WordPress absichern 2026: Schutz vor Hackerangriffen
Sie befinden sich: Home > News Archiv > Webmaster > WordPress absichern ...
WordPress ist das beliebteste Ziel automatisierter Angriffe, neue Lücken werden binnen Stunden ausgenutzt. Mit den richtigen Maßnahmen schützen Sie Ihre Seite wirksam, von der Zwei-Faktor-Anmeldung bis zum Notfallplan.Jeden Tag prasseln Milliarden automatisierter Angriffe auf WordPress-Seiten ein. Das hat einen einfachen Grund: Kein anderes System ist so verbreitet, und keines ist damit ein so lohnendes Ziel. Wer eine WordPress-Seite betreibt, wird angegriffen, ob Bäckerei-Blog oder Online-Shop, das ist keine Frage des Ob, sondern des Wann.
Die gute Nachricht: Mit einer Handvoll richtiger Maßnahmen lässt sich das Risiko drastisch senken. Die meisten Angriffe sind stumpfe, automatisierte Massenversuche, die an einer gut gehärteten Seite abprallen. Dieser Leitfaden zeigt, was wirklich schützt, von der Anmeldung über die Härtung bis zum Notfallplan.
Warum WordPress im Visier steht
WordPress betreibt rund 42 Prozent aller Websites weltweit, das ist Marktführerschaft mit Abstand. Diese Verbreitung ist Segen und Fluch zugleich: Eine einzige Lücke in einem beliebten Plugin öffnet Angreifern Millionen von Seiten auf einmal. Und genau dort liegt das Problem, nicht im Kern von WordPress selbst.
Ãœber 90 Prozent aller Schwachstellen stecken nicht im WordPress-Kern, sondern in Plugins und Themes. Die Zahlen des Sicherheitsdienstes Patchstack zeichnen ein deutliches Bild der Lage.
| Kennzahl | Wert | Quelle |
|---|---|---|
| Neue Schwachstellen 2025 im WordPress-Umfeld | 11.334 (plus 42 Prozent) | Patchstack |
| Anteil in Plugins, nicht im Kern | 91 Prozent | Patchstack |
| Mittlere Zeit bis zur ersten Massenausnutzung | nur 5 Stunden | Patchstack |
| Anmeldeversuche, die von Bots stammen | 94 Prozent | Cloudflare |
| Von Wordfence geblockte Angriffe 2024 | über 54 Milliarden | Wordfence |
Diese Werte stammen von Sicherheitsanbietern, die naturgemäß auf Bedrohungen blicken, doch die Größenordnung ist unstrittig. Entscheidend ist die Erkenntnis dahinter: Angriffe laufen vollautomatisch und blitzschnell. Eine neue Lücke wird oft binnen Stunden ausgenutzt, lange bevor viele Betreiber überhaupt vom Update erfahren. Den größten Hebel gegen diese Flut bietet ausgerechnet die simpelste Stelle der Seite.
Der Login ist die wichtigste Front
Die Anmeldemaske ist das Haupteinfallstor für automatisierte Angriffe. Bots probieren rund um die Uhr Passwörter durch, und jede schwache Kombination ist eine offene Tür. Drei Dinge bilden hier das Fundament: ein starkes Passwort, kein Benutzer namens admin und eine zweite Sicherheitsebene.
Vergeben Sie für jeden Zugang ein langes, einzigartiges Passwort und verwalten Sie es in einem Passwort-Manager. Löschen Sie den klassischen Benutzernamen admin, indem Sie ein neues Administratorkonto anlegen und das alte entfernen. Den wirksamsten Schutz bietet aber die Zwei-Faktor-Anmeldung, bei der zusätzlich zum Passwort ein Code abgefragt wird. Sie stoppt praktisch jeden automatisierten Login-Angriff. Diese Plugins sind dafür verbreitet:
| Plugin | Methoden | Hinweis |
|---|---|---|
| Two-Factor | App-Code, E-Mail, Hardware-Schlüssel | Schlank, vom WordPress-Kernteam gepflegt |
| WP 2FA | App-Code, E-Mail, Backup-Codes | Erzwingt 2FA gezielt für ganze Teams |
| Solid Security | E-Mail, App-Code, Passkeys | Besonders einsteigerfreundlich |
| miniOrange | 15 und mehr Verfahren | Gratis auf drei Benutzer begrenzt |
Als praktischer Standard genügt eine App wie Google Authenticator, die einen wechselnden Code erzeugt. Hardware-Schlüssel und Passkeys sind die sicherste Variante, da sie sich nicht abphishen lassen. Eine SMS sollte nur die Notlösung sein, niemals der erste Faktor. Wichtig ist außerdem: Nutzen Sie nur ein einziges 2FA-Plugin, sonst geraten sich die Erweiterungen in die Quere. Neben der Anmeldung selbst lässt sich auch die Zahl der Versuche begrenzen. Ein Plugin wie Limit Login Attempts Reloaded sperrt eine Adresse nach wenigen Fehlversuchen für eine Weile aus und nimmt Bots so die Grundlage. Wer die Schnittstelle XML-RPC nicht braucht, sollte sie zudem abschalten, denn sie ist ein beliebtes Ziel für Angriffe.
WordPress härten
Ist der Login gesichert, geht es an das System selbst. Härten bedeutet, dem Angreifer möglichst wenig Angriffsfläche zu bieten. Die wichtigste Maßnahme überhaupt ist banal und wird trotzdem oft vernachlässigt: konsequente Updates für Kern, Plugins und Themes. Ungenutzte Erweiterungen gehören gelöscht, denn auch ein deaktiviertes Plugin kann eine Lücke sein.
Daneben gibt es eine Reihe technischer Stellschrauben, die in der Konfiguration ansetzen:
- Den Datei-Editor im Backend abschalten, damit ein eingedrungener Angreifer nicht direkt Code ausführen kann.
- Die Dateirechte korrekt setzen, üblich sind 644 für Dateien und 755 für Verzeichnisse, die zentrale wp-config.php noch strenger.
- Die Ausführung von PHP im Upload-Verzeichnis unterbinden, ein häufiges Versteck für eingeschleusten Schadcode.
- Sicherheits-Header setzen, die den Browser anweisen, nur HTTPS zu nutzen und Angriffe wie Clickjacking zu erschweren.
- Nur Plugins und Themes aus vertrauenswürdigen Quellen installieren, niemals raubkopierte Versionen.
Gerade der letzte Punkt ist heikel, denn raubkopierte Plugins enthalten fast immer versteckte Hintertüren. Eine populäre Maßnahme verdient dagegen einen kritischen Blick.
Obscurity ist kein echter Schutz
Viele Ratgeber empfehlen, die Login-Adresse zu verstecken, das Datenbank-Präfix zu ändern oder die WordPress-Version zu verbergen. Diese Tricks folgen dem Prinzip, durch Verschleierung sicherer zu werden. Sicherheitsexperten von Wordfence bis Patchstack sind sich jedoch einig: Das ersetzt keine echte Sicherheit.
Der Grund ist einfach. Angriffe laufen automatisiert und probieren ohnehin alles durch, ein geändertes Präfix hält eine Datenbank-Attacke nicht auf. Solche Kniffe können den Bot-Lärm und die Serverlast etwas senken, mehr aber nicht. Als dünne Zusatzschicht sind sie in Ordnung, als alleinige Maßnahme gefährlich. Die echte Arbeit leisten Updates, starke Anmeldung und eine Firewall, und für Letztere gibt es spezialisierte Plugins.
Das richtige Security-Plugin wählen
Ein gutes Sicherheits-Plugin bündelt Firewall, Malware-Scanner und Login-Schutz an einer Stelle. Die Auswahl ist groß, und welches passt, hängt von Technikkenntnis, Hosting und Budget ab. Eine wichtige Regel vorab: Betreiben Sie niemals zwei Firewall-Plugins parallel, das führt zu Konflikten.
| Plugin | Stärke | Für wen |
|---|---|---|
| Wordfence | Stärkste Gratis-Version mit Firewall und Scanner | Eigener Server, technisch Versierte |
| Sucuri | Cloud-Firewall, entlastet den Server, Schutz vor Ãœberlastung | Shops und Seiten mit viel Verkehr |
| Solid Security | Sehr einfache Einrichtung, starker Login-Schutz | Einsteiger und kleine Unternehmen |
| All-In-One Security | Großzügige Gratis-Version, leichtgewichtig | Blogs und kleine Projekte |
| MalCare | Scan in der Cloud ohne Serverlast, Bereinigung per Klick | Günstiges Hosting, Agenturen |
Eine Firewall arbeitet entweder direkt in WordPress oder als vorgelagerter Cloud-Dienst, der Angriffe schon vor dem Server abfängt. Für die meisten Seiten reicht ein gut konfiguriertes Plugin, Shops und große Auftritte profitieren von einer zusätzlichen Cloud-Lösung wie Cloudflare. Doch selbst die beste Verteidigung kann versagen, und für diesen Fall braucht es einen Plan.
Der Notfallplan, wenn es passiert
Anzeichen für einen gehackten Auftritt gibt es viele: unerklärliche Weiterleitungen auf fremde Seiten, plötzlicher Spam, eine Warnung von Google in den Suchergebnissen, unbekannte Administratorkonten oder fremde Dateien im Verzeichnis. Wer so etwas bemerkt, sollte ruhig und in der richtigen Reihenfolge vorgehen:
- Die Seite in den Wartungsmodus schalten, um Besucher und Ranking zu schützen.
- Ein Backup des befallenen Standes als Beweismittel sichern, aber nicht wiederherstellen.
- Alle Passwörter ändern, von WordPress über die Datenbank bis zum Hosting, und die Sicherheitsschlüssel neu erzeugen.
- Die Seite gründlich scannen, und zwar Dateien und Datenbank, denn Hintertüren verstecken sich oft in den Einstellungen.
- Aus einem sauberen Backup von vor dem Angriff wiederherstellen oder die Seite manuell bereinigen.
- Kern, Plugins und Themes aus den Originalquellen neu installieren und nach versteckten Hintertüren suchen.
- Die Seite härten, dann bei Google über die Search Console eine erneute Überprüfung beantragen.
- Zwei bis drei Tage auf eine erneute Infektion achten.
Der am häufigsten übersehene Schritt ist das Scannen der Datenbank. Wird eine Hintertür dort übersehen, kehrt die Schadsoftware immer wieder zurück. Bleibt der Einfallsweg unklar oder sind Kundendaten betroffen, sollten Sie professionelle Hilfe holen. Damit es aber gar nicht so weit kommt, hilft eine klare Rangfolge der Schutzmaßnahmen.
Maßnahmen nach Aufwand und Wirkung
Nicht alles ist gleich dringend. Wer mit den schnellen, wirkungsvollen Schritten beginnt, hat den größten Teil des Risikos schon abgedeckt.
| Maßnahme | Aufwand | Wirkung |
|---|---|---|
| Kern, Plugins und Themes aktualisieren | gering | sehr hoch |
| Automatische, externe Backups | gering | sehr hoch |
| Zwei-Faktor-Anmeldung erzwingen | gering | sehr hoch |
| Anmeldeversuche begrenzen | gering | hoch |
| Dateirechte und Datei-Editor härten | mittel | mittel bis hoch |
| Security-Plugin einrichten und konfigurieren | mittel | hoch |
| Cloud-Firewall ergänzen | höher | hoch |
Zum schnellen Abhaken die wichtigsten Punkte einer gut gesicherten Seite:
- Alles aktuell, ungenutzte Plugins und Themes gelöscht.
- Getestete, externe Backups laufen automatisch.
- Starke, einzigartige Passwörter und kein admin-Konto.
- Zwei-Faktor-Anmeldung für alle wichtigen Zugänge aktiv.
- Ein Security-Plugin ist installiert und vor allem konfiguriert.
- HTTPS ist erzwungen, die Dateirechte stimmen.
Der letzte Punkt der Liste verdient Betonung: Ein Security-Plugin, das nur installiert, aber nie eingerichtet wurde, schützt fast nichts. Über die reine Technik hinaus hat das Thema auch eine rechtliche und eine aktuelle Seite.
Pflicht und neue Gefahren 2026
Sicherheit ist nicht nur Kür, sondern Pflicht. Die Datenschutz-Grundverordnung verlangt in Artikel 32 geeignete technische Schutzmaßnahmen für personenbezogene Daten, und dazu zählen starke Anmeldung, Zugriffskontrolle und Backups. Kommt es zu einer Datenpanne, etwa einem Hack mit Zugriff auf Kundendaten, muss diese in der Regel binnen 72 Stunden der Aufsichtsbehörde gemeldet werden.
Zugleich verändern sich die Angriffe. Zwei Entwicklungen prägen das Jahr 2026 besonders:
- Künstliche Intelligenz beschleunigt Angriffe und erzeugt unsicheren Code. Schnell zusammengeklickte Plugins enthalten häufiger Lücken, ein Fall um das Plugin AI Engine betraf über 100.000 Seiten.
- Angriffe auf die Lieferkette nehmen zu. Kriminelle kauften gezielt Dutzende Plugins auf und bauten heimlich Hintertüren ein, die später aktiviert wurden, sodass selbst ein scheinbar normales Update zur Gefahr wurde.
Hinzu kommt der EU Cyber Resilience Act, dessen Meldepflichten für Hersteller ab September 2026 greifen und auch kommerzielle Plugins betreffen. Das alles unterstreicht eine einfache Wahrheit: Absolute Sicherheit gibt es nicht, aber gepflegte Updates, eine starke Anmeldung und regelmäßige Backups halten den allermeisten Angriffen stand. Die genannten rechtlichen Hinweise sind dabei eine Einordnung, keine Rechtsberatung.
Wie sichern Sie Ihre Seite ab?
Wurde eine Ihrer Seiten schon einmal gehackt, und wie haben Sie reagiert? Schreiben Sie in die Kommentare, welches Security-Plugin Sie nutzen und welche Maßnahme sich für Sie am meisten gelohnt hat. Wenn Sie bei einem Schritt wie der Zwei-Faktor-Anmeldung oder den Dateirechten unsicher sind, fragen Sie ruhig konkret nach, oft hilft die Antwort gleich mehreren Lesern weiter.
faktor angriffe wordpress notfallplan anmeldung automatisierter
Webung: Hier bekommen Sie PHP fähigen Webspace der mit Ökostrom betrieben wird ab bereits 2 Euro/ Monat für ihre Homepage. Zusätzlich ist eine eigene Internetadresse mit enthalten.
Neusten News in der Kategorie "Webmaster"
| • Website umziehen 2026: ohne Ausfall und Ranking-Verlust Ein Hosting-Wechsel kann die Seite tagelang lahmlegen oder das Google-... |
| • E-Mail-Zustellbarkeit 2026: Raus aus dem Spam-Ordner Bestellbestätigungen, Newsletter und Kontaktmails landen plötzlich im ... |
| • Website-Backups 2026: Die Strategie gegen Datenverlust Ein Hack, ein fehlgeschlagenes Update, ein Serverausfall, und die Seit... |
| • Cookie-Banner 2026: Was jetzt wirklich Pflicht ist Cookie-Banner verschwinden 2026 doch nicht. Welche Regeln gelten, welc... |
| • Core Web Vitals 2026: Was beim Ranking wirklich zählt Mehr als vier von zehn Websites fallen bei Googles Core Web Vitals dur... |
| • NIS2 in Deutschland: Wer betroffen ist und was gilt Seit Dezember 2025 gilt in Deutschland das NIS2-Gesetz, und zwar ohne ... |
| • Passkeys statt Passwörter: Ratgeber für Webmaster Passwörter gelten als das schwächste Glied der Sicherheit. Passkeys so... |
| • CVE-2026-54420: LiteSpeed-cPanel-Lücke wird ausgenutzt Eine kritische Lücke im LiteSpeed-Plugin für cPanel wird bereits aktiv... |
| • Neuer KI-Bericht in der Google Search Console erklärt Seit Juni 2026 zeigt die Google Search Console endlich, wie oft Ihre S... |
| • llms.txt: Hype oder Pflicht für SEO und Webmaster? Kaum eine Datei wurde 2025 so gehypt wie llms.txt. Doch eine Analyse v... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.