WordPress Sicherheit: Cyber-Security Experte gibt 10 wichtige Tipps
Mit dem rasanten Fortschritt der Künstlichen Intelligenz (KI) steigen auch die Bedrohungen durch Cyberkriminalität signifikant an. Besonders WordPress-Webmaster müssen schnell reagieren und sich intensiv mit der Sicherheit ihrer Websites auseinandersetzen. WordPress bleibt eines der Hauptziele für Hacker, da dieses weit verbreitete Open-Source-System besonders anfällig ist. Daher ist es entscheidend, die WordPress-Installation sowie alle genutzten Plugins und Themes stets auf dem neuesten Stand zu halten, da veraltete Versionen ein leichtes Ziel für Angreifer darstellen.
Doch das ist nur ein Teil der notwendigen Maßnahmen. Als erfahrener WordPress-Entwickler kenne ich die Schwachstellen dieses Systems genau und werde dir in diesem Leitfaden Schritt für Schritt zeigen, wie du deine Website umfassend sichern kannst. Lass uns direkt loslegen!
Das Standard-Wordpress ist nicht sicher
Die Open-Source-Software WordPress ist das weltweit führende Content-Management-System (CMS). Als ein solches werden Programme bezeichnet, die das leichte verwalten, bearbeiten, organisieren und veröffentlichen von digitalen Inhalten ermöglichen, ohne dass tiefgehende technische Kenntnisse erforderlich sind. CMS-Plattformen sind besonders nützlich für Benutzer, die regelmäßig Inhalte aktualisieren müssen.
Über 43% aller im Internet aktiven Websites (laut HubSpot Blog) nutzen dieses System, einschließlich viele unserer Agenturkunden.
Diese große Popularität bringt aber auch erhebliche Risiken mit sich: Täglich werden rund 30.000 Websites gehackt (laut Intruder), davon etwa allein 6.000 WordPress-Seiten. Ein Großteil dieser Angriffe, rund 56%, erfolgt durch veraltete Plugins und Themes, die vollautomatisch mithilfe von KI-gestützten Tools ausgenutzt werden (laut Patchstack). KI kann mittlerweile durch vollautomatisierte AI Bot Armys erheblichen Schaden anrichten. Offiziell kommt über 47% des gesamten Internet-Traffics von Bots, wobei die Dunkelziffer bis zu 70% geschätzt wird – Tendenz klar steigend.
Es ist kein Geheimnis, dass WordPress das am häufigsten gehackte CMS-System der Welt ist. Das bedeutet jedoch nicht, dass du dein Website-System wechseln solltest.
Sicherheitsrisiken bestehen bei allen Plattformen. Und die Faustregel ist: Je verbreiteter ein System ist, desto mehr Aufmerksamkeit erhält es von Hackern.
Fakt ist, dass es immer wichtiger wird, dass du deine WordPress-Website absicherst und die üblichen Angriffspunkte von Standard-Wordpress schließt.
Wie das genau geht und was du alles beachten solltest, das zeige ich dir hier:
14 Tipps eines Cyber-Security-Experten, wie du WordPress sicherer machst
1. Regelmäßige Backups erstellen
Das A und O jedes IT-Systems (einschließlich jeder Website) sollte ein gutes Backup Management sein.
Erstelle also unbedingt regelmäßig Backups deiner Website und speichere sie an einem sicheren Ort, idealerweise offline oder in einer Cloud wie Google Drive oder Microsoft OneDrive ab. Regelmäßige Backups sind Pflicht für jeden Website-Betreiber, um bei zukünftigen Angriffen gewappnet zu sein und nicht bei “null” anzufangen.
Gute Backup-Plugins für WordPress sind UpdraftPlus oder BackupBuddy, die auch regelmäßig automatische Backups bei Drittanbietern speichern können.
2. Nur notwendige Plugins und Themes verwenden
Das hier ist enorm wichtig, denn die meisten gehackten WordPress-Seiten kommen dadurch zustande, dass veraltete oder von Sicherheitslücken betroffene Plugins installiert sind.
Installiere also unbedingt nur Plugins und Themes, die du wirklich benötigst, und lösche alle anderen ausnahmslos aus deiner Installation! Jedes nicht essentielle Plugin und Theme erhöht die Angriffsfläche und kann zu einer gehackten Webseite führen. Je weniger Angriffsfläche du bietest, desto sicherer ist deine Website.
Aktive Plugins und Themes sollten stets aktualisiert werden. WordPress bietet auch das Aktivieren von automatischen Aktualisierungen an. Das kann vor allem sinnvoll sein, wenn man eine kleine Website hat und nicht täglich daran arbeitet.
- Zugriff auf WordPress-Dashboard nur über sichere Verbindungen
Greife auf das WordPress-Dashboard ausschließlich über sichere Internetverbindungen zu. Vermeide unbedingt das Arbeiten an deiner Website über öffentliche WLAN-Verbindungen, insbesondere solche ohne den heutigen Standard der WPA2-Verschlüsselung. Öffentliche WLANs in Cafés, Hotels usw. sind extrem anfällig für Man-in-the-Middle-Angriffe, bei denen Hacker deine Login-Daten und den gesamten Datenverkehr abfangen können. Nutze stattdessen vertrauenswürdige private Netzwerke oder eine VPN-Verbindung, wenn du unterwegs auf deine WordPress-Administration zugreifen musst. Durch den Zugriff auf dein Dashboard nur über gesicherte Kanäle minimierst du das Risiko eines Datendiebstahls oder unbefugten Zugriffs auf deine Website drastisch! Behandle die Anmeldung zu deiner WordPress-Seite mit der gleichen Vorsicht wie Online-Banking und stelle sicher, dass deine Internetverbindung stets sicher ist.
- Starke Passwörter und Zwei-Faktor-Authentifizierung (2FA) verwenden
Bei Einbrüchen gehen über 70% der Diebe über die Haustür. Im Webspace ist das zwar etwas anders, aber dein WordPress-Login-Bereich sollte unbedingt geschützt werden.
Verwende für alle deine Benutzerkonten starke, einzigartige Passwörter. Auch eine 2-Faktor-Authentifizierung sollte als weitere Sicherheitsmaßnahme eingebaut werden.
Für maximale Sicherheit kannst du auch den htaccess-Passwortschutz („htpasswd-Trick“) nutzen, um vor dem WordPress-Login eine serverseitige HTTP-Authentifizierung zu erzwingen. Weitere Optionen sind Geofencing zur räumlichen Zugriffseinschränkung oder das explizite Erlauben von nur wenigen, vertrauenswürdigen IP-Adressen. Dieser mehrstufige Loginschutz erhöht die Sicherheit deines WordPress-Zugangs enorm und erschwert Hackern und Brute-Force-Angriffen den unbefugten Zugriff erheblich.
5. Regelmäßige Updates installieren
Stelle sicher, dass neben Plugins und Themes auch dein WordPress-Core stets auf dem Laufenden ist. Außerdem solltest du immer die neueste PHP-Version sowie die MySQL-Version am Hosting-Server aktiv haben. Ja, das kann etwas überfordernd sein, aber dein Hosting-Provider sollte dich dabei kostenlos im Kundensupport unterstützen können. Insbesondere die PHP-Version ist wichtig, damit deine Website rund läuft und die neuesten WordPress-Updates auch fehlerfrei funktionieren. Veraltete PHP-Versionen sind wie veraltete Windows-Versionen: sie bekommen keine Sicherheitsupdates mehr und laufen mit der Zeit aus. Daher ist es fundamental wichtig, dass du stets eine PHP-Version aktiv hast, die zur neuesten Generation gehört!
6. Sicherheits-Plugins verwenden
Nutze vielfach bewährte WordPress-Sicherheits-Plugins wie All In One WP Security, Wordfence, Sucuri, WP Security Ninja oder Solid Security (ehemals iThemes Security), um deine Website zu überwachen und gegen Bedrohungen zu schützen. Diese Plugins bieten eine Vielzahl von Sicherheitsfunktionen wie etwa Firewall, Malware-Scanning, Login-Schutz und Schutz vor Brute-Force-Angriffen. Sie informieren dich über verdächtige Aktivitäten und können viele Angriffe automatisch blockieren und senden dir stets Aktivitätsberichte per E-Mail zu. Wichtig dabei ist, dass die Plugins auch wirklich korrekt konfiguriert werden und mit dem Server sowie den anderen installierten Plugins zusammenspielen.
7. Benutzer-ID 1 nicht nutzen
WordPress weist dem ersten angelegten Administratorkonto standardmäßig die Benutzer-ID 1 zu. Diese sehr offensichtliche ID macht dieses Konto zu einem bevorzugten Angriffsziel für Hacker. Um die Sicherheit zu erhöhen, solltest du ein komplett neues Administratorkonto mit einer anderen, zufälligen ID erstellen. Vermeide bei der Wahl des neuen Benutzernamens gängige Admin-Bezeichnungen wie „admin“ oder „administrator“, da diese leicht zu erraten sind. Wähle stattdessen einen einzigartigen, kryptischen Benutzernamen, der keinerlei Hinweise auf Administratorrechte gibt. Nachdem du das neue Konto angelegt hast, deaktiviere oder lösche das alte Admin-Konto mit der ID 1. Durch diesen Wechsel des Standard-Adminkontos zu einem unbekannten Benutzernamen und einer zufälligen ID minimierst du erfolgreich das Risiko von Brute-Force-Angriffen auf deinen Administratorzugang.
8. Datenbankpräfix ändern
Von Haus aus verwendet WordPress für alle Datenbanktabellen das vorhersehbare Präfix „wp_“. Diese Standardvorgabe erleichtert es Angreifern jedoch, automatisierte SQL-Injection-Angriffe auf deine Website durchzuführen. Bei SQL-Injection-Attacken können in Eingabefelder Code-Schnipsel eingegegeben werden, die in die Datenbank deines WordPress Schadcode einfügen, sodass Informationen preisgegeben werden können oder noch schlimmer Zugriff auf dein System erteilt wird.
Um die Sicherheit deiner Datenbank deutlich zu erhöhen, solltest du das Tabellenprefix während der Installation oder nachträglich mit Hilfe eines Plugins anpassen. Wähle dafür ein individuelles, zufälliges Präfix wie beispielsweise „x8tz3p9_“. Je kryptischer und unvorhersehbarer dieses Präfix ist, desto schwieriger wird es für Hacker, schädliche SQL-Befehle auf deine Datenbanktabellen anzuwenden. Populäre WordPress-Sicherheitssuiten wie iThemes Security Pro oder Security Ninja bieten bequeme Optionen an, um das Datenbank-Präfix mit nur einem Klick auf der Benutzeroberfläche zu ändern. Diese einfache Maßnahme reduziert die Angriffsfläche erheblich und senkt die Wahrscheinlichkeit eines erfolgreichen Datenbank-Angriffs.
9. Sicheres Benutzerrollen-Management in WordPress
Das Benutzerrollen-Management ist ein wichtiger Aspekt der WordPress-Sicherheit. Achte auf die Grundregel, dass es stets nur einen Administrator-Benutzer geben sollte. Den Administrator-Benutzer solltest du nicht für alltägliche Websiteaktivitäten nutzen, sondern dafür auf beschränkte Benutzerrollen mit minimalen Berechtigungen ausweichen. Erstelle separate Benutzerkonten mit der Rolle „Editor“ oder „Autor“ für Content-Arbeiten und gewähre diesen nur die nötigsten Rechte. Vermeide es, Mitarbeitern Zugriff auf die gesamte WordPress-Installation zu erteilen. Überprüfe regelmäßig die vorhandenen Benutzerkonten und entferne inaktive oder nicht mehr benötigte Accounts unverzüglich. Ein übersichtliches und restriktives Benutzerrollen-Management reduziert die Angriffsfläche erheblich und verhindert, dass Hacker mit gestohlenen Zugangsdaten umfassenden Schaden anrichten können.
10. Aktivitätsprotokolle überwachen
Um rechtzeitig auf mögliche Sicherheitsvorfälle oder Angriffe reagieren zu können, ist es unerlässlich, sämtliche Aktivitäten auf deiner WordPress-Website kontinuierlich zu überwachen. Hierfür eignen sich spezialisierte Protokollierungs-Plugins wie WP Security Audit Log hervorragend. Diese zeichnen detailliert alle Benutzeranmeldungen, Änderungen an Plugins, Themes und Inhalten sowie weitere sicherheitsrelevante Ereignisse auf. Durch regelmäßiges Auswerten der generierten Aktivitätslogs kannst du verdächtige Vorgänge wie unautorisierte Zugriffe oder Manipulationsversuche frühzeitig erkennen. So gewinnst du wertvolle Zeit, um umgehend auf potenzielle Bedrohungen zu reagieren und geeignete Gegenmaßnahmen einzuleiten, bevor sich Sicherheitsprobleme weiter ausbreiten. Das lückenlose Monitoring deiner WordPress-Instanz ist unverzichtbar, um die Integrität und den Betrieb deiner Website dauerhaft zu gewährleisten.
11. Hosting-Anbieter mit Fokus auf Sicherheit wählen
Die Wahl des richtigen Hosting-Anbieters hat einen enormen Einfluss auf die Sicherheit deiner WordPress-Website. Viele Standard-Hoster vernachlässigen diesen Aspekt leider. Entscheide dich daher bewusst für einen Anbieter, der Cybersecurity als oberste Priorität behandelt und umfassende Sicherheitsmaßnahmen speziell für WordPress implementiert hat. Solche Provider setzen auf mehrschichtige Schutzkonzepte wie serverseitigen DDoS-Schutz, regelmäßige Schwachstellen-Scans der Server-Infrastruktur sowie leistungsfähige Web Application Firewalls. Informiere dich vorab detailliert über die Sicherheitsstandards und -funktionen der verschiedenen Hosting-Dienste. Wähle einen vertrauenswürdigen Anbieter aus, der deine individuellen Anforderungen an eine maximale WordPress-Sicherheit bestmöglich erfüllt. Qualitäts-Hosting-Pakete im „Managed WordPress“-Bereich wie etwa Raidboxes oder Kinsta legen typischerweise einen Fokus auf Hochverfügbarkeit, automatisierte Sicherheitsupdates und tägliche Komplett-Backups deiner Website. Mit einem derartigen Hosting-Partner an deiner Seite minimierst du Risiken und profitierst von erstklassigen Schutzmaßnahmen auf Serverebene.
12. Die Google Search Console nutzen für mehr WordPress-Sicherheit
Ein oft übersehener, aber sehr cleverer Tipp für mehr WordPress-Sicherheit ist die optimale Nutzung der Google Search Console (GSC). Durch die Verknüpfung deiner Website mit diesem kostenlosen Google-Tool gewinnst du wertvolle Einblicke in den Sicherheitsstatus und potenzielle Bedrohungen.
Die Einrichtung ist denkbar einfach: Melde dich mit deinem Google-Konto in der Search Console an und füge deine Domain hinzu. Für die nahtlose Integration in deine WordPress-Instanz empfiehlt sich die Installation des offiziellen Plugins „Google Site Kit“, wo die Einrichtung und Verbindung der Website wenige Minuten braucht.
Die Search Console ist unverzichtbar, um SEO-Spam-Hacks, Malware-Infektionen, Crawling-Probleme und andere sicherheitsrelevante Warnungen frühzeitig zu erkennen. Google scannt deine Seite regelmäßig und meldet dir unmittelbar auffällige Aktivitäten oder Auffälligkeiten im Sicherheitsbereich der GSC. So erhältst du einen zentralen Überblick über den Cybersecurity-Status und wichtige Analyse-Daten zu deiner Website – und zwar 100% kostenlos!
- Nicht benötigte Dienste und Funktionen deaktivieren
Je mehr aktive Dienste, Funktionen und Schnittstellen deine WordPress-Installation aufweist, desto größer ist die potenzielle Angriffsfläche für Cyber-Angreifer. Aus Sicherheitsgründen empfiehlt es sich daher, nur die zwingend erforderlichen Komponenten und Features zu aktivieren.
Überprüfe in den Server- und WordPress-Einstellungen regelmäßig, welche Dienste wie FTP, SSH, PHP-Funktionen etc. aktiviert sind und deaktiviere beziehungsweise entferne alle nicht benötigten Elemente. Je schlanker deine WordPress-Konfiguration, desto geringer ist die Zahl möglicher Schwachstellen.
Weitere potenzielle Angriffsvektoren sind nicht verwendete User Accounts, nutzlose WordPress-Seiten (die als Testseiten usw. angelegt worden sind) oder -Beiträge sowie ältere Daten-Backups auf dem Server. Entferne oder deaktiviere regelmäßig alle überflüssigen Komponenten.
Durch konsequente Reduzierung auf die tatsächlich benötigten Funktionen minimierst du die Angriffsfläche für Cyber-Bedrohungen effektiv. Weniger aktivierte Features und Schnittstellen bedeuten weniger potenzielle Schwachstellen, die Angreifer ausnutzen könnten. Mehr Software-Bloat erhöht immer auch die Sicherheitsrisiken.
- RSS-Feed und Kommentare deaktivieren
Ein weiterer effektiver WordPress-Sicherheitstipp ist das Deaktivieren von Kommentaren und RSS-Feeds, um potenzielle Sicherheitslücken zu schließen. Kommentare können ein Einfallstor für Spam und schädliche Inhalte sein, während RSS-Feeds zusätzliche Angriffsvektoren bieten können.
Um Kommentare global auf deiner Website zu deaktivieren, kannst du einfach das kostenlose WordPress-Plugin “Disable Comments Plugin” installieren. So ersparst du dir dafür Eingriffe in PHP-Dateien deiner Website.
Um das standardmäßig aktive RSS-Feed zu deaktivieren, musst du allerdings einen Code-Schnippsel in die function.php deines Child-Themes einfügen. Alternativ kannst du ein All-in-One-Security-Plugin verwenden (wie oben beschrieben), das erweiterte Einstellungen zum Deaktivieren verschiedener Funktionen, einschließlich RSS-Feeds, bietet.
Solltest du das RSS-Feed manuell deaktivieren wollen, so gehe wie folgt vor:
Öffne den Web-FTP-Zugriff in deinem Hosting-Bereich oder installiere das Plugin File Manager, um auf die FTP-Daten deiner Website zuzugreifen. Navigiere in das Verzeichnis /wp-content/themes/[dein Child Theme].
Füge diesen Code in die functions.php deines Child-Themes ein:
// Disable RSS feeds
function disable_feed() {
wp_die(__('No feed available, please visit the homepage!'));
}
add_action('do_feed', 'disable_feed', 1);
add_action('do_feed_rdf', 'disable_feed', 1);
add_action('do_feed_rss', 'disable_feed', 1);
add_action('do_feed_rss2', 'disable_feed', 1);
add_action('do_feed_atom', 'disable_feed', 1);
add_action('do_feed_rss2_comments', 'disable_feed', 1);
add_action('do_feed_atom_comments', 'disable_feed', 1);
Fazit
Die fortschreitende Entwicklung der Künstlichen Intelligenz (KI) erhöht die Gefahren der Cyberkriminalität erheblich. Besonders WordPress-Webmaster müssen proaktiv handeln und ihre Websites gegen die zunehmenden Bedrohungen absichern. WordPress ist aufgrund seiner weiten Verbreitung ein Hauptziel für Hacker.
Indem Webmaster die hier aufgezeigten und vielfach bewährten Sicherheitspraktiken befolgen, können sie ihre Websites effektiv vor Cyberangriffen schützen und die Integrität ihrer Online-Präsenz gewährleisten. Ich empfehle daher jedem klar, sich mit diesen Punkten auseinanderzusetzen, um Hackerangriffen möglichst aus dem Weg zu gehen.
In Deutschland gilt zudem die Selbstanzeigepflicht für gehackte Webseiten, die Kundendaten (und seien es auch nur E-Mail-Adressen) von Nutzern speichern. Es ist daher umso wichtiger, präventive Sicherheitsmaßnahmen zu ergreifen, um Datenpannen und den damit verbundenen rechtlichen Folgen vorzubeugen.