Warum WordPress Sicherheit kein Nice-to-have ist
WordPress ist das beliebteste Content-Management-System der Welt – und damit auch ein beliebtes Ziel für Hacker. Jeden Tag werden Tausende WordPress-Seiten attackiert. Die gute Nachricht: Die meisten Angriffe lassen sich mit den richtigen Sicherheitsmassnahmen verhindern.
Egal ob Firmenwebsite, Onlineshop oder Blog – wer WordPress nutzt, sollte frühzeitig auf Sicherheit setzen. Das spart nicht nur Ärger und Kosten, sondern schützt auch Vertrauen und SEO-Rankings.
WordPress, Plugins und Themes aktuell halten
Regelmässige Updates sind der erste und wichtigste Schritt für eine sichere WordPress-Seite. Viele Angriffe basieren auf bekannten Schwachstellen – die durch Updates längst behoben wären.
Das solltest du regelmässig aktualisieren:
- WordPress Core
- Plugins & Themes (auch inaktiv!)
- PHP-Version (via Hosting)
Loginbereich schützen – gegen Brute-Force-Angriffe & Co.
Der Loginbereich ist eine der häufigsten Angriffspunkte. Ein schwaches Passwort oder ein Standardnutzername wie „admin“ kann fatale Folgen haben.
Empfohlene Massnahmen:
- Eigener Benutzername, kein „admin“
- Starkes Passwort mit Sonderzeichen
- Zwei-Faktor-Authentifizierung (z. B. via Plugin wie WP 2FA)
- Login-Versuche begrenzen (z. B. mit Limit Login Attempts Reloaded)
Die besten Sicherheitsplugins für WordPress
Ein gutes Sicherheitsplugin schützt in mehreren Bereichen – vom Login-Schutz über Malware-Scan bis zur Firewall.
Bewährte Plugins:
- Wordfence Security – sehr umfassend, mit Firewall
- iThemes Security – einfache Einrichtung, viele Features
- WP Cerber Security – stark in Anti-Spam & Login-Schutz
Wichtig: Nur ein Sicherheitsplugin gleichzeitig aktivieren – sonst kommt es zu Konflikten.
Backups erstellen – automatisch und regelmässig
Keine Sicherheitsstrategie ohne Backup. Denn wenn wirklich etwas passiert, ist ein vollständiges, aktuelles Backup die Lebensversicherung deiner Website.
Empfohlene Plugins:
- UpdraftPlus – einfach, mit Cloud-Anbindung
- BackWPup – viele Speicherorte möglich
- BlogVault – auch für grössere Sites geeignet
Zusätzliche Sicherheitsmassnahmen für Profis
Neben den Basics gibt es weitere Punkte, die deine Seite noch robuster machen:
- SSL-Zertifikat aktivieren (https)
- Verzeichnisschutz via .htaccess oder Hosting
- Verzeichnisse wie /wp-admin begrenzen
- Schreibrechte für Dateien korrekt setzen (755/644)
- REST API & XML-RPC deaktivieren, wenn nicht gebraucht
Wer seine Website nicht absichert, riskiert Datenverlust, Hackerzugriffe oder eine Abstrafung durch Google. In diesem Abschnitt lernst du Schritt für Schritt, wie du dein WordPress-System mit einfachen, aber effektiven Massnahmen deutlich sicherer machst – inklusive konkreter Codebeispiele für .htaccess, robots.txt und Security Header.
Zugriff auf sensible Dateien mit .htaccess verhindern
Die .htaccess-Datei ist ein mächtiges Werkzeug auf Apache-Servern. Du kannst damit den Zugriff auf besonders sensible Dateien wie wp-config.php oder die .htaccess selbst unterbinden.
Beispiel: Zugriff blockieren
# Schutz der wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# Schutz der .htaccess-Datei selbst
<files .htaccess>
order allow,deny
deny from all
</files>
Crawling mit robots.txt gezielt einschränken
Die robots.txt dient dazu, Suchmaschinen-Crawler gezielt von sensiblen Pfaden wie /wp-admin/ fernzuhalten. Sie erhöht nicht direkt die Sicherheit, ist aber ein zusätzliches Mittel zur Strukturkontrolle.
Beispiel: Standard-Konfiguration
User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /cgi-bin/
Allow: /wp-admin/admin-ajax.php
Sitemap: https://deine-domain.ch/sitemap_index.xml
HTTP-Sicherheits-Header über .htaccess setzen
Mit sogenannten Security Headern kannst du das Verhalten des Browsers beeinflussen und viele bekannte Angriffsarten wie XSS oder Clickjacking vorbeugen. Diese Header lassen sich über die .htaccess aktivieren.
Beispiel: Sichere Header-Konfiguration
<IfModule mod_headers.c>
Header set X-Content-Type-Options "nosniff"
Header always append X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Content-Security-Policy "default-src 'self';"
</IfModule>
XML-RPC-Schnittstelle deaktivieren
Die Datei xmlrpc.php ermöglicht entfernten Zugriff auf deine Seite – etwa über Apps oder externe Dienste. Wird diese Schnittstelle nicht genutzt, sollte sie blockiert werden, da sie oft Ziel von Brute-Force-Angriffen ist.
Beispiel: Zugriff per .htaccess sperren
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Alternativ kannst du auch ein Plugin wie Disable XML-RPC verwenden, das diese Funktion mit wenigen Klicks deaktiviert.
Sicherheit für WordPress – ein Muss, kein Extra
Sicherheit ist keine einmalige Aktion, sondern ein kontinuierlicher Prozess. Mit gezielten .htaccess-Regeln, der richtigen robots.txt, durchdachten Security Headern und dem Blockieren ungenutzter Funktionen wie XML-RPC kannst du viele Risiken deutlich minimieren. Ergänze diese Massnahmen durch regelmässige Backups, sichere Passwörter und aktuelle Plugins – so bleibt deine Website stabil, vertrauenswürdig und geschützt.
Mit der richtigen Kombination aus Updates, Login-Schutz, Sicherheitsplugins und regelmässigen Backups lässt sich WordPress sehr gut absichern. Die Investition an Zeit oder Budget ist vergleichsweise klein – der Schaden bei einem erfolgreichen Angriff hingegen oft enorm.
👉 Du willst deine WordPress-Seite professionell absichern lassen?
Kontaktiere unser Team – wir unterstützen dich bei Analyse, Absicherung und Wartung.
Häufige Fragen zur WordPress Sicherheit
Ist WordPress generell unsicher?
Wie oft sollte ich Backups machen?
Brauche ich ein Sicherheitsplugin?
Wie kann ich feststellen, ob meine Seite bereits gehackt wurde?
Sollte ich auch das WordPress-Login absichern?
