WordPress ist das mit Abstand verbreitetste CMS der Welt – und genau deshalb auch das beliebteste Angriffsziel. Über 40 % aller Websites laufen auf WordPress, und Bot-Netze scannen rund um die Uhr nach verwundbaren Installationen. Wer 2026 eine WordPress-Site betreibt, ohne sich um Sicherheit zu kümmern, riskiert nicht nur Datenverlust, sondern Reputations- und finanziellen Schaden.
Typische Angriffsmuster 2026
- Brute-Force-Login-Versuche: automatisierte Versuche, Admin-Passwörter zu erraten.
- Plugin-Schwachstellen: veraltete oder unsichere Plugins als Eintrittstor.
- SQL-Injection und XSS: meist über unsichere Formulare oder Custom-Code.
- File-Inclusion: falsche Rechte oder unsichere Datei-Uploads.
- Spam-Bot-Submissions: Massen-Eintragungen über Kontaktformulare.
- Crypto-Mining-Malware: versteckte Skripte, die Serverressourcen klauen.
Die 12 wichtigsten Schutzmaßnahmen
1. WordPress-Core, Themes und Plugins regelmäßig updaten
80 % aller WordPress-Hacks resultieren aus veralteter Software. Major-Updates sollten innerhalb von 2 Wochen erfolgen, Sicherheitsupdates sofort. Automatische Updates sind sicher – idealerweise mit Staging-Server-Test.
2. Starke Passwörter und 2-Faktor-Authentifizierung
Mindestens 16 Zeichen, gemischte Groß-/Kleinschreibung, Sonderzeichen. Tools wie 1Password oder Bitwarden erleichtern die Verwaltung. 2FA via App (Google Authenticator) ist Pflicht für alle Admin-Konten.
3. Admin-Benutzernamen ändern
Standardmäßig heißt der erste Admin in vielen Installationen „admin“. Den User löschen, neuen mit unscheinbarem Namen anlegen. Login-Versuche für „admin“ werden automatisch ins Leere laufen.
4. Login-URL anpassen oder verstecken
Statt /wp-admin/ oder /wp-login.php individuelle URL nutzen (z. B. /firmenname-login/). Plugins wie WPS Hide Login oder All-in-One WP Security regeln das in einer Minute.
5. Login-Versuche begrenzen
Limit Login Attempts oder ähnliche Plugins sperren IP-Adressen nach 3–5 Fehlversuchen automatisch. Damit sind Brute-Force-Angriffe quasi neutralisiert.
6. SSL/HTTPS überall
Pflicht 2026. Let’s Encrypt stellt kostenlose Zertifikate zur Verfügung. Mixed-Content-Warnungen sind nicht nur schlecht für SEO, sondern auch ein Vertrauensbruch.
7. Tägliche Backups, off-site gespeichert
Daten und Datenbank automatisiert sichern – nicht nur auf dem Server, sondern off-site (z. B. zu BackBlaze, Amazon S3, oder dropbox). Restore-Test mindestens 2x jährlich durchführen.
8. Plugin-Hygiene
Jedes Plugin ist potenzielle Angriffsfläche. Nicht benötigte Plugins löschen, nicht nur deaktivieren. Bei Plugin-Kauf auf aktiven Support und regelmäßige Updates achten.
9. Datei-Rechte korrekt setzen
wp-config.php auf 600, Ordner auf 755, Dateien auf 644. Falsche Rechte sind häufiger Angriffspunkt.
10. Firewall und Malware-Scanner
Wordfence, Solid Security oder Sucuri scannen Dateien, blockieren bösartigen Traffic und warnen bei Anomalien. Für Premium-Schutz: Cloudflare WAF kombiniert mit Plugin-Lösung.
11. Sicheres Hosting
Managed-WordPress-Hosting (z. B. RAIDBOXES, WP Engine, Kinsta) bringt isolierte Container, automatische Backups, Server-seitiges Caching und Sicherheits-Updates auf System-Ebene. Lohnt sich ab Business-Sites.
12. Monitoring und Reaktionsplan
Uptime-Monitoring (UptimeRobot, kostenlos) erkennt Ausfälle sofort. Plus: dokumentierter Notfall-Plan, wer im Hack-Fall was tut. Spätester Zeitpunkt: bevor der Notfall eintritt.
Was wir bei Heskamp Medien als Standard liefern
Jede von uns betreute WordPress-Website läuft mit folgenden Schutzschichten: Auto-Updates für Sicherheitspatches, tägliche off-site Backups via Hosting-Partner, 2FA für alle Admin-Zugriffe, Limit Login Attempts, Honeypot-Spamschutz über WP Armour, individuelle Login-URL, SSL und Header-Hardening. Für höhere Anforderungen ergänzen wir Cloudflare WAF und Solid Security Pro.
Häufige Fehler, die wir in Audits sehen
- Backup vorhanden – aber nie restored. Im Ernstfall stellt sich heraus: Datei korrupt.
- 2FA nur für Hauptaccount, andere Admin-Accounts ungesichert.
- Plugin seit 4 Jahren nicht mehr aktualisiert („weil es funktioniert“).
- Hosting-Anbieter ohne automatische Sicherheits-Patches.
- WordPress-Version im HTML-Quellcode sichtbar (Header-Leak).
FAQ – WordPress-Sicherheit
Wie merke ich, dass meine WordPress-Seite gehackt wurde?
Anzeichen: ungewohnte Weiterleitungen, neue Admin-User, fremde Spam-Inhalte, plötzliche Performance-Probleme, Google-Sicherheitswarnung in der Search Console.
Was tun, wenn meine Seite gehackt wurde?
Sofort: Hosting-Provider informieren, Site offline nehmen, Passwörter ändern, Backup von vor dem Hack einspielen, Schwachstelle identifizieren. Idealerweise mit Agentur-Unterstützung.
Reicht ein Sicherheits-Plugin?
Nein. Plugins sind eine Schicht von vielen. Updates, Passwörter, Backups und Hosting sind genauso wichtig. Sicherheit ist mehrschichtig.
Wie oft sollte ich Backups testen?
Mindestens halbjährlich Restore auf Staging-Umgebung. Ein nicht-getestetes Backup ist im Ernstfall meist kein Backup.
Was kostet WordPress-Sicherheit professionell?
Im Rahmen einer monatlichen Wartung (49–199 €/Monat) sind alle Standard-Sicherheitsmaßnahmen enthalten. Punktuelle Audits kosten 800–1.500 €.
Fazit
WordPress-Sicherheit ist kein Hexenwerk, sondern Disziplin. Wer die zwölf Maßnahmen konsequent umsetzt, ist gegen 95 % aller Angriffsversuche geschützt. Die restlichen 5 % sind professionelle Attacks, die selbst große Konzerne treffen – dafür braucht es spezialisierte Partner.
Du möchtest deine WordPress-Site sicher betreiben – ohne dich selbst um den Stack zu kümmern? Sichere dir ein kostenfreies Wartungs-Gespräch oder lies, wie unsere WordPress-Agentur-Beratung funktioniert.