer digitalen Systeme – von der WordPress-Website bis zur gesamten IT-Umgebung.