WordPress-Sicherheit: 5 Maßnahmen, die wirklich schützen
Foto von Jefferson Santos auf Unsplash
„Halte WordPress aktuell, nutz ein starkes Passwort und installier ein Security-Plugin.” Diesen Rat findest du auf jeder zweiten Webseite — und er ist nicht falsch. Er ist nur längst nicht mehr genug. Die Bedrohungslage hat sich verschoben, und wer heute nur die Standard-Tipps befolgt, wiegt sich in einer trügerischen Sicherheit.
Die Zahlen sind eindeutig: 2025 wurden über 11.000 neue Sicherheitslücken im WordPress-Umfeld gemeldet — ein Plus von rund 42 % gegenüber dem Vorjahr. Und fast alle davon, etwa 97 %, steckten nicht im WordPress-Kern, sondern in Plugins und Themes. Noch brisanter: Aktiv ausgenutzte Lücken werden heute oft in unter 48 Stunden nach ihrem Bekanntwerden massenhaft angegriffen — manchmal, bevor der Hersteller überhaupt ein Update bereitstellt.
In diesem Beitrag bekommst du fünf Maßnahmen, die über die üblichen Tipps hinausgehen und genau an dieser modernen Bedrohungslage ansetzen. Kein Fachchinesisch, sondern konkrete Hebel, die wirklich einen Unterschied machen.
Warum Updates allein deine WordPress-Seite nicht mehr schützen
Der klassische Rat geht von einer Annahme aus, die nicht mehr stimmt: dass zwischen dem Bekanntwerden einer Lücke und ihrem Missbrauch genug Zeit bleibt, um in Ruhe zu updaten. Diese Zeit gibt es nicht mehr. Automatisierte Bots scannen das Netz permanent und schlagen innerhalb von Stunden zu.
Verschärft wird das durch ein zweites Problem: Fast die Hälfte der gemeldeten Lücken war zum Zeitpunkt der Veröffentlichung noch gar nicht gepatcht. Du kannst also gewissenhaft jedes Update einspielen und trotzdem angreifbar sein, weil es schlicht noch keins gibt. Updates bleiben Pflicht — aber sie sind die Grundlinie, nicht die Verteidigung.
Die folgenden fünf Maßnahmen setzen genau dort an: Sie verkleinern das Risiko, überbrücken das gefährliche Zeitfenster und sorgen dafür, dass ein einzelner Treffer nicht gleich die ganze Seite kostet.
WordPress-Angriffsfläche verkleinern: jedes Plugin ist eine Tür
Wenn 97 % der Lücken aus Erweiterungen stammen, ist die wirksamste Maßnahme auch die unscheinbarste: weniger Erweiterungen. Jedes Plugin und jedes Theme ist zusätzlicher Fremdcode auf deinem Server — und damit eine potenzielle Tür für Angreifer. Fünf Plugins, die du nicht hast, können auch nicht gehackt werden.
Konkret heißt das:
- Deinstalliere konsequent, was du nicht brauchst. Und zwar wirklich löschen, nicht nur deaktivieren — auch inaktive Plugins enthalten angreifbaren Code auf dem Server.
- Wähle Plugins nach ihrer Sicherheits-Historie aus, nicht nur nach Funktion. Wird das Plugin aktiv gepflegt? Wann kam das letzte Update? Wie schnell hat der Hersteller in der Vergangenheit auf Lücken reagiert? Öffentliche Schwachstellen-Datenbanken wie Patchstack oder WPScan geben darüber Auskunft.
- Vermeide „Alleskönner”-Plugins, die zwanzig Funktionen mitbringen, von denen du zwei nutzt — sie vergrößern die Angriffsfläche unnötig.
Genau hier zahlt sich eine sauber programmierte WordPress-Seite aus: Wo Funktionen schlank umgesetzt statt durch Plugin-Berge ergänzt werden, bleibt die Angriffsfläche von Anfang an klein.
Virtuelles Patching: WordPress-Lücken schließen, bevor das Update da ist
Das ist der wichtigste Baustein gegen die 48-Stunden-Falle. Virtuelles Patching bedeutet: Eine Web Application Firewall (WAF) blockiert einen bekannten Angriff über eine gezielte Regel — noch bevor du das eigentliche Update einspielst, oder auch dann, wenn es noch gar keins gibt.
Der Unterschied ist entscheidend. Ein normales Update schließt die Lücke erst, wenn der Hersteller es veröffentlicht und du es installiert hast. Virtuelles Patching überbrückt genau die Lücke dazwischen: Sobald eine Schwachstelle bekannt wird, fängt die Firewall die passenden Angriffsversuche ab — oft schon Stunden nach Bekanntwerden, vollautomatisch.
Umgesetzt wird das über spezialisierte Dienste wie Patchstack oder eine WAF auf Netzwerkebene (etwa über Cloudflare). Für dich als Seitenbetreiber bedeutet das: Du bist geschützt, während im Hintergrund in Ruhe das echte Update vorbereitet wird — statt in Panik gegen die Uhr zu patchen. Für Seiten mit sensiblen Daten oder viel Traffic ist das heute kein Luxus mehr, sondern Standard.
PHP im WordPress-Upload-Ordner sperren
Eine der häufigsten Angriffsarten läuft so ab: Über eine Lücke schleust ein Angreifer eine schädliche PHP-Datei — eine sogenannte Web-Shell — in den Upload-Ordner (wp-content/uploads) und ruft sie anschließend im Browser auf, um Code auszuführen. Der Clou an der Gegenmaßnahme: In diesem Ordner liegen nur Bilder und Dokumente. PHP hat dort schlicht nichts zu suchen.
Sperrst du die PHP-Ausführung in diesem Verzeichnis serverseitig, läuft eine hochgeladene Schaddatei ins Leere — selbst wenn der Upload durch eine Lücke gelungen ist. Auf einem Apache-/LiteSpeed-Server erledigt das eine .htaccess im Upload-Ordner:
# wp-content/uploads/.htaccess
<FilesMatch "\.(php|phtml|php[0-9])$">
Require all denied
</FilesMatch>
Zwei weitere serverseitige Handgriffe in derselben Kategorie:
- Sensible Dateien sperren: Direkter Zugriff aus dem Web auf
wp-config.php(enthält deine Datenbank-Zugangsdaten) oder Log-Dateien gehört blockiert. - Dashboard-Dateieditor abschalten: Mit
define('DISALLOW_FILE_EDIT', true);in derwp-config.phpverhinderst du, dass jemand über einen gekaperten Admin-Zugang direkt im Backend Theme- und Plugin-Code manipuliert.
Diese Eingriffe kosten nichts, sind in Minuten erledigt und werden trotzdem erstaunlich selten gemacht — dabei stoppen sie eine ganze Angriffsklasse auf Serverebene. Wichtig ist nur, dass dein WordPress-Hosting solche Regeln überhaupt zulässt und sauber verarbeitet.
Den WordPress-Login phishing-sicher machen
„Nimm ein starkes Passwort” greift zu kurz, denn Passwörter lassen sich abphishen, wiederverwenden und aus Datenlecks abgreifen — egal wie lang sie sind. Der moderne Ansatz setzt an zwei Stellen an: die Anmeldung härter machen und die alten Einfallstore schließen.
Anmeldung härten: Aktiviere Zwei-Faktor-Authentifizierung (2FA) für alle Konten mit Admin-Rechten. Noch einen Schritt weiter gehen Passkeys (WebAuthn) — eine phishing-sichere Anmeldung per Fingerabdruck, Gesicht oder Hardware-Schlüssel, bei der es gar kein abgreifbares Passwort mehr gibt.
Alte Einfallstore schließen: WordPress bringt von Haus aus Wege mit, über die Angreifer Benutzernamen ausspähen oder Passwörter automatisiert durchprobieren:
- XML-RPC (
xmlrpc.php) ist eine Altlast, die kaum noch jemand braucht, über die sich aber hunderte Login-Versuche in einer einzigen Anfrage bündeln lassen. Wenn du sie nicht aktiv nutzt: abschalten. - Benutzer-Enumeration über die REST-API (
/wp-json/wp/v2/users) oder?author=1verrät Angreifern deine Anmeldenamen. Diese Endpunkte lassen sich für Unangemeldete sperren.
So machst du aus dem „Rat zum starken Passwort” eine echte Verteidigung: Selbst wenn ein Passwort in falsche Hände gerät, fehlt der zweite Faktor — und die automatisierten Brute-Force-Kanäle sind gleich mit dicht.
Beim WordPress absichern mit dem Ernstfall rechnen: Rechte, Überwachung und Header
Perfekte Sicherheit gibt es nicht. Die reifste Haltung ist deshalb nicht „mir passiert nichts”, sondern „falls doch etwas passiert, bleibt der Schaden klein und ich merke es sofort”. Drei Bausteine setzen das um:
- Geringste Rechte (Least Privilege): Nicht jeder braucht einen Administrator-Zugang. Wer nur Beiträge schreibt, bekommt die Rolle „Redakteur”. Wird so ein Konto gekapert, ist der Schaden begrenzt. Das gilt auch für Datenbank- und Server-Zugänge.
- Integritätsüberwachung: Ein Dienst, der die Dateien deiner Seite überwacht, schlägt Alarm, sobald sich unerwartet etwas ändert — etwa eine untergeschobene Schaddatei. So entdeckst du einen Einbruch in Stunden statt in Monaten.
- Security-Header: Die häufigste Lückenart 2025 war Cross-Site-Scripting (XSS) — fast die Hälfte aller Meldungen. Eine Content-Security-Policy (CSP) und Header wie
X-Content-Type-Optionsbegrenzen, was im Browser deiner Besucher überhaupt ausgeführt werden darf, und entschärfen so genau diese Angriffe.
Und der Rettungsanker unter allem: ein geprüftes, externes Backup. Nicht auf demselben Server, sondern getrennt — damit es im Ernstfall nicht mit verschlüsselt oder gelöscht wird. Ein Backup, das du im Zweifel nicht wiederherstellen kannst, ist keins. Genau dieses „mit dem Ernstfall rechnen” ist der Kern jeder ernsthaften WordPress-Sicherheit.
Sicheres WordPress-Hosting: vieles davon ist schon eingebaut
Der ehrliche Haken an dieser Liste: Vieles davon muss man erst einmal wissen — und dann konsequent umsetzen. Genau hier setzt mein WordPress-Hosting an. Über das integrierte WP Toolkit werden zentrale Härtungsmaßnahmen automatisch angewendet, statt dass du sie von Hand zusammensuchen musst. Dazu gehören unter anderem:
- Ausführung von PHP-Skripten in
wp-content/uploads,wp-includesund in Cache-Verzeichnissen unterbinden — genau der Schutz gegen untergeschobene Web-Shells - Zugriff auf
wp-config.php, die.htaccess/.htpasswdsowie weitere sensible Dateien blockieren xmlrpc.phpsperren, Pingbacks abschalten und die Verzeichnissuche unterbinden- Autorenscans und Benutzer-Enumeration blockieren, damit deine Anmeldenamen nicht ausgelesen werden
- Dateibearbeitung im WordPress-Dashboard deaktivieren
- Standard-Benutzernamen des Administrators und das Standard-Präfix der Datenbanktabellen ändern
- Sicherheitsschlüssel neu setzen, nicht genutzte Skriptsprachen deaktivieren und einen Bot-Schutz aktivieren
Damit sind die Server-nahen Punkte dieses Beitrags — von der gesperrten PHP-Ausführung im Upload-Ordner bis zum Schließen der alten Login-Einfallstore — bei mir bereits ab Werk gesetzt. Du musst dich um diese Grundhärtung nicht selbst kümmern; sie ist Teil der Umgebung, in der deine Seite läuft.
Fazit: WordPress-Sicherheit entsteht in Schichten
Die Grundlagen — Updates, starke Passwörter, ein Security-Plugin — bleiben Pflicht. Aber sie sind das Fundament, nicht das Haus. In einer Welt, in der 97 % der Lücken aus Plugins kommen und Angriffe in unter 48 Stunden laufen, entscheidet sich echte Sicherheit an den weiterführenden Maßnahmen: eine kleine Angriffsfläche, virtuelles Patching als Puffer, ein gehärteter Server, phishing-sichere Anmeldung und die konsequente Vorbereitung auf den Ernstfall.
Das klingt nach viel — und ehrlicherweise ist es das auch, wenn man es nebenbei erledigen will. Genau dafür gibt es professionelle WordPress-Wartung: Sie hält deine Seite laufend im Blick, spielt Updates zeitnah ein und sorgt dafür, dass die hier beschriebenen Schutzschichten greifen. Du willst wissen, wie sicher deine Seite gerade wirklich ist? Lass uns unverbindlich darüber sprechen.
Häufige Fragen
Reicht ein Security-Plugin wie Wordfence nicht aus?
Ein gutes Security-Plugin ist eine sinnvolle Grundlage, aber kein Rundum-sorglos-Schutz. Es hilft wenig, wenn es selbst — oder eines deiner anderen Plugins — eine ungepatchte Lücke hat. Sicherheit entsteht aus mehreren, sich ergänzenden Schichten: kleine Angriffsfläche, virtuelles Patching, gehärteter Server und phishing-sichere Anmeldung. Ein Plugin allein deckt davon nur einen Teil ab.
Was ist virtuelles Patching?
Virtuelles Patching blockiert einen konkreten Angriff über eine Firewall-Regel, noch bevor du das eigentliche Update einspielst — oder falls es noch gar kein Update gibt. Das schließt genau das gefährliche Zeitfenster zwischen Bekanntwerden einer Lücke und dem Einspielen des Patches, das Angreifer heute in unter 48 Stunden ausnutzen.
Ist WordPress unsicherer als andere Systeme?
Der WordPress-Kern selbst ist sehr sicher — 2025 stammten nur zwei von über 11.000 gemeldeten Lücken aus dem Core. Das Risiko liegt fast ausschließlich bei Plugins und Themes von Drittanbietern. WordPress ist also nicht per se unsicher; entscheidend ist, wie sorgfältig die Erweiterungen ausgewählt, gepflegt und abgesichert werden.
Wie oft sollte ich meine WordPress-Seite prüfen lassen?
Angesichts von Angriffsfenstern unter 48 Stunden reicht ein jährlicher Blick nicht mehr. Sinnvoll ist eine laufende Überwachung mit zeitnahen Updates, kombiniert mit virtuellem Patching als Puffer. Genau das übernimmt eine professionelle WordPress-Wartung — du musst nicht selbst täglich Sicherheitsmeldungen verfolgen.