WordPress-Sicherheitscheckliste: Schritt-für-Schritt-Anleitung zum Schutz Ihrer Website

Die mittlere Zeitspanne von der Veröffentlichung einer WordPress-Schwachstelle bis zu automatisierten Angriffen auf Websites im gesamten Web beträgt jetzt 5 Stunden. Nicht Tage. Fünf Stunden.

Das ist kein theoretisches Risiko. Allein im Jahr 2025 entdeckten Forscher 11.334 neue Schwachstellen im WordPress-Ökosystem – ein Sprung von 42 % gegenüber dem Vorjahr.

Etwa 13.000 WordPress-Websites werden jeden Tag kompromittiert. Wenn ein kleines Unternehmen betroffen ist, betragen die durchschnittlichen Wiederherstellungskosten 14.500 US-Dollar. Das beinhaltet Malware-Entfernung, Notfall-Entwicklerzeit und die monatelange Arbeit, um eingefügte Spam-Links und Google-Strafen rückgängig zu machen.

Ich verwalte seit Jahren WordPress-Websites und habe jeden Schritt in diesem Leitfaden auf meinen eigenen Installationen durchlaufen. Einige dauern fünf Minuten. Einige sind aufwendiger. Alle sind es wert, bevor etwas schiefgeht.

Hier ist, was Sie aus diesem Leitfaden mitnehmen werden:

• Plugins sind die eigentliche Bedrohung. 91 % der WordPress-Schwachstellen stecken in Plugins und Themes, nicht im Core. Sie aktuell zu halten und die nicht verwendeten zu entfernen, ist Ihre wichtigste Gewohnheit.
• Eine WAF allein wird Sie nicht retten. Standard-Web Application Firewalls blockierten 2025 nur 12 % der WordPress-spezifischen Angriffe. Sie brauchen Schichten, nicht ein Werkzeug.
• Backups sind Ihr Rückhalt, wenn alles andere fehlschlägt. Ein Backup, das Sie in Minuten wiederherstellen können, ändert die tatsächlichen Kosten eines Hacks.
• Das 5-Stunden-Ausnutzungsfenster ist real. Sobald eine Schwachstelle öffentlich ist, beginnen automatisierte Angriffe schnell. Patchen kann nicht warten.
• 46 % der Schwachstellen haben keinen Entwickler-Patch, wenn sie offengelegt werden. Updates sind wichtig, aber Monitoring ist genauso wichtig.
• Die Wiederherstellung nach einem Hack hat eine bestimmte Reihenfolge. Die meisten Checklisten überspringen dies. Wir behandeln es Schritt für Schritt, einschließlich, wie Sie wieder hineinkommen, wenn Sie aus wp-admin ausgesperrt sind.

Inhaltsverzeichnis

Warum ist WordPress-Sicherheit wichtig?

Eine gehackte Website ist nicht nur ein technisches Problem. Es ist ein Geschäftsproblem.

Wenn Angreifer eine WordPress-Website kompromittieren, injizieren sie typischerweise Spam-Links, leiten Besucher um, stehlen Benutzerdaten oder installieren Backdoors für zukünftigen Zugriff.

Google kann die Website als gefährlich markieren. Ihr Hosting-Anbieter kann sie offline nehmen. Wenn Sie einen E-Commerce-Shop betreiben, könnten Kundendaten gefährdet sein.

Im Jahr 2025 wurden über 11.000 neue WordPress-Schwachstellen verzeichnet. Das sind mehr als 30 pro Tag.

Die durchschnittlichen Wiederherstellungskosten für kleine Unternehmen betragen 14.500 US-Dollar, und diese Zahl beinhaltet nicht die monatelange Arbeit, die erforderlich ist, um das Suchranking wiederherzustellen, nachdem eingeschleuste Spam-Links eine manuelle Strafe von Google ausgelöst haben.

Der Ruf Ihrer Website, das Vertrauen Ihrer Besucher und Ihr organischer Traffic stehen auf dem Spiel.

Ihre WordPress-Sicherheitscheckliste

Als Anfänger denken Sie vielleicht: Wo fange ich an?

Ich habe eine vollständige WordPress-Sicherheitscheckliste für Sie erstellt! Gehen Sie einfach jeden Schritt durch und am Ende haben Sie eine vollständig sichere Website.

Schnelle WordPress-Sicherheitscheckliste:

• Sicheren Webhost finden: Wählen Sie Hosting mit starken Sicherheitsprotokollen, SSL-Zertifikaten, Firewalls und regelmäßigen Backups
• Sichern Sie Ihre Website: Verwenden Sie Plugins wie Duplicator, um Cloud-Backups zu automatisieren und Ihre Daten zu schützen
• Software aktualisieren: Halten Sie WordPress-Kern, Plugins und Themes auf dem neuesten Stand, um Schwachstellen zu schließen
• Nicht verwendete Plugins und Themes entfernen: Löschen Sie inaktive Software, um potenzielle Sicherheitslücken zu beseitigen
• Starke Passwörter verwenden: Erstellen Sie eindeutige, komplexe Passwörter mit gemischten Zeichen und vermeiden Sie gängige Phrasen
• Admin-Zugriff aktualisieren: Beschränken Sie Admin-Benutzer, entfernen Sie inaktive Konten und weisen Sie minimale Berechtigungen zu
• WordPress-Anmeldeseite ausblenden: Passen Sie Ihre Anmelde-URL an, um Brute-Force-Angriffe zu verhindern
• Benutzeraktivität überwachen: Verfolgen Sie Benutzeraktionen, um Sicherheitsverletzungen und unerwünschte Änderungen zu identifizieren
• Ein WordPress-Sicherheits-Plugin installieren: Verwenden Sie Tools wie Sucuri für Malware-Scans und Sicherheitsbenachrichtigungen
• Web Application Firewall (WAF) verwenden: Blockieren Sie bösartigen Datenverkehr mit DNS- oder anwendungsbasierten Firewalls
• Nach Malware suchen: Überprüfen Sie Ihre Website regelmäßig mit Sicherheit-Plugins auf Viren und Bedrohungen
• Zu SSL/HTTPS wechseln: Aktivieren Sie SSL-Zertifikate, um Daten zwischen Benutzern und Ihrem Server zu verschlüsseln
• Benutzernamen ändern: Vermeiden Sie vorhersehbare Benutzernamen wie „admin“, um Anmeldeschwachstellen zu reduzieren
• Dateiberechtigungen aktualisieren: Legen Sie die richtigen Berechtigungen fest (755 für Ordner, 644 für Dateien), um den Zugriff zu steuern
• Dateibearbeitung deaktivieren: Schalten Sie den WordPress-Dateieditor aus, um zu verhindern, dass Hacker bösartigen Code einschleusen
• PHP-Dateiausführung deaktivieren: Blockieren Sie die Ausführung von PHP-Dateien in Upload-Verzeichnissen, um Angriffe zu stoppen
• Anmeldeversuche begrenzen: Beschränken Sie die Anzahl der Anmeldeversuche von einer einzelnen IP-Adresse
• Zwei-Faktor-Authentifizierung verwenden: Fügen Sie einen zusätzlichen Verifizierungsschritt mit mobilen Codes für die Anmeldesicherheit hinzu
• WordPress-Datenbankpräfix ändern: Ersetzen Sie das Standardpräfix „wp_“, um die Benennung von Tabellen zu erschweren
• Admin- und Anmeldeseiten mit Passwort schützen: Fügen Sie eine zusätzliche Passwort-Ebene hinzu, bevor Benutzer den Anmeldebildschirm erreichen
• Verzeichnisindizierung und -durchsuchung deaktivieren: Verbergen Sie Verzeichnisinhalte, um Dateien vor der Anzeige zu schützen
• XML-RPC deaktivieren: Schalten Sie diese API aus, um zu verhindern, dass Hacker Schwachstellen beim Raten von Passwörtern ausnutzen
• Inaktive Benutzer abmelden: Melden Sie inaktive Benutzer automatisch ab, um Session-Hijacking zu verhindern
• WordPress-Version ausblenden: Entfernen Sie Versionsnummern aus dem Quellcode, um gezielte Angriffe zu vermeiden
• Website nach Hacks wiederherstellen: Verwenden Sie Backup-Tools mit Notfallwiederherstellung (Duplicator Pro), um kompromittierte Websites schnell wiederherzustellen

1. Finden Sie einen sicheren Webhoster

Die Wahl eines Webhostinganbieters ist mehr als nur ein Blick auf den Preis. Sie brauchen einen Hoster, der sich für Sicherheit einsetzt.

Suchen Sie nach einem Webhoster, der die neuesten Sicherheitsprotokolle anbietet. Seine Server sollten gewartet und auf dem neuesten Stand sein. Es ist auch großartig, wenn er eine starke Firewall hat und SSL-Zertifikate anbietet. 

Und schließlich finden Sie heraus, ob der Webhoster regelmäßige Backups und Website-Wiederherstellungen anbietet. Sie hoffen, dass Sie dieses Sicherheitsnetz nie brauchen werden, aber es ist gut, eines zu haben, nur für den Fall.

Wenn Sie derzeit einen Shared-Hosting-Plan haben, möchten Sie vielleicht auf Managed WordPress Hosting upgraden. Bei einem Shared-Host teilen Sie Ressourcen mit anderen Websites. Wenn jemand auf Ihrem Server eine Sicherheitslücke hat, könnte dies auch Ihre Website beeinträchtigen.

Aber seriöse Shared-Hoster wie Bluehost, Hostinger und SiteGround schützen Sie vor vielen grundlegenden Sicherheitsproblemen.

Sobald Sie einen sicheren WordPress-Host gefunden haben, erfahren Sie hier , wie Sie Ihre Website auf den neuen Server migrieren. 

2. Sichern Sie Ihre Website

Wenn Sie Ihre Website zum ersten Mal starten, werden Sie wahrscheinlich begeistert sein, neue Blogbeiträge zu schreiben oder Produkte zu verkaufen. Sie müssen Ihre Website jedoch auch regelmäßig sichern.

Backups sind eine Versicherungspolice für Ihre digitalen Inhalte. Sie ermöglichen es Ihnen, Ihre Website im Falle eines Problems in ihren ursprünglichen Zustand zurückzuversetzen.

Duplicator ist ein Backup-Plugin, das die Erstellung von Kopien Ihrer Website erleichtert. Es unterstützt automatische Backups und Cloud-Speicher, sodass Sie niemals Daten verlieren.

Es ist oft am besten, Backups auf einem separaten Cloud-Server zu speichern, um zusätzliche Sicherheit zu gewährleisten. Auf diese Weise gehen Ihre Backups nicht verloren, wenn ein Serverproblem auftritt.

Mit Duplicator können Sie Ihre Website in der Cloud sichern. Verbinden Sie einfach Ihren bevorzugten Cloud-Speicherdienst und wählen Sie ihn aus, wenn Sie ein Backup erstellen. Es verfügt sogar über einen eigenen benutzerdefinierten Cloud-Speicher, der für WordPress-Backups entwickelt wurde: Duplicator Cloud.

Sie können anpassen, welche Daten im Backup gespeichert werden. So können Sie mühelos nur Ihre Datenbank, Ihre Mediathek oder andere Daten sichern, wenn Sie dies benötigen.

Ihre Website wird ständig mit neuen Inhalten aktualisiert, daher müssen Sie sie regelmäßig sichern. Glücklicherweise ermöglicht Ihnen Duplicator, Backups zu automatisieren.

Durch die Einrichtung von Zeitplänen müssen Sie sich nie um manuelle Backups kümmern! Ihre Website ist ständig vor Problemen geschützt, da Sie sie bei Bedarf einfach zurücksetzen können.

Neben Duplicator gibt es viele andere Backup-Plugins, die Sie verwenden können. UpdraftPlus, Jetpack und BlogVault sind einige beliebte Optionen. 

3. Software aktualisieren

Software-Updates spielen eine entscheidende Rolle für die Sicherheit von WordPress. Sie fügen nicht nur zusätzliche Funktionen hinzu, sondern beheben auch potenzielle Schwachstellen. 

WordPress installiert kleinere Updates automatisch. Sie müssen jedoch größere Versionen manuell installieren. 

Finden Sie die Seite Updates und führen Sie alle Updates für Ihre Kernsoftware, Plugins und Themes durch.

Sicherheitsupdates erfolgen ständig, daher müssen Sie sie im Auge behalten. Zu Ihrer Bequemlichkeit können Sie sie auch automatisieren. 

Ich empfehle jedoch, neue Versionen von WordPress, Plugins und Themes zuerst auf einer Staging-Website zu testen. Dies hilft Ihnen, Softwarekonflikte zu vermeiden, die manchmal nach schlechten Updates auftreten.

4. Entfernen Sie ungenutzte Plugins und Themes

Die Bereinigung Ihrer Website kann ihr einen schönen Sicherheits-Boost geben. Es ist eine gute Idee, alle WordPress-Themes und Plugins zu entfernen, die Sie nicht aktiv nutzen. 

Dies liegt daran, dass Hacker veraltete Plugins und Themes verwenden können, um auf Ihre Website zuzugreifen. Durch das Löschen inaktiver Software härten Sie Ihre WordPress-Sicherheit ab. 

Brauchen Sie eine Faustregel? Wenn Sie es in den letzten sechs Monaten nicht benutzt haben, sagen Sie auf Wiedersehen. Es ist eine einfache Möglichkeit, Ihre WordPress-Site zu optimieren und ihre Sicherheit zu verbessern. 

5. Verwenden Sie starke Passwörter

Ein gutes Passwort sollte einzigartig, unvorhersehbar und nur Ihnen bekannt sein. Wir empfehlen eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Symbolen. 

Denken Sie daran, 'Passwort123' ist ein Anfängerfehler! Es ist, als würden Sie den Schlüssel zu Ihrem Haus unter der Fußmatte liegen lassen – praktisch eine Einladung für potenzielle Cyber-Bedrohungen zu einem Website-Besuch.

Bei Brute-Force-Angriffen versuchen Hacker oder Bots, Ihr Passwort zu erraten. Sie probieren beliebte Optionen aus, bis sie Erfolg haben. Je komplexer Ihr Passwort ist, desto besser. 

Vermeiden Sie außerdem die Verwendung von identifizierbaren Informationen, die sich auf Sie beziehen. Verwenden Sie nicht Ihren Namen, Ihr Geburtsdatum oder den Namen Ihres Haustieres (egal wie liebenswert es sein mag).

Versuchen Sie, nicht dasselbe Passwort für alle Ihre Websites und Benutzer zu verwenden. So wie Sie nicht denselben Schlüssel für Ihr Haus, Ihr Auto und Ihr Büro verwenden würden, sollten Sie Ihre digitalen Schlüssel variieren, um eine Sicherheitslücke zu vermeiden.

Erwägen Sie die Verwendung eines Passwortmanagers wie LastPass , um Ihre Passwörter sicher zu speichern. Er kann automatisch starke Optionen generieren und den Anmeldevorgang vereinfachen.

6. Admin-Zugriff einschränken

Wenn es um die Sicherheit von WordPress geht, ist die Aktualisierung Ihres Admin-Zugangs ein Muss. Dieser Schritt macht Ihre Website weniger anfällig für unerwünschte Eindringlinge oder Hacking-Versuche. 

Begrenzen Sie zunächst die Anzahl der Benutzer mit der Rolle „Administrator“. Mehrere Admin-Benutzer können ein Sicherheitsrisiko darstellen. Stellen Sie sicher, dass Sie nur wenige vertrauenswürdige Administratoren haben. 

Überprüfen Sie als Nächstes regelmäßig Ihre Benutzerliste und löschen Sie alle nicht mehr verwendeten Konten. Dies verringert das Risiko, dass ruhende Konten von Hackern ausgenutzt werden. 

Weisen Sie schließlich die am wenigsten notwendigen Berechtigungen für eine Benutzerrolle zu. Nicht jeder benötigt Admin-Zugriff.

Ein Benutzer sollte genügend Rechte haben, um seine Arbeit zu erledigen, aber nicht mehr. Dies minimiert die Möglichkeit von Schäden, falls dieses Konto gehackt wird.

Wenn Sie sich nicht sicher sind, welche Benutzer bestimmte Zugriffsrechte erhalten sollten, lesen Sie diese Anleitung zu WordPress-Benutzerrollen und -berechtigungen.

7. Verstecken Sie die WordPress-Anmeldeseite

Jeden Tag verwenden Sie die Anmeldeseite, um sich bei Ihrer WordPress-Website anzumelden. Alle WordPress-Websites haben Anmeldeseiten, die mit wp-admin oder wp-login enden. Böswillige Benutzer könnten also auf Ihre zugreifen und sie missbrauchen. 

Das Verstecken Ihrer WordPress-Anmeldeseite kann Ihre Website vor Hacking-Versuchen schützen. Wenn Hacker die Anmeldeseite nicht finden können, können sie keine Brute-Force-Angriffe starten, um Ihr Admin-Dashboard zu öffnen.

Einige Plugins können Ihnen dabei helfen, dies einfach zu erreichen, wie z. B. WPS Hide Login. Sie können Ihre Anmelde-URL einfach anpassen, sodass nur Sie wissen, wo sie sich befindet.

8. Überwachen Sie die Benutzeraktivität

Wenn Ihre Website viele Benutzer hat, könnte einer gehackt werden oder Anmeldedaten mit der falschen Person teilen. Wenn das Benutzerkonto über Admin-Zugriff verfügt, könnten Ihre Themes, Plugins oder Einstellungen geändert werden.

Um die Sicherheitslücke zu identifizieren, könnten Sie die Benutzeraktivität überwachen. Sie würden feststellen, welcher Benutzer die unerwünschte Änderung vorgenommen hat, und sie schnell von Ihrer Website entfernen.

Das Activity Log Plugin hilft Ihnen, Ihre WordPress-Benutzer im Auge zu behalten. Es bietet Ihnen ein umfassendes Protokoll darüber, was wann passiert ist.

Wenn doch einmal etwas passiert, können Sie das Protokoll nach Schweregrad der Aktivität, Benutzer und Datumsbereich filtern. Sie werden herausfinden, wie Sie Ihre Sicherheit härten können, damit Ihre Daten beim nächsten Mal sicherer sind.

Dies kann besonders nützlich sein, wenn Sie eine WordPress Multisite verwalten. Sie haben möglicherweise eine Menge verschiedener Website-Besitzer, Autoren, Redakteure und anderer Benutzer. Es ist wichtig zu wissen, welcher Benutzer genau eine Schwachstelle verursacht hat.

9. Installieren Sie ein WordPress-Sicherheit-Plugin

Sicherheits-Plugins tun genau das, was Sie erwarten – sie fügen Ihrer Website zusätzliche Sicherheit hinzu. Sie sind darauf ausgelegt, potenzielle Schwachstellen zu identifizieren und zu beheben. Zum Beispiel bieten sie regelmäßige Sicherheitsüberprüfungen, Firewall-Schutz und Spam-Filterung. 

Eines der besten WordPress-Sicherheits-Plugins ist Sucuri Security. Dieses Tool bietet Remote-Malware-Scans, Sicherheitsbenachrichtigungen und Lösungen nach einem Hack.

Mit Sucuri können Sie Ihre Sicherheit einfach härten. In den Härtungs-Einstellungen können Sie eine Firewall aktivieren, Plugin- und Theme-Editoren deaktivieren, Ihre WordPress-Version ausblenden und vieles mehr.

Dies ist eine anfängerfreundliche Möglichkeit, Ihre WordPress-Sicherheit zu verbessern. Außerdem gibt es eine kostenlose Version auf WordPress.org!

Wordfence ist eine weitere solide Option mit einer starken Firewall und einer großen Schwachstellendatenbank. Wählen Sie eine aus und verwenden Sie sie konsequent.

10. Verwenden Sie eine Web Application Firewall (WAF)

Eine Web Application Firewall (WAF) ist ein Tool, das den eingehenden Datenverkehr zu Ihrer Website überwacht und filtert. Sie hilft, Ihre WordPress-Site vor Bedrohungen wie SQL-Injection und Cross-Site-Scripting (XSS) zu schützen.

Eine Firewall kann viele gängige Cyber-Bedrohungen abwehren. Sie fungiert als Schutzbarriere zwischen Ihrer Website und dem gesamten eingehenden Datenverkehr und blockiert bösartige Anfragen.

Hier sind die verschiedenen Arten von Firewalls:

• DNS-Level-Firewall: sendet und wertet Datenverkehr über Cloud-Proxy-Server aus
• Anwendungs-Level-Firewall: Firewall-Plugins, die den Datenverkehr auswerten, sobald er Ihren Server erreicht

Sucuri bietet die einfachste Möglichkeit, eine Firewall auf Ihrer WordPress-Website einzurichten. Es ist ein so effektives Tool, dass es WPBeginner half, 450.000 Cyberangriffe abzuwehren in nur 3 Monaten.

Mit Sucuri vermeiden Sie Malware, DDoS-Angriffe, Brute-Force-Angriffe und andere Sicherheitsprobleme. 

11. Scannen Sie nach Malware

Das regelmäßige Scannen Ihrer Website auf Malware ist ein wichtiger Bestandteil der Aufrechterhaltung Ihrer WordPress-Sicherheit. Beliebte Plugins wie Wordfence und Sucuri können Ihnen bei dieser Aufgabe helfen. 

Diese Sicherheitstools sind speziell dafür konzipiert, potenzielle Bedrohungen auf Ihrer Website zu finden und zu beseitigen. Sie überwachen Ihre Website aktiv, alarmieren Sie schnell bei verdächtigen Aktivitäten und bieten Lösungen zur Entfernung.

Sucuri hat auch einen kostenlosen Malware-Scanner. Indem Sie die URL Ihrer Website eingeben, erfahren Sie, ob Viren vorhanden sind.

12. Wechseln Sie zu SSL/HTTPS

SSL (Secure Sockets Layer) ist ein Protokoll, das Daten zwischen dem Browser eines Benutzers und Ihrem Server verschlüsselt. Es erschwert es Cyberangreifern, Daten abzufangen und zu stehlen.

Wenn Sie SSL aktivieren, verwendet die URL Ihrer Website HTTPS (Hypertext Transfer Protocol Secure). Dies wird durch ein Schlosssymbol neben Ihrer Domain in einem Browserfenster angezeigt.

Um zu HTTPS zu wechseln, müssen Sie ein SSL-Zertifikat kaufen und auf Ihrem Server installieren. Viele Hosting-Anbieter bieten ein kostenloses SSL-Zertifikat über Let's Encrypt an. Stellen Sie danach sicher, dass Ihre WordPress-Website HTTPS in ihren Einstellungen und URLs verwendet. 

Wenn Sie noch kein SSL-Zertifikat haben, erfahren Sie hier, wie Sie eines einrichten!

13. Ändern Sie Ihren Benutzernamen

Die Verwendung von "admin" als Benutzername ist eine gängige Praxis, aber es ist einer der schwerwiegenden WordPress-Sicherheitsfehler, die Sie vermeiden sollten. Es gibt Angreifern die Hälfte Ihrer Anmeldedaten preis.

Um Ihre Website zu sichern, sollten Sie Ihren Benutzernamen in etwas weniger Vorhersehbares und Einzigartigeres ändern. 

Gehen Sie zu Ihrem WordPress-Dashboard und erstellen Sie einen neuen Benutzer mit Administratorrechten. Sobald Sie dies getan haben, melden Sie sich ab und wieder als neuer Administrator an.

Löschen Sie als Nächstes den alten „admin“-Benutzer. Stellen Sie sicher, dass alle Inhalte vom gelöschten Benutzer auf den neuen übertragen werden. So einfach ist das. 

14. Dateiberechtigungen aktualisieren

Dateiberechtigungen regeln, wer Ihre Dateien lesen, schreiben und ausführen darf. Falsch konfigurierte Berechtigungen könnten Einbrechern eine offene Tür bieten.

Hier sind die Einstellungen, die wir empfehlen würden:

• 755 für Ordner und Unterordner
• 644 für alle Dateien

Denken Sie daran, dass die Behebung von Datei- und Ordnerberechtigungen ohne technische Erfahrung komplex sein kann. Wenn Sie unsicher sind, ist es immer am besten, Ihren Hosting-Anbieter oder einen erfahrenen Entwickler zu konsultieren.

15. Dateibearbeitung deaktivieren

Das WordPress-Dashboard ermöglicht es Administratoren, die PHP-Dateien für Plugins und Themes zu ändern. Das kann hilfreich, aber auch gefährlich sein.

Wenn ein Hacker Zugriff auf Ihr Dashboard erhält, kann er den Dateieditor missbrauchen, um schädlichen Code in Ihre WordPress-Dateien einzuschleusen. Um diese Sicherheitsbedrohung zu vermeiden, sollten Sie die Dateibearbeitung deaktivieren, indem Sie Ihre wp-config.php-Datei anpassen.

Auch wenn dies technisch klingt, ist es tatsächlich ein einfacher Vorgang. Greifen Sie über FTP auf Ihre WordPress-Installation zu und suchen Sie die Datei wp-config.php. Öffnen Sie diese Datei und fügen Sie den folgenden Codeausschnitt hinzu: 

define( 'DISALLOW_FILE_EDIT', true );

Sobald Sie die Datei speichern, beginnen die aktualisierten Einstellungen sofort zu wirken und schützen vor schädlichem Code. 

Tun Sie dies nur, wenn Sie damit einverstanden sind, die Dateien Ihrer Website zu ändern. Wenn Sie unsicher sind, bitten Sie um fachkundige Hilfe. 

16. PHP-Dateiausführung deaktivieren

Die Deaktivierung der PHP-Dateiausführung in bestimmten WordPress-Verzeichnissen ist ein wichtiger Schritt zum Schutz Ihrer Website. Wenn dies nicht geschieht, öffnet es ein Tor für bösartige Angriffe. 

Hacker können diese Lücke ausnutzen, indem sie PHP-Dateien in Ihrem Upload-Ordner oder anderen Verzeichnissen bereitstellen. Diese Dateien können dann bösartigen Code ausführen und Ihre Website kompromittieren.

Um dieses Problem zu lösen, können Sie die PHP-Dateiausführung in allen Verzeichnissen deaktivieren, die sie nicht benötigen (wie z. B. /wp-content/uploads/). 

Öffnen Sie einen Texteditor und fügen Sie diesen Code ein:

<Files *.php>

deny from all

</Files>

Nennen Sie die Datei .htaccess und fügen Sie sie dem uploads-Ordner hinzu. 

17. Begrenzen Sie Anmeldeversuche

Wie ich bereits erwähnt habe, könnten Bots versuchen, auf Ihre Website zuzugreifen, indem sie sich immer wieder anmelden.  Um Ihre Website sicher zu halten, legen Sie eine Grenze fest, wie viele Anmeldeversuche von einer einzelnen IP-Adresse kommen dürfen.

Durch die Begrenzung der Anmeldeversuche verringern Sie die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs. Obwohl WordPress unbegrenzte Anmeldungen zulässt, können Sie mit einem Plugin wie Limit Login Attempts Reloaded eine Grenze festlegen.

Limit Login Attempts Reloaded blockiert eine IP-Adresse nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen. Sie können eine benutzerdefinierte Sperrzeit erstellen und automatisch E-Mails über neue Sperrungen erhalten. 

18. Verwenden Sie die Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) fügt Ihrer WordPress-Site eine zusätzliche Sicherheitsebene hinzu. Neben Ihrem Passwort benötigen Sie einen Verifizierungscode, der normalerweise an Ihr Mobiltelefon gesendet wird. 

Dieses Dual-Check-System erhöht die Sicherheit und macht es für Hacker schwierig, einzudringen. Selbst wenn sie Ihr Passwort knacken, benötigen sie immer noch den Verifizierungscode. 

WP 2FA ist ein Plugin, das schnell eine Zwei-Faktor-Authentifizierung auf Ihrer WordPress-Website einrichtet. Es generiert Anmeldecodes für Authentifizierungs-Apps wie Google Authenticator oder Authy. Benutzer geben einen Code zusammen mit ihrem Passwort ein.

Mit dieser Funktion können Hacker oder Bots nicht auf Ihre Website zugreifen, selbst wenn sie Ihr Passwort erhalten. Für die Anmeldung gibt es einen zusätzlichen Schritt, auf den nicht einfach zugegriffen werden kann. 

19. Ändern Sie das WordPress-Datenbankpräfix

WordPress weist Ihren Datenbanktabellen ein Präfix zu. Das Standardpräfix ist wp_.

Wenn es beim Standard belassen wird, können Hacker Ihre Tabellennamen leicht erraten. Daher ist es eine gute Praxis, es zu ändern.

Für Anfänger ist dies jedoch nicht sehr einfach. Und Sie könnten Ihre Website beschädigen.

Wenn Sie sicher sind, dass Sie fortfahren möchten, folgen Sie dieser Anleitung, wie Sie das WordPress-Datenbankpräfix richtig ändern. 

20. Schützen Sie Admin- und Anmeldeseiten mit einem Passwort

Eine weitere Möglichkeit, Ihre WordPress-Anmeldeseiten zu schützen, ist das Hinzufügen eines Passwortschutzes zu Ihrem Admin-Verzeichnis. Wenn jemand versucht, auf den Admin-Bereich zuzugreifen, muss er ein Passwort eingeben, bevor er überhaupt eine Anmeldeseite sieht.

Um den Admin-Passwortschutz zu aktivieren, können Sie die Verzeichnisschutzfunktion von cPanel verwenden. Damit können Sie Ihr Admin-Verzeichnis schützen ohne Code.

21. Deaktivieren Sie die Verzeichnisindizierung und -anzeige

Die Verzeichnisauflistung kann eine Schwachstelle in Ihrer Website-Sicherheit sein. Wenn diese Funktion aktiviert ist, kann jeder die Inhalte von Verzeichnissen auf Ihrer Website anzeigen. Hacker könnten dies ausnutzen, wenn sie Dateien mit Schwachstellen sehen. 

Um dieses Problem zu lösen, fügen Sie eine einfache Codezeile am Ende Ihrer .htaccess-Datei hinzu. 

Optionen -Indizes

Dies verhindert, dass Personen die Ordner Ihrer Website durchsuchen, und schützt versteckte Dateien.

22. Deaktivieren Sie XML-RPC

Seit WordPress 3.5 ist XML-RPC eine Kern-API von WordPress. Sie ermöglicht es Entwicklern, Remote-Anwendungen zur Aktualisierung von WordPress zu verwenden.

XML-RPC ermöglicht es Ihnen, mobile Apps zum Veröffentlichen von Blogbeiträgen zu verwenden. Es ermöglicht auch die Verbindung Ihrer Website mit Drittanbieterdiensten wie Zapier. 

Diese WordPress-Funktion ermöglicht es anderen Apps, mit Ihrer Website zu kommunizieren. Sie schafft aber auch eine Sicherheitslücke, die Hacker nutzen können. 

Wenn jemand versucht, Ihre Anmeldeseite zu hacken, unternimmt er separate Anmeldeversuche. Mit XML-RPC könnten Hacker eine system.multicall-Funktion verwenden, um Tausende von Passwortoptionen in nur etwa 20-50 Anfragen zu erraten.

Daher kann das Deaktivieren von XML-RPC Ihnen helfen, mögliche Cyberbedrohungen zu vermeiden.

23. Abwesenheit von inaktiven Benutzern protokollieren

Unbeaufsichtigte Anmeldungen können zu unbefugtem Zugriff führen. Ihre Sitzung könnte übernommen werden. Deshalb meldet Sie Ihre Bank-Website nach einer bestimmten Zeit ab.

Es ist am besten, wenn Ihre WordPress-Website Benutzer bei Inaktivität automatisch abmeldet. Dies kann die Wahrscheinlichkeit von Problemen erheblich reduzieren.

Sie können Plugins wie Inactive Logout verwenden, um diesen Prozess zu automatisieren. Mit diesem kostenlosen Plugin legen Sie Zeitlimits für die Inaktivität fest. 

Es wird Ihnen auch ermöglichen, Abmeldeaufforderungen für Sitzungen anzupassen. Sie informieren die Benutzer darüber, wenn sie wegen Inaktivität abgemeldet werden. 

24. Verstecken Sie Ihre WordPress-Version

Standardmäßig zeigt Ihr Quellcode Ihre WordPress-Version an.

Die Offenlegung Ihrer neuesten WordPress-Version mag harmlos erscheinen, kann Ihre Website jedoch gefährden. Hacker nutzen diese Informationen, um bekannte Sicherheitslücken in bestimmten Versionen auszunutzen. 

Es gibt viele Möglichkeiten, Ihre WordPress-Version zu verbergen, aber wir empfehlen die Verwendung von WPCode. Dieses Plugin für Code-Snippets verfügt über ein vorgefertigtes Snippet, um Ihre WordPress-Versionsnummer zu entfernen.

Sie müssen nur nach dem Snippet suchen und es verwenden. 

Aktivieren Sie dann das neue Snippet!

25. Stellen Sie Ihre Website nach Hacks wieder her

Selbst wenn Sie alles richtig machen, kann ein Hacker in Ihre Website eindringen und Schaden anrichten. Sollte dies jemals passieren, müssen Sie vorbereitet sein. 

Die Wiederherstellung Ihrer WordPress-Website nach einem Hack mag entmutigend erscheinen. Aber mit den richtigen Werkzeugen ist es einfach.

Duplicator Pro ist ein WordPress-Backup-Plugin, das Ihre Website in Sekundenschnelle wiederherstellt. Suchen Sie nach einem Hack das aktuellste fehlerfreie Backup und klicken Sie auf die Schaltfläche Wiederherstellen daneben.

Einige Hacker sperren Sie möglicherweise aus Ihrem WordPress-Admin-Dashboard aus. Um dies zu verhindern, stellen Sie sicher, dass Sie im Voraus eine Notfallwiederherstellung einrichten.

Erstellen Sie ein vollständiges Backup Ihrer Website. Klicken Sie dann auf das blaue Haus-Symbol daneben.

Sobald Sie die Notfallwiederherstellung eingerichtet haben, gibt Ihnen Duplicator einen Wiederherstellungslink und eine Launcher-Datei. Eines von beiden stellt Ihre Website nach einem Cyberangriff sofort wieder her.

Persönlich bevorzuge ich den Wiederherstellungslink. Sie müssen einfach ein Browserfenster öffnen und ihn einfügen. Dies öffnet den Duplicator-Wiederherstellungsassistenten (ohne Ihr Dashboard zu benötigen).

Um Ihre Website zu sichern, speichern Sie den Wiederherstellungslink oder die Launcher-Datei an einem sicheren Ort. Er muss extern gespeichert werden, falls Ihre Website jemals ausfällt. 

Wenn Sie sicherstellen möchten, dass Sie alle Backdoors und andere Sicherheitslücken entfernt haben, lesen Sie dieses Tutorial, wie Sie eine gehackte WordPress-Website reparieren. 

FAQs zu WordPress-Sicherheit

Ihre letzte Verteidigungslinie: Ein Backup, das Sie wiederherstellen können

Keine Sicherheitscheckliste ist perfekt. Plugins haben Zero-Day-Schwachstellen. Hosting-Anbieter werden kompromittiert. Teammitglieder werden gephished. Die Frage ist nicht nur, wie man Angriffe verhindert, sondern auch, was mit Ihrer Website passiert, wenn einer durchkommt.

Ein getesteter Backup-Prozess ist das, was das Spiel verändert. Wenn Sie Ihre Website in wenigen Minuten aus einem sauberen Backup wiederherstellen können, ist ein Hack eine geringfügige Störung. Ohne einen ist es potenziell ein Problem von 14.500 US-Dollar.

Mehr als 1,5 Millionen WordPress-Profis nutzen Duplicator für Backups und Notfallwiederherstellung. Automatisierte Cloud-Backups, Wiederherstellung mit einem Klick aus dem Cloud-Speicher und ein Wiederherstellungslink, der auch dann funktioniert, wenn wp-admin vollständig gesperrt ist – es ist das einzige Tool, das ich auf diese Liste setzen würde, vor allen anderen.

Wenn dieser Leitfaden Sie über die allgemeine Widerstandsfähigkeit Ihrer Website nachdenken lässt, sind diese Beiträge als Nächstes lesenswert.

• So bereinigen Sie eine WordPress-Website
• So schützen Sie Ihre Website vor Hackern
• Ist WordPress sicher? Die Wahrheit enthüllt
• 8+ beste WordPress-Sicherheits-Plugins
• WordPress Wartungs-Checkliste: 20 wichtige Aufgaben (2026)