Unsere Hauptkriterien: Benutzerfreundlichkeit, Erweiterbarkeit, Flexibilität, Kosteneffizienz und regelmäßige Updates. Um die Website sicher und störungsfrei zu betreiben, bedarf es jedoch weiterer Punkte, die man beachten sollte, denn WordPress ist ein beliebtes Angriffsziel für Brute-Force-Versuche, SQL-Injections und Schadcode.
Mit den folgenden einfachen Maßnahmen lässt sich die Sicherheit Ihrer Seite deutlich erhöhen.
Regelmäßige Updates
Regelmäßige Updates sind unerlässlich, um Sicherheitslücken konsequent zu schließen. Halten Sie daher sowohl den WordPress-Core als auch alle eingesetzten Themes und Plugins stets auf dem neuesten Stand. Automatische Updates für kleinere, sicherheitsrelevante Patches lassen sich in der Regel bedenkenlos aktivieren. Bei umfangreicheren Funktions-Updates empfiehlt es sich jedoch, zunächst in einer Testumgebung zu prüfen, ob es zu Konflikten mit anderen Erweiterungen kommt. Ein regelmäßiger Blick ins Dashboard zeigt Ihnen unverzüglich, wenn Handlungsbedarf besteht.
Sorgfältige Plugin-Auswahl
Installieren Sie nur die Plugins, die Sie wirklich benötigen, und prüfen Sie deren Herkunft sorgfältig: Wer ist der Entwickler, wie häufig wird das Plugin aktualisiert und wie fallen die Nutzerbewertungen im offiziellen Verzeichnis (wordpress.org/plugins) aus? Achten Sie darauf, nicht mehrere Erweiterungen mit ähnlichen Funktionen zu betreiben, da sich diese gegenseitig beeinträchtigen und so zusätzliche Sicherheitslücken entstehen können. Setzen Sie auf renommierte Quellen und meiden Sie „geschenkte“ Premium-Erweiterungen aus dubiosen Download-Portalen.
Starke Zugangsdaten und Zwei-Faktor-Authentifizierung
Ein sicherer Administrator-Benutzername, der nicht „admin“ oder leicht zu erraten ist, erschwert Angreifern den Zugriff. Ergänzen Sie diesen durch ein möglichst langes, komplexes Passwort mit Sonderzeichen und Zahlen; die integrierte Anzeige der Passwortstärke hilft dabei. Aktivieren Sie zusätzlich eine Zwei-Faktor-Authentifizierung, zum Beispiel per Authenticator-App oder E-Mail-Code. Notfall-Wiederherstellungscodes sollten Sie ausdrucken und an einem sicheren Ort verwahren, um sich nicht selbst auszusperren.
Benutzerrechte einschränken
Vergeben Sie nur so viele Rechte, wie für die jeweilige Rolle nötig sind. Administratoren sollten ausschließlich technische Verwaltungsaufgaben übernehmen, während Autoren und Redakteure auf das Erstellen und Bearbeiten von Inhalten beschränkt bleiben. Entfernen Sie verwaiste Benutzerkonten sowie ungenutzte Themes und Plugins umgehend, um potenzielle Angriffsflächen zu minimieren.
Brute-Force-Schutz und Login-Absicherung
Da das standardmäßige Loginformular unbegrenzt viele Anmeldeversuche zulässt, empfiehlt sich der Einsatz eines Begrenzungs-Plugins wie „Limit Login Attempts Reloaded“. Damit lassen sich fehlgeschlagene Versuche innerhalb eines definierten Zeitraums blockieren. Ergänzend dazu können Sie mit einem Tool wie „WPS Hide Login“ die URL des Anmeldeformulars ändern und so automatisierten Angriffen einen weiteren Stein in den Weg legen. Die XML-RPC-Schnittstelle sollte bei Nichtgebrauch deaktiviert oder ebenfalls abgesichert werden.
Server- und Verbindungs-Sicherheit
Ein sicherer Server mit aktueller PHP-Version sowie Webserver-Software (Apache, Nginx) ist die Voraussetzung für eine robuste Installation. Achten Sie bei Ihrem Webhoster darauf, dass dieser regelmäßige System-Updates durchführt und HTTPS-Zertifikate (z. B. über Let’s Encrypt) ohne Aufpreis anbietet. Nutzen Sie für den Datei-Transfer unbedingt SFTP statt FTP, damit Anmeldedaten und übertragene Dateien verschlüsselt bleiben. Legen Sie jede WordPress-Instanz in einer eigenen Datenbank an und verwenden Sie ein individuelles Tabellenpräfix, um SQL-Injection-Angriffe zusätzlich zu erschweren.
Automatisierte Sicherheitsscans
Viele Sicherheits-Plugins enthalten integrierte Scanner, die den WordPress-Core sowie alle installierten Themes und Plugins auf bekannte Schwachstellen und versteckten Schadcode prüfen. Planen Sie regelmäßige Scans ein und setzen Sie die empfohlenen Maßnahmen um, sobald eine Schwachstelle entdeckt wird. So agieren Sie proaktiv, bevor Angreifer mögliche Lücken ausnutzen können.
Backup und Wiederherstellung
Trotz aller Sicherheitsvorkehrungen kann immer etwas schiefgehen. Sorgen Sie deshalb für regelmäßige Backups von Datenbank und Dateien. Plugin-Lösungen wie BackWPup oder UpdraftPlus erledigen das komfortabel im Hintergrund. Möchten Sie ganz ohne zusätzliche Erweiterungen auskommen, können Sie per phpMyAdmin die Datenbank exportieren und unter „Werkzeuge → Export“ ein XML-Archiv aller Inhalte anlegen. Ergänzend sichern Sie lokal das Verzeichnis wp-content sowie die Konfigurationsdatei wp-config.php via SFTP.
Fazit
Diese Maßnahmen bilden eine robuste Grundlage für eine sichere WordPress-Website. Halten Sie Ihr System aktuell, prüfen Sie regelmäßig den Website-Zustand im Dashboard und passen Sie Ihre Sicherheitsstrategie laufend an – so bleibt Ihre Seite zuverlässig geschützt und Sie können sich ganz auf das Wesentliche konzentrieren: Ihre Inhalte.
Falls Sie Hilfe bei der Sicherheit Ihrer Website benötigen, kommen Sie gerne auf uns zu – wir unterstützen Sie dabei.