WordPress Sicherheit: 10 essentielle Maßnahmen für Unternehmens-Websites
WordPress betreibt rund 43 Prozent aller Websites weltweit — und ist damit eines der lohnendsten Ziele für automatisierte Angriffe. Laut Sucuri-Reports entfallen über 95 Prozent aller gehackten CMS-Websites auf WordPress. Die gute Nachricht: Die meisten Angriffe sind vermeidbar. Dieser Beitrag zeigt die zehn wirksamsten Maßnahmen, mit denen Sie WordPress-Websites von Unternehmen professionell absichern.
M² WEBVISION
Digitalagentur aus München
Warum WordPress so häufig angegriffen wird
Die Verbreitung von WordPress ist Stärke und Schwäche zugleich. Angreifer automatisieren Scans nach bekannten Schwachstellen im Core, in Themes und vor allem in Plugins. Zielgerichtete Angriffe sind selten — die Regel sind „Spray-and-Pray"-Attacken, die täglich Tausende Seiten gleichzeitig abklopfen.
Die häufigsten Angriffsvektoren sind:
- Brute-Force-Attacken auf wp-admin
- Veraltete Plugins und Themes mit bekannten Lücken
- Schwache oder wiederverwendete Passwörter
- Unzureichend gehärtete Hosting-Konfigurationen
- Nullified oder aus dubiosen Quellen bezogene Premium-Plugins
Maßnahme 1: Updates konsequent einspielen
Die meisten erfolgreichen Angriffe nutzen Lücken, für die seit Monaten ein Patch existiert. Sicherheitsupdates für den WordPress-Core werden innerhalb weniger Stunden nach Veröffentlichung automatisch eingespielt. Plugins und Themes liegen jedoch in Ihrer Verantwortung.
Etablieren Sie ein wöchentliches Update-Fenster, idealerweise verbunden mit einem automatischen Backup und einem kurzen Funktionstest. Plugins, die seit mehr als 12 Monaten kein Update erhalten haben, gehören ersetzt.
Maßnahme 2: Login absichern (2FA und mehr)
Der Login ist das Haupteinfallstor. Drei Maßnahmen wirken sofort:
- Zwei-Faktor-Authentifizierung (2FA) über Plugins wie Wordfence Login Security oder WP 2FA
- Login-URL ändern (z. B. von /wp-admin auf einen individuellen Pfad via WPS Hide Login)
- Rate-Limiting für fehlgeschlagene Anmeldeversuche
Der Standard-Benutzername „admin" sollte nicht existieren. Legen Sie individuelle Accounts pro Person an — keine geteilten Zugänge.
Maßnahme 3: Plugins kritisch auswählen
Jedes Plugin erhöht die Angriffsfläche. Vor der Installation prüfen:
- Wann wurde das letzte Update veröffentlicht?
- Wie viele aktive Installationen gibt es?
- Wie reagiert der Entwickler auf Support-Anfragen?
- Gibt es dokumentierte Sicherheitslücken (z. B. bei WPScan)?
Weniger ist mehr. Ein schlankes Setup mit zehn gepflegten Plugins ist sicherer als eines mit 40 halbwegs gewarteten.
Maßnahme 4: Regelmäßige, externe Backups
Backups sind Ihre Lebensversicherung. Mindestens drei Punkte sind entscheidend:
- Automatisch und regelmäßig: täglich für dynamische Seiten, wöchentlich für statische
- Extern gespeichert: nicht auf demselben Server wie die Website
- Regelmäßig getestet — ein nicht wiederherstellbares Backup ist wertlos
Bewährte Plugins sind UpdraftPlus, BackWPup oder Solid Backups. Für komplexere Projekte empfiehlt sich eine serverseitige Lösung mit Versionshistorie.
Maßnahme 5: Security-Plugin einsetzen
Ein dediziertes Security-Plugin kombiniert Firewall, Malware-Scan und Brute-Force-Schutz. Bewährt haben sich:
- Wordfence: umfangreich, mit Live-Traffic-Analyse
- Sucuri: Cloud-basiert, mit Hardening-Empfehlungen
- Solid Security (ehemals iThemes): gut integrierbar, viele Presets
Wichtig: Nur ein Security-Plugin gleichzeitig. Parallelbetrieb führt zu Konflikten und Fehlalarmen.
Maßnahme 6: Professionelles Hosting
Die Qualität des Hostings beeinflusst die Sicherheit direkt. Managed WordPress-Hoster wie Raidboxes, Kinsta oder WP Engine übernehmen:
- Serverseitige Firewalls und DDoS-Schutz
- Automatische WordPress-Updates
- Tägliche Backups auf isolierten Servern
- Malware-Scans auf Dateisystem-Ebene
Für Unternehmensseiten lohnt sich der Aufpreis gegenüber Shared Hosting fast immer — allein durch die eingesparte Wartungszeit und das deutlich geringere Ausfallrisiko.
Maßnahme 7: HTTPS und sichere Header
HTTPS ist längst Standard. Entscheidend ist, dass auch HTTP-Weiterleitungen und HSTS korrekt konfiguriert sind. Sicherheits-Header wie Content-Security-Policy, X-Frame-Options und Referrer-Policy blockieren Clickjacking, XSS und unerwünschte Einbettungen.
Maßnahme 8: Dateirechte und Server-Konfiguration
Die Basisregel: Dateien 644, Verzeichnisse 755, wp-config.php 600. Schreibrechte nur dort, wo WordPress sie tatsächlich benötigt. Verzeichnislisten deaktivieren. Die Datei xmlrpc.php blockieren, wenn keine externen Anwendungen darauf zugreifen müssen.
Maßnahme 9: Monitoring und Alerting
Sicherheit ist kein einmaliger Zustand. Ein durchdachtes Monitoring erkennt Angriffe früh:
- Uptime-Monitoring (z. B. UptimeRobot, Better Uptime)
- Änderungs-Monitoring für Core- und Theme-Dateien
- Login-Alerts bei Admin-Anmeldungen von neuen IPs
- Regelmäßige Malware-Scans
Maßnahme 10: Wartungsvertrag statt „mal schauen"
Die häufigste Ursache für gehackte Unternehmensseiten ist nicht fehlendes Wissen — es ist fehlende Zeit. Ein fester Wartungsvertrag klärt Verantwortlichkeiten, sorgt für regelmäßige Updates und stellt im Ernstfall schnelle Hilfe sicher.
Bei M² WEBVISION übernehmen wir für unsere Kunden monatliche Updates, Backups und Sicherheits-Checks im Rahmen eines festen Wartungsvertrags. Das reduziert das Risiko erheblich und schützt nicht zuletzt den Markenwert.
Fazit
WordPress ist sicher, wenn es professionell gewartet wird — und ein erhebliches Risiko, wenn es sich selbst überlassen bleibt. Die wirksamsten Schutzmaßnahmen sind weder komplex noch teuer: regelmäßige Updates, 2FA, ein schlankes Plugin-Setup, externe Backups, ein Security-Plugin und professionelles Hosting decken über 90 Prozent der typischen Angriffsvektoren ab. Entscheidend ist nicht das einzelne Plugin, sondern der Prozess dahinter: klare Verantwortlichkeiten, regelmäßige Prüfintervalle und ein Notfallplan. Wer Sicherheit als laufenden Prozess versteht und nicht als einmaliges Projekt, schützt seine Website, seine Kundendaten und letztlich auch seinen Ruf.