Wordpress sicher machen – diese Plugins schützen dich vor Hackern

INHALT

Inhalt ×
1. Ist WordPress sicher?
2. Die häufigsten Angriffe auf WordPress
3. WordPress Checkliste: Die Basics
4. Die besten WordPress Security Plugins
5. WordPress manuell absichern (ohne Plugin)
6. Backup: Dein Rettungsanker
7. WordPress gehackt? Das musst du jetzt tun
8. FAQ

Du willst WordPress sicher machen? Gute Idee. Denn mal ehrlich: Die meisten WordPress-Nutzer denken erst an Sicherheit, wenn’s schon zu spät ist. Und „zu spät“ bedeutet hier nicht, dass mal kurz die Seite offline ist. Zu spät heißt: Deine Besucher werden auf dubiose Casino-Seiten weitergeleitet, Google wirft dich aus dem Index, und du darfst dich durch japanischen SEO-Spam in deiner Datenbank wühlen. Klingt nach Spaß? Eben.

Die gute Nachricht: Deine WordPress-Seite abzusichern ist kein Hexenwerk. Du brauchst kein IT-Studium und keinen eigenen Server-Admin. Ein paar gezielte Maßnahmen, das richtige Security Plugin und ein bisschen gesunder Menschenverstand reichen, um 99 % aller Angriffe ins Leere laufen zu lassen. In diesem Artikel zeig ich dir genau, wie das geht.

Das Wichtigste in Kürze:
  • 96 % aller WordPress-Schwachstellen stecken in Plugins und Themes, nicht im Core selbst
  • 2024 wurden fast 8.000 neue Sicherheitslücken im WordPress-Ökosystem entdeckt
  • Die absoluten Basics (Updates, starkes Passwort, 2FA) schützen dich bereits vor den meisten Angriffen
  • Ein gutes Security Plugin wie Wordfence oder Sucuri ist Pflicht, ersetzt aber keine regelmäßigen Backups
  • Auch als Nicht-Techie kannst du WordPress in unter einer Stunde vernünftig absichern

Ist WordPress sicher?

Kurze Antwort: Ja. Aber.

WordPress selbst, also der Core, ist verdammt solide. 2024 wurden im gesamten WordPress-Ökosystem 7.966 neue Sicherheitslücken gefunden. Klingt nach viel? Ist es auch. Aber jetzt kommt der entscheidende Punkt: Nur 7 davon betrafen den WordPress-Core. Sieben. Von fast 8.000. Keine einzige davon wurde als wirklich kritisch eingestuft.

Der Rest? 96 % der Schwachstellen stecken in Plugins, 4 % in Themes. Das heißt: WordPress ist nicht das Problem. Das Problem sitzt vor dem Bildschirm. Oder genauer gesagt: Das Problem sind schlecht gewartete Plugins, veraltete Themes und Passwörter wie „admin123“.

Weil WordPress mit einem Marktanteil von über 43 % das mit Abstand beliebteste CMS der Welt ist, ist es natürlich auch das beliebteste Ziel für Angriffe. Wordfence hat 2024 insgesamt 48 Milliarden bösartige Anfragen blockiert. 48 Milliarden. Das sind bis zu 90.000 Angriffe pro Minute. Und 55 Milliarden Versuche, Passwörter zu knacken.

Heißt das, WordPress ist unsicher? Nein. Es heißt, dass WordPress so populär ist, dass sich Angriffe lohnen. Genau wie Windows häufiger angegriffen wird als ein obskures Linux-System, das drei Leute nutzen. Die Popularität macht’s zum Ziel, nicht die Qualität der Software.

Zur Einordnung: Sucuri hat allein im ersten Halbjahr 2024 über 473.000 infizierte Websites verzeichnet. Die häufigste Malware? SEO-Spam (japanische Spam-Links, die in deine Seite injiziert werden) und bösartige Weiterleitungen. Beides ist extrem nervig, aber mit den richtigen Maßnahmen vermeidbar.

Die häufigsten Angriffe auf WordPress

Bevor wir in die Lösungen einsteigen, solltest du verstehen, wovor du dich eigentlich schützt. Denn „Hacker“ ist nicht gleich „Hacker“.

Brute-Force-Angriffe

Der Klassiker. Ein Bot probiert automatisiert Tausende Passwort-Kombinationen auf deiner Login-Seite durch. Benutzername „admin“, Passwort „123456“. Dann „password“. Dann „qwerty“. Du lachst? 55 Milliarden solcher Versuche wurden 2024 allein von Wordfence registriert. Irgendjemand muss ja noch solche Passwörter verwenden, sonst würde sich der Aufwand nicht lohnen.

Cross-Site Scripting (XSS)

XSS macht fast die Hälfte aller gemeldeten WordPress-Schwachstellen aus. Dabei wird Schadcode (meist JavaScript) in deine Website eingeschleust. Besonders fies: Bei „Stored XSS“ wird der Code dauerhaft gespeichert, zum Beispiel in einem Kommentarfeld oder einem Plugin-Formular. Jeder Besucher, der die Seite aufruft, führt den Code dann unbewusst aus.

SQL Injection

Hier schleust der Angreifer schädliche Datenbankbefehle ein. Wenn ein Plugin seine Datenbank-Abfragen nicht sauber absichert (Stichwort: Prepared Statements), kann ein Angreifer deine komplette Datenbank auslesen oder manipulieren. 2024 waren prominente Plugins wie „The Events Calendar“ (700.000 Installationen) und „WPvivid Backup“ (400.000 Installationen) betroffen, beide mit einem Schweregrad von 9,3 von 10.

Supply-Chain-Attacks (das Neue und Fiese)

Das ist die Angriffsart, die mich persönlich am meisten beunruhigt. Und der Vorfall vom April 2026 zeigt perfekt, warum.

Ein Typ namens „Kris“ hat über die Plattform Flippa die Rechte an über 30 WordPress-Plugins aufgekauft. Sechsstellige Summen. Dann hat er acht Monate lang gewartet und schließlich Schadcode in die Plugins injiziert. Über 400.000 aktive Installationen waren betroffen. Das Tückische: Der Schadcode war nur für den Googlebot sichtbar (sogenanntes Cloaking), und die Kommunikation lief über Ethereum-Smart-Contracts als Command-and-Control-Server. Quasi unmöglich abzuschalten.

Die Lektion: Nur weil ein Plugin seit Jahren existiert und Tausende Nutzer hat, heißt das nicht, dass es sicher ist. Der Besitzer kann wechseln, und plötzlich steckt Malware drin.

KI-gestützte Angriffe (das nächste Level)

Und als wäre das alles nicht genug, mischt jetzt auch noch künstliche Intelligenz mit. Patchstack prognostiziert, dass KI die WordPress-Sicherheitslage in mehrfacher Hinsicht verschärft: KI-generierter Plugin-Code von Entwicklern ohne echte Coding-Erfahrung wird neue Schwachstellen einführen. Gleichzeitig wird es für Angreifer einfacher, Schwachstellen zu finden und Exploitation-Scripts zu generieren. Bisher als „risikoarm“ eingestufte Lücken werden durch KI-Agenten plötzlich ausnutzbar.

Klingt nach Science-Fiction? Ist es leider nicht. KI-gestützte Brute-Force-Angriffe können heute schon Tausende Login-Versuche pro Sekunde simulieren und dabei menschliches Verhalten imitieren, um Captchas und Rate-Limiter zu umgehen.

Script-Kiddies vs. gezielte Angriffe

Die meisten Angriffe auf deine WordPress-Seite kommen nicht von genialen Hackern in dunklen Kellern. Sie kommen von automatisierten Tools, die das Internet systematisch nach bekannten Schwachstellen abgrasen. Die sogenannten Script-Kiddies brauchen dafür null technisches Verständnis. Sie laden sich ein Tool runter, drücken auf Start, und das Ding rattert los.

Und genau das ist die gute Nachricht: Gegen diese Art von Angriffen kannst du dich mit überschaubarem Aufwand schützen. Die folgenden Maßnahmen decken locker 99 % ab.

WordPress Checkliste: Die Basics

Bevor du dir ein Security Plugin installierst, solltest du die Grundlagen abgehakt haben. Die kosten nichts, dauern keine 30 Minuten und schützen dich vor den häufigsten Angriffen.

Sichere Passwörter

Ja, ich weiß. Das hörst du überall. Und trotzdem verwenden erschreckend viele Leute immer noch „Firmenname2024“ als Admin-Passwort. Mindestens 16 Zeichen, Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen. Am besten nutzt du einen Passwort-Manager wie Bitwarden oder 1Password und lässt dir ein zufälliges Passwort generieren. Und bitte: Verwende niemals „admin“ als Benutzernamen.

Updates, Updates, Updates

39 % aller gehackten WordPress-Seiten liefen auf veralteter Software. Updates sind kein Nice-to-have, sie sind Pflicht. WordPress-Core, Plugins, Themes. Alles aktuell halten. Patchstack hat gezeigt, dass Schwachstellen oft innerhalb von Stunden nach Bekanntgabe ausgenutzt werden. Stunden, nicht Tage.

Mein Tipp: Minor-Updates (also 6.4.1 auf 6.4.2) automatisch laufen lassen. Major-Updates (6.4 auf 6.5) erstmal auf einer Staging-Umgebung testen, falls dein Hoster das anbietet.

PHP-Version aktuell halten

PHP 7.4 hat seit November 2022 keine Sicherheitsupdates mehr bekommen. PHP 8.0 seit November 2023. Wenn du noch auf einer dieser Versionen läufst, hast du ein offenes Scheunentor. Mindestens PHP 8.1, besser 8.2 oder 8.3. Die Umstellung machst du bei deinem Hoster im Kundenbereich, dauert zwei Klicks.

SSL/HTTPS ist Pflicht

Wer 2026 noch kein SSL-Zertifikat hat, dem ist nicht zu helfen. Die meisten Hoster bieten Let’s Encrypt kostenlos an. Google bevorzugt HTTPS-Seiten, Browser zeigen eine fette Warnung bei HTTP, und ohne SSL werden Passwörter im Klartext übertragen. Ernsthaft, das ist kein optionales Feature mehr.

Backups einrichten

Dein Backup ist deine Lebensversicherung. Alles andere kann schiefgehen, aber wenn du ein sauberes Backup hast, kannst du deine Seite immer wiederherstellen. Dazu kommen wir später noch im Detail.

Aufräumen!

Lösche alle Plugins und Themes, die du nicht brauchst. Nicht deaktivieren, löschen. Jedes installierte Plugin ist eine potenzielle Angriffsfläche, selbst wenn es deaktiviert ist. Hast du noch das Theme „Twenty Twenty-Two“ installiert, das du nie benutzt hast? Weg damit.

Quick-Wins in 30 Minuten:
  • Passwort auf mindestens 16 Zeichen ändern (Passwort-Manager nutzen!)
  • Benutzername „admin“ ersetzen
  • Alle Updates durchführen (Core, Plugins, Themes)
  • PHP-Version beim Hoster auf 8.2+ umstellen
  • SSL/HTTPS aktivieren
  • Ungenutzte Plugins und Themes löschen (nicht nur deaktivieren!)
  • 2FA für alle Admin-Konten aktivieren

Die besten WordPress Security Plugins

Okay, die Basics stehen. Jetzt kommt die schwere Artillerie. Security Plugins überwachen deine Seite, blockieren Angriffe und schlagen Alarm, wenn was faul ist. Hier sind die wichtigsten Kandidaten.

Wordfence Security WordPress Plugin

Wordfence Security

Wordfence ist der Platzhirsch. Über 5 Millionen aktive Installationen, 4,7 Sterne bei über 4.000 Bewertungen. Und das hat Gründe.

Was mich persönlich am meisten überzeugt: Die Transparenz. Du siehst in den Logs genau, welche Angriffe geblockt wurden, von welcher IP, und warum. Das ist kein Black-Box-System, das im Hintergrund irgendwas macht. Du siehst alles.

Die kostenlose Version bringt schon eine Firewall, einen Malware-Scanner, Login-Schutz, 2FA und Brute-Force-Schutz mit. Der Haken: Firewall-Regeln kommen in der Free-Version mit 30 Tagen Verzögerung. Heißt: Wenn heute eine neue Schwachstelle entdeckt wird, bekommst du die passende Firewall-Regel erst in einem Monat. Premium-Nutzer (119 Dollar pro Jahr) bekommen sie sofort.

Wordfence läuft als Application-Layer-Firewall direkt in WordPress. Das hat Vor- und Nachteile: Du bekommst sehr präzise Kontrolle, aber der Scanner kann bei großen Seiten ordentlich Serverleistung ziehen.

Was du wissen solltest: Patchstack hat herausgefunden, dass es Malware gibt, die gezielt Wordfence-Dateien manipuliert, um unentdeckt zu bleiben. Das betraf 14 % der infizierten Sites, auf denen Wordfence installiert war. Also: Wordfence ist top, aber kein Freifahrtschein.

NinjaFirewall WordPress Plugin

NinjaFirewall (WP Edition)

NinjaFirewall ist der Geheimtipp für alle, die es mit der Firewall richtig ernst meinen. Warum? Weil NinjaFirewall noch vor WordPress lädt. Das ist ein fundamentaler Unterschied zu Wordfence & Co., die erst innerhalb des WordPress-Kontexts aktiv werden.

Konkret heißt das: Malicious Requests werden abgefangen, bevor auch nur eine einzige Zeile WordPress-Code ausgeführt wird. Selbst wenn ein Angreifer eine Schwachstelle in WordPress oder einem Plugin gefunden hätte — er kommt gar nicht erst so weit. Für Seiten, die oft Ziel gezielter Angriffe sind (Shops, News-Seiten, Autorenseiten), ist das ein großer Pluspunkt.

Die kostenlose Version bringt eine starke PHP-basierte Web Application Firewall, Schutz vor Brute-Force-Attacken, Datei-Integrity-Monitoring und granulare Kontrolle über Uploads mit. Die Pro-Version (ab etwa 69 $ pro Jahr, mit Lifetime-Lizenzen verfügbar) ergänzt Echtzeit-Updates, Real-Time Log Viewer, automatische IP-Geolocation-Blockaden und erweiterte Admin-Whitelisting-Funktionen.

Was du wissen solltest: NinjaFirewall ist nicht das einsteigerfreundlichste Plugin. Die Konfiguration erfordert etwas technisches Verständnis, besonders wenn du den „Full WAF Mode“ nutzen willst (der erfordert eine kleine Anpassung deiner php.ini oder .htaccess). Dafür bekommst du aber eine der performanteste Firewalls überhaupt — der Performance-Impact ist spürbar geringer als bei Wordfence.

Sucuri Security WordPress Plugin

Sucuri Security

Sucuri geht einen komplett anderen Weg als Wordfence. Statt auf dem Server zu laufen, filtert Sucuri deinen Traffic in der Cloud, bevor er überhaupt bei deinem Server ankommt. Das ist eine sogenannte Cloud-WAF (Web Application Firewall).

Der große Vorteil: Null Serverlast. DDoS-Angriffe prallen an der Cloud-Infrastruktur ab, bevor sie deine Seite erreichen. Obendrauf gibt’s ein CDN, das deine Seite beschleunigt. Und wenn du gehackt wirst, ist Malware-Bereinigung im Premium-Plan inklusive.

Der Nachteil: Die wirklich guten Features kosten. Das Free-Plugin bietet Audit-Logs, Datei-Monitoring und Remote-Malware-Scanning, aber die Cloud-Firewall und den DDoS-Schutz gibt’s erst ab etwa 199 Dollar pro Jahr. Und du bekommst nicht den gleichen granularen Einblick in einzelne Requests wie bei Wordfence.

Solid Security (iThemes) WordPress Plugin

Solid Security (ehemals iThemes Security)

Falls du dich wunderst: iThemes Security gibt’s nicht mehr unter dem Namen. Seit April 2023 heißt das Ganze SolidWP, und das Security-Plugin heißt jetzt Solid Security. Über 900.000 aktive Installationen.

Solid Security ist stark beim Thema Nutzer- und Zugriffsverwaltung. Wenn du eine WordPress-Seite mit mehreren Redakteuren betreibst, ist das Plugin besonders interessant. 2FA, Passwort-Richtlinien, Benutzer-Logging, alles an Bord. Die Pro-Version (ab 99 Dollar pro Jahr) bringt passwortlose Logins, Trusted Devices und automatisches Version-Management.

Was fehlt: Eine eigene Firewall. Solid Security setzt eher auf Härtung und Zugriffskontrolle als auf aktive Angriffsabwehr. Für viele Seiten reicht das, aber wenn du eine vollwertige WAF willst, brauchst du was anderes.

Patchstack WordPress Plugin

Patchstack

Patchstack ist anders als die anderen Plugins auf dieser Liste, und genau das macht es interessant. Statt Malware zu scannen oder Login-Versuche zu blockieren, setzt Patchstack auf Virtual Patching.

Was heißt das? Wenn in einem deiner Plugins eine Schwachstelle bekannt wird, deployt Patchstack eine Firewall-Regel, die genau diese Schwachstelle blockiert. Ohne dass der Plugin-Entwickler einen Patch rausbringen muss. Das ist besonders wertvoll, wenn man bedenkt, dass 35 % aller Schwachstellen ungepatcht bleiben.

Patchstack hat über 10.000 solcher virtuellen Patches in der Datenbank und betreibt ein eigenes Bug-Bounty-Programm mit Hunderten ethischen Hackern. 2024 hat Patchstack 52 % aller neuen WordPress-Schwachstellen koordiniert. Die haben sogar mal 16.400 Dollar für eine einzelne Schwachstelle in LiteSpeed Cache ausgezahlt.

Der Haken: Patchstack ist kein klassisches Rundum-Sorglos-Plugin. Kein Malware-Scanner, kein Login-Schutz. Es ist eine Ergänzung, kein Ersatz.

MalCare WordPress Plugin

MalCare

MalCare kommt von den Machern von BlogVault (dem Backup-Plugin) und hat einen cleveren Ansatz: Die Malware-Scans laufen komplett in der Cloud. Dein Server wird nicht belastet. Die Scans passieren auf MalCare-Servern, und wenn was gefunden wird, kannst du die Malware mit einem Klick entfernen lassen.

Dazu kommt eine Web Application Firewall, Brute-Force-Schutz und Uptime-Monitoring. Das Free-Tier bietet einen eingeschränkten Scan, die volle Funktionalität gibt’s ab 99 Dollar pro Jahr.

MalCare ist eine solide Wahl, wenn du möglichst wenig manuell konfigurieren willst. Die Ein-Klick-Malware-Entfernung ist besonders für Nicht-Techies Gold wert.

All In One WP Security (AIOS) WordPress Plugin

All In One WP Security

Wenn du nach dem besten komplett kostenlosen Security Plugin suchst, ist All In One WP Security (AIOS) dein Kandidat. Über eine Million aktive Installationen und beeindruckende 4,8 Sterne.

Was mir besonders gefällt: Das Dashboard zeigt dir einen Sicherheits-Score und teilt alle Maßnahmen in „Basis“, „Mittel“ und „Fortgeschritten“ ein. So kannst du dich Schritt für Schritt vorarbeiten, ohne was kaputtzumachen. Login-Lockdown, Firewall, Datei-Monitoring, Datenbank-Sicherheit, alles dabei.

Klar, AIOS hat keinen Cloud-basierten Malware-Scanner und ist nicht so automatisiert wie die Premium-Konkurrenz. Aber als kostenloses Plugin? Top.

Plugin Preis (pro Jahr) Firewall Malware-Scan 2FA Empfehlung
Wordfence Kostenlos / 119 $ Application Layer Ja (lokal) Ja Beste Allround-Lösung
NinjaFirewall Kostenlos / 69 $ PHP-basiert (vor WP) Begrenzt Nein Top-Performance für Profis
Sucuri Kostenlos / 199 $ Cloud-WAF Ja (remote) Nein Ideal bei viel Traffic/DDoS
Solid Security Kostenlos / 99 $ Nein Begrenzt Ja Gut für Teams mit vielen Nutzern
Patchstack Kostenlos / 60 $ Virtual Patching Nein Nein Perfekte Ergänzung
MalCare Kostenlos / 99 $ Ja Ja (Cloud) Nein Am einfachsten für Anfänger
AIOS Kostenlos Regelbasiert Nein Ja Beste kostenlose Option

Meine persönliche Empfehlung? Für die meisten WordPress-Seiten ist Wordfence in der kostenlosen Version ein sehr guter Start. Wenn du zusätzlichen Schutz vor ungepatchten Schwachstellen willst, kombinier es mit Patchstack. Und wenn du einen Shop betreibst oder deine Seite richtig viel Traffic hat, schau dir Sucuri mit der Cloud-WAF an.

Tipp zur Plugin-Auswahl: Installiere nicht drei Security Plugins gleichzeitig! Die kommen sich gegenseitig in die Quere, belasten den Server und erzeugen False Positives. Ein Haupt-Plugin (z.B. Wordfence) plus optional Patchstack als Ergänzung reicht völlig. Mehr ist hier definitiv nicht mehr.

WordPress manuell absichern (ohne Plugin)

Plugins sind super, aber manche Sicherheitsmaßnahmen kannst (und solltest) du auch manuell umsetzen. Klingt technischer als es ist.

Zwei-Faktor-Authentifizierung (2FA)

Wenn du nur eine einzige Maßnahme aus diesem Artikel umsetzt, dann diese: Aktiviere 2FA für alle Admin-Konten. Punkt. Ende der Diskussion.

2FA bedeutet: Nach der Passworteingabe wirst du nach einem zweiten Code gefragt, den du über eine Authenticator-App auf deinem Handy generierst (Google Authenticator, Authy oder Microsoft Authenticator). Selbst wenn jemand dein Passwort knackt, kommt er ohne den Code nicht rein.

Die meisten Security Plugins (Wordfence, Solid Security) haben 2FA eingebaut. Als eigenständiges Plugin empfehle ich WP 2FA von Melapress.

Passkeys und WebAuthn (die Zukunft)

Noch cooler als 2FA: Passkeys. Dabei loggst du dich per Fingerabdruck, Face ID oder Hardware-Key (YubiKey) ein. Kein Passwort, kein Code, kein Phishing möglich. WordPress unterstützt Passkeys nativ noch nicht, aber über Plugins wie „Secure Passkeys“ (4,8 Sterne) oder „WebAuthn Provider for Two Factor“ kannst du das jetzt schon nutzen. Das wird der Standard der Zukunft.

wp-config.php absichern

Die wp-config.php ist das Herzstück deiner WordPress-Installation. Hier stehen Datenbank-Zugangsdaten, Sicherheitsschlüssel und andere sensible Infos. Diese Einstellungen solltest du drin haben:

// Dateibearbeitung im Dashboard deaktivieren
define('DISALLOW_FILE_EDIT', true);

// Debug-Modus IMMER aus auf Produktivseiten
define('WP_DEBUG', false);

// SSL für den Admin-Bereich erzwingen
define('FORCE_SSL_ADMIN', true);

// Automatische Core-Updates aktivieren
define('WP_AUTO_UPDATE_CORE', true);

Und schütz die Datei zusätzlich per .htaccess:

<Files wp-config.php>
Order deny,allow
Deny from all
</Files>

Dateiberechtigungen richtig setzen

Die Faustregel: Verzeichnisse auf 755, Dateien auf 644, wp-config.php auf 440 oder 400 (nur lesbar). Und ganz wichtig: Verhindere, dass PHP-Dateien im Uploads-Ordner ausgeführt werden können. Dafür legst du eine .htaccess in /wp-content/uploads/ an mit:

<Files *.php>
deny from all
</Files>

Warum? Weil Angreifer gerne PHP-Backdoors als „Bilder“ hochladen. Wenn der Server im Uploads-Ordner kein PHP ausführt, ist diese Angriffsfläche dicht.

HTTP Security Headers

Klingt ganz schön technisch? Ist es auch, aber es ist verdammt wichtig. Security Headers sagen dem Browser deiner Besucher, wie er sich verhalten soll. Damit schützt du zum Beispiel gegen XSS-Angriffe und Clickjacking. Die wichtigsten in deiner .htaccess:

Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Profi-Tipp: Teste Security Headers immer zuerst auf einer Staging-Umgebung! Besonders Content-Security-Policy kann dafür sorgen, dass Skripte, Fonts oder eingebettete Inhalte plötzlich nicht mehr laden. Lieber einmal mehr testen als die Live-Seite zerschießen.

XML-RPC deaktivieren

XML-RPC ist eine Schnittstelle, die eigentlich dafür gedacht war, WordPress von externen Apps aus zu steuern. Das Problem: Über die Funktion system.multicall kann ein Angreifer Tausende Passwort-Versuche in einem einzigen Request bündeln. Das ist wie Brute-Force auf Steroiden.

Wenn du weder Jetpack noch die WordPress Mobile App nutzt, deaktiviere XML-RPC komplett. Per .htaccess:

<Files xmlrpc.php>
Order deny,allow
Deny from all
</Files>

Login-URL ändern

Jeder weiß, dass die WordPress-Login-Seite unter /wp-admin oder /wp-login.php erreichbar ist. Wirklich jeder. Auch Bots. Wenn du die Login-URL änderst (z.B. auf /mein-login), reduzierst du die Zahl der automatisierten Angriffe massiv.

Ein populäres Plugin dafür ist WPS Hide Login mit über einer Million Installationen. Oder du nutzt die Funktion in Solid Security.

Kleiner Realitätscheck: Das Ändern der Login-URL ist Security through Obscurity. Es hält Bots ab, aber keinen gezielten Angreifer. Deshalb immer in Kombination mit 2FA und Login-Limitierung einsetzen.

Weitere Maßnahmen

Ein paar Dinge, die schnell gehen und trotzdem was bringen:

  • Verzeichnis-Listing deaktivieren: Options -Indexes in der .htaccess verhindert, dass Besucher deine Ordnerstrukturen durchstöbern können.
  • WordPress-Version verbergen: Standardmäßig gibt WordPress seine Versionsnummer im Quellcode preis. Ein gefundenes Fressen für Angreifer, die gezielt nach Schwachstellen in bestimmten Versionen suchen.
  • User-Enumeration blockieren: Über /wp-json/wp/v2/users/ kann jeder deine Benutzernamen abfragen. Schränke die REST API für nicht-authentifizierte Nutzer ein.
  • SFTP statt FTP: FTP überträgt Passwörter im Klartext. SFTP verschlüsselt die Verbindung. Dein Hoster bietet das an, nutz es.

Datenbank-Prefix ändern

WordPress nutzt standardmäßig wp_ als Datenbank-Prefix. Das weiß jeder Angreifer, und es macht SQL-Injection-Angriffe einfacher. Bei einer Neuinstallation: Ändere den Prefix auf was Eigenes, zum Beispiel kus42_. Dauert zwei Sekunden in der wp-config.php.

Bei einer bestehenden Installation ist das Ändern möglich, aber riskant. Erstell vorher unbedingt ein Backup. Plugins wie „Brozzme DB Prefix & Tools Addons“ können helfen, aber ganz ehrlich: Wenn deine Seite schon läuft und du andere Maßnahmen umgesetzt hast, ist der Datenbank-Prefix kein Dealbreaker.

Kurzer Exkurs: EU Cyber Resilience Act

Seit Dezember 2024 ist der EU Cyber Resilience Act (CRA) in Kraft. Ab September 2026 müssen auch Open-Source-Entwickler (dazu gehören Plugin- und Theme-Autoren) Prozesse haben, um aktiv ausgenutzte Schwachstellen zu melden. Das wird als „DSGVO-Moment“ für Software-Entwickler bezeichnet. Für dich als WordPress-Nutzer bedeutet das perspektivisch: Schwachstellen in Plugins sollten schneller gemeldet und gefixt werden. Ob das in der Praxis wirklich so kommt, wird sich zeigen. Aber die Richtung stimmt.

Backup: Dein Rettungsanker

Ich sag’s mal so: Alle Sicherheitsmaßnahmen der Welt sind nur die halbe Miete. Wenn der Worst Case eintritt und deine Seite gehackt wird, zählt nur eins: Hast du ein aktuelles Backup? Dann bist du in einer Stunde wieder online. Hast du keins? Dann wird’s richtig unangenehm.

Die 3-2-1-Backup-Regel

Simpel, aber effektiv:

  • 3 Kopien deiner Daten
  • 2 verschiedene Speichermedien
  • 1 Kopie extern (nicht auf dem gleichen Server!)

Dein Backup auf dem gleichen Server wie die Website zu speichern ist, als würdest du den Ersatzschlüssel unter die Fußmatte legen. Wenn der Server kompromittiert wird, ist das Backup gleich mit weg.

Die besten Backup-Plugins

UpdraftPlus ist mit über 3 Millionen Installationen der Marktführer. Die kostenlose Version reicht für die meisten Seiten: Vollständige Backups, Zeitplanung, Speicherung auf Google Drive, Dropbox oder S3. Premium (ab 70 Dollar pro Jahr) bringt inkrementelle Backups und automatische Backups vor Updates.

BlogVault macht alles in der Cloud. Dein Server wird beim Backup nicht belastet, du bekommst eine Staging-Umgebung dazu, und die Wiederherstellung funktioniert mit einem Klick. Ab 89 Dollar pro Jahr, kein Free-Tier.

Jetpack Backup (ehemals VaultPress) kommt von Automattic, den Machern von WordPress. Echtzeit-Backups bei jeder Änderung, ab ca. 10 Dollar pro Monat. Sehr gute Integration, aber du bindest dich ans Jetpack-Ökosystem.

Nicht vergessen: Ein Backup ist nur so gut wie die Wiederherstellung! Teste regelmäßig, ob der Restore auch wirklich funktioniert. Nichts ist schlimmer als im Ernstfall festzustellen, dass das Backup korrupt ist. Einmal pro Quartal einen Restore-Drill machen, das dauert 15 Minuten und spart dir im Worst Case Wochen.

WordPress gehackt? Das musst du jetzt tun

Okay, der GAU ist eingetreten. Deine Seite leitet auf dubiose Seiten weiter, Google zeigt „Diese Website wurde möglicherweise gehackt“ an, oder du kannst dich nicht mehr einloggen. Keine Panik (okay, ein bisschen Panik ist normal), aber handele schnell und systematisch.

Sofort-Maßnahmen

  1. Seite offline nehmen. Per Maintenance-Plugin oder beim Hoster. Das verhindert weiteren Schaden für deine Besucher.
  2. Alle Passwörter ändern. WordPress-Admin, FTP/SFTP, Datenbank, Hosting-Panel. Alles. Sofort.
  3. Hoster informieren. Viele Managed-Hoster haben eigene Security-Teams, die helfen können.
  4. Backup wiederherstellen. Wenn du ein sauberes Backup hast, stell es wieder her. Prüfe vorher, ab wann die Infektion aktiv war.
  5. Alle Plugins und Themes aktualisieren oder, wenn ein Plugin die Ursache war, sofort deinstallieren.
  6. Malware-Scan durchführen. Mit Wordfence, Sucuri SiteCheck oder MalCare. Gründlich, nicht oberflächlich.
  7. Google Search Console prüfen. Wenn Google deine Seite als gehackt markiert hat, musst du nach der Bereinigung eine erneute Überprüfung beantragen.
Profi-Service: Wenn du dir die Bereinigung nicht selbst zutraust, bieten Wordfence (Response-Plan: 950 Dollar/Jahr, Malware-Entfernung in 1 Stunde) und Sucuri (Malware-Bereinigung im Premium-Plan inklusive) professionelle Hilfe an. Bei einem Business-kritischen Shop kann sich das absolut lohnen.

Nach der Bereinigung

Wenn deine Seite wieder sauber ist, nimm dir die Zeit für eine ehrliche Analyse: Wie ist der Angreifer reingekommen? War es ein veraltetes Plugin? Ein schwaches Passwort? Fehlende 2FA? Beantworte diese Frage und schließe die Lücke. Sonst passiert dir in drei Wochen dasselbe nochmal.

Und dann: Setz die Maßnahmen aus diesem Artikel um. Alle. Nicht morgen, nicht nächste Woche. Jetzt.

FAQ

Reicht ein kostenloses Security Plugin aus?

Für die meisten Blogs und kleinere Websites: ja. Wordfence Free bietet Firewall, Malware-Scanner und 2FA. Kombiniert mit den manuellen Basics (starke Passwörter, Updates, 2FA) bist du sehr gut aufgestellt. Für Shops oder Business-Seiten mit sensiblen Daten würde ich aber eine Premium-Lösung empfehlen, allein wegen der Echtzeit-Firewall-Regeln.

Welches Security Plugin ist das beste für WordPress?

„Das beste“ gibt’s nicht, weil es auf deine Situation ankommt. Wordfence ist der beste Allrounder mit der stärksten kostenlosen Version. Sucuri ist ideal, wenn du DDoS-Schutz und ein CDN brauchst. Patchstack ist die perfekte Ergänzung für Schutz vor ungepatchten Schwachstellen. Für Einsteiger, die es möglichst einfach wollen, ist MalCare eine gute Wahl.

Wie oft sollte ich meine WordPress-Seite sichern (Backup)?

Mindestens einmal täglich. Wenn du einen WooCommerce-Shop betreibst, besser stündlich oder in Echtzeit (z.B. mit Jetpack Backup). Backups immer extern speichern (Google Drive, Dropbox, S3), nicht auf dem gleichen Server. Und ganz wichtig: Vor jedem Update ein manuelles Backup erstellen.

Kann ich WordPress auch ohne Plugin absichern?

Teilweise, ja. Starke Passwörter, 2FA (über eigenständige Plugins), regelmäßige Updates, Security Headers, wp-config.php absichern und XML-RPC deaktivieren sind alles Maßnahmen, die ohne klassisches Security Plugin funktionieren. Aber ein Plugin wie Wordfence liefert dir eine Firewall und automatisierte Malware-Scans, die du manuell nur schwer nachbauen kannst. Ich würde immer beides kombinieren.

Was ist ein Supply-Chain-Angriff bei WordPress?

Bei einem Supply-Chain-Angriff wird nicht deine Website direkt angegriffen, sondern ein Plugin oder Theme, das du installiert hast. Der Angreifer kauft die Rechte an einem beliebten Plugin, wartet ab und injiziert dann Schadcode. Alle Nutzer des Plugins sind betroffen, ohne es zu merken. Der Vorfall vom April 2026 (über 30 aufgekaufte Plugins, 400.000 betroffene Installationen) zeigt, wie real diese Bedrohung ist. Schütz dich, indem du Plugins regelmäßig überprüfst und auf Warnungen im WordPress-Repository achtest.

Brauche ich eine Firewall, wenn mein Hoster schon eine hat?

Die kurze Antwort: Ja, meistens. Die Firewall deines Hosters arbeitet typischerweise auf Netzwerk-Ebene und filtert allgemeine Angriffe. WordPress-spezifische Angriffe (z.B. auf Plugin-Schwachstellen, XML-RPC-Missbrauch) erkennt sie oft nicht, weil ihr der Einblick in die WordPress-Sitzung fehlt. Eine Application-Layer-Firewall wie Wordfence oder Patchstacks Virtual Patching ergänzt den Hoster-Schutz um genau diese WordPress-spezifische Ebene.

Das könnte dich auch interessieren…

Bild von Rafael Luge
Rafael Luge
Hey, ich bin Rafael – Intermedialer Designer (M.A.) und seit 2014 selbstständig mit meiner Agentur Kopf & Stift. Was als Webdesign-Bude startete, ist mittlerweile zu einer echten Leidenschaft für alles rund um WordPress, SEO und künstliche Intelligenz geworden. Über 250 Webprojekte später weiß ich: Die besten Learnings kommen aus der Praxis. Genau die teile ich hier im Blog – von WordPress-Tutorials über KI-Tools bis hin zu SEO-Tipps. Kein Marketing-Blabla, sondern Sachen, die ich selbst täglich nutze. Auf meinem YouTube-Kanal gibt's das Ganze auch als Video-Tutorials. Wenn du Fragen hast, schreib mir gerne!

Hat dir mein Beitrag geholfen?

5 / 5. 3

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Mit dem Absenden des Kommentars werden dein Name, deine E-Mail-Adresse und der Kommentartext gespeichert. Die Speicherung ist für die Darstellung der Kommentare erforderlich. Weitere Informationen findest du in der Datenschutzerklärung.

Inhalt ×
1. Ist WordPress sicher?
2. Die häufigsten Angriffe auf WordPress
3. WordPress Checkliste: Die Basics
4. Die besten WordPress Security Plugins
5. WordPress manuell absichern (ohne Plugin)
6. Backup: Dein Rettungsanker
7. WordPress gehackt? Das musst du jetzt tun
8. FAQ

Inhalt ×
1. Ist WordPress sicher?
2. Die häufigsten Angriffe auf WordPress
2.1. Brute-Force-Angriffe
2.2. Cross-Site Scripting (XSS)
2.3. SQL Injection
2.4. Supply-Chain-Attacks (das Neue und Fiese)
2.5. KI-gestützte Angriffe (das nächste Level)
2.6. Script-Kiddies vs. gezielte Angriffe
3. WordPress Checkliste: Die Basics
3.1. Sichere Passwörter
3.2. Updates, Updates, Updates
3.3. PHP-Version aktuell halten
3.4. SSL/HTTPS ist Pflicht
3.5. Backups einrichten
3.6. Aufräumen!
4. Die besten WordPress Security Plugins
4.1. Wordfence Security
4.2. NinjaFirewall (WP Edition)
4.3. Sucuri Security
4.4. Solid Security (ehemals iThemes Security)
4.5. Patchstack
4.6. MalCare
4.7. All In One WP Security
5. WordPress manuell absichern (ohne Plugin)
5.1. Zwei-Faktor-Authentifizierung (2FA)
5.2. Passkeys und WebAuthn (die Zukunft)
5.3. wp-config.php absichern
5.4. Dateiberechtigungen richtig setzen
5.5. HTTP Security Headers
5.6. XML-RPC deaktivieren
5.7. Login-URL ändern
5.8. Weitere Maßnahmen
5.9. Datenbank-Prefix ändern
5.10. Kurzer Exkurs: EU Cyber Resilience Act
6. Backup: Dein Rettungsanker
6.1. Die 3-2-1-Backup-Regel
6.2. Die besten Backup-Plugins
7. WordPress gehackt? Das musst du jetzt tun
7.1. Sofort-Maßnahmen
7.2. Nach der Bereinigung
8. FAQ