WordPress Sicherheit: Hardening-Guide für KMU

Warum WordPress-Sicherheit kritisch ist

Die Zahlen sind alarmierend: 43,2% aller Websites laufen auf WordPress (W3Techs, 2025). Gleichzeitig entfallen 90% aller gehackten CMS-Websites auf WordPress (Sucuri Website Hacked Report).

Häufigste Angriffsvektoren:

• Veraltete WordPress-Version, Plugins oder Themes: 39% aller Hacks
• Schwache Passwörter: Brute-Force-Angriffe auf /wp-admin/ (8% aller Hacks)
• Sicherheitslücken in Plugins: 52% aller Schwachstellen (besonders bei veralteten/unpopulären Plugins)
• File-Upload-Schwachstellen: Upload von Malware via Kontaktformulare, Media-Upload
• SQL-Injection: Datenbankzugriff über manipulierte Eingaben

Schritt 1: WordPress, Plugins & Themes aktuell halten

Regel Nummer 1: Veraltete Software = Sicherheitslücken. 36,7% aller WordPress-Websites laufen auf veralteten Versionen (WPScan Vulnerability Database).

Update-Strategie:

• ✅ WordPress Core: Automatische Updates für Minor-Versionen aktivieren (Dashboard → Updates → "Automatische Updates für alle neuen Versionen von WordPress aktivieren")
• ✅ Plugins: Wöchentlich manuell prüfen und aktualisieren (oder Auto-Update für vertrauenswürdige Plugins)
• ✅ Themes: Bei Updates auf Changelog achten (Breaking Changes?)
• ✅ Staging-Umgebung: Große Updates erst auf Testumgebung prüfen, dann auf Live-Site

Automatische Updates konfigurieren (wp-config.php):

// Automatische Updates für WordPress Core (Minor-Versionen)
define( 'WP_AUTO_UPDATE_CORE', 'minor' );

// Automatische Updates für alle Plugins aktivieren
add_filter( 'auto_update_plugin', '__return_true' );

// Automatische Updates für alle Themes aktivieren
add_filter( 'auto_update_theme', '__return_true' );

Wichtig: Nach jedem Update Website testen! Automatische Updates sind bequem, aber können in seltenen Fällen Inkompatibilitäten verursachen.

Schritt 2: Starke Passwörter & Login-Schutz

Schwache Passwörter sind die häufigste Ursache für kompromittierte Accounts. Brute-Force-Angriffe (systematisches Durchprobieren von Passwörtern) laufen 24/7 gegen WordPress-Logins.

Passwort-Richtlinien:

• ✅ Mindestens 16 Zeichen (besser 20+)
• ✅ Zufällige Kombination: Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen
• ✅ Keine Wörterbuch-Wörter: "Passwort123!" = unsicher
• ✅ Password-Manager nutzen: 1Password, Bitwarden, KeePass
• ✅ Niemals wiederverwenden: Jede Website = eigenes Passwort

Login-URL ändern (Plugin: WPS Hide Login):

Standard-Login: /wp-admin/ oder /wp-login.php – jeder Hacker kennt diese URLs.

1. Plugin WPS Hide Login installieren
2. Einstellungen → WPS Hide Login
3. Login-URL ändern (z.B. /secure-login/ oder /mein-geheimer-login/)
4. URL merken/speichern! Ohne URL kein Zugriff mehr auf wp-admin

Ergebnis: Brute-Force-Angriffe laufen ins Leere (404-Fehler statt Login-Formular).

Login-Versuche begrenzen (Plugin: Limit Login Attempts Reloaded):

• ✅ Max. 3-5 Fehlversuche, dann IP-Sperre für 20 Minuten
• ✅ Nach 10 Fehlversuchen: 24h IP-Sperre
• ✅ Email-Benachrichtigung bei gesperrten IPs

Schritt 3: Zwei-Faktor-Authentifizierung (2FA) aktivieren

Selbst mit starkem Passwort: Phishing, Keylogger oder Datenbank-Leaks können Passwörter kompromittieren. 2FA (Two-Factor Authentication) macht Login-Hijacking nahezu unmöglich.

Empfohlene 2FA-Plugins:

2FA-Setup (Wordfence Login Security):

1. Plugin installieren & aktivieren
2. Dashboard → Login Security → 2FA aktivieren
3. Google Authenticator App installieren (iOS/Android)
4. QR-Code scannen
5. 6-stelligen Code eingeben → Aktiviert!
6. Recovery-Codes sicher speichern (für Notfall, wenn Handy verloren)

Wichtig: 2FA für ALLE Admin-Accounts aktivieren, nicht nur für Hauptaccount!

Schritt 4: Security-Plugin installieren (Wordfence oder Sucuri)

Security-Plugins sind Schweizer-Taschenmesser für WordPress-Sicherheit: Firewall, Malware-Scanner, Login-Schutz, IP-Blocking, etc.

Top 3 Security-Plugins:

Wordfence Security konfigurieren (empfohlen):

1. Plugin installieren & aktivieren
2. Scan durchführen: Wordfence → Scan → "Start New Scan" (dauert 5-15 Minuten)
3. Firewall aktivieren: Wordfence → Firewall → "Optimize the Wordfence Firewall"
4. Firewall-Modus: "Extended Protection" aktivieren (erweiterte Firewall-Regeln)
5. Login-Security: Wordfence → Login Security → 2FA aktivieren
6. Brute-Force-Schutz: Max. 3 Login-Versuche, dann 20 Min. Sperre
7. Email-Alerts: Bei kritischen Ereignissen (erfolgreicher Hack-Versuch, Malware gefunden)

Free vs. Premium: Kostenlose Version reicht für die meisten KMU. Premium bietet Echtzeit-Firewall-Updates (statt 30-Tage-Verzögerung) und prioritären Support.

Schritt 5: SSL-Zertifikat (HTTPS) aktivieren

Ohne HTTPS werden Daten unverschlüsselt übertragen – Passwörter, Formulareingaben, Cookies = lesbar für Man-in-the-Middle-Angreifer.

SSL-Zertifikat einrichten:

1. Let's Encrypt installieren: Kostenlos, automatisch erneuert alle 90 Tage
   • Bei Hosting-Providern: cPanel → SSL/TLS → Let's Encrypt → Aktivieren
   • Bei VPS: Certbot installieren (sudo certbot --apache oder --nginx)
2. WordPress auf HTTPS umstellen:
   • Dashboard → Einstellungen → Allgemein
   • WordPress-Adresse (URL): https://ihre-domain.de
   • Website-Adresse (URL): https://ihre-domain.de
   • Speichern
3. HTTP → HTTPS Redirect (.htaccess):

   # HTTPS Redirect
   RewriteEngine On
   RewriteCond %{HTTPS} off
   RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
   

4. Mixed Content fixen: Plugin Really Simple SSL installiert & aktiviert (automatische URL-Umstellung)

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Schritt 6: Regelmäßige Backups (Automatisierung Pflicht!)

Backups sind Ihre Lebensversicherung. Trotz aller Sicherheitsmaßnahmen: 100% Schutz gibt es nicht. Mit Backups können Sie nach Hack/Datenverlust innerhalb von Stunden wiederherstellen.

Backup-Strategie für WordPress:

• ✅ Dateien: Komplette WordPress-Installation (wp-content, wp-includes, etc.)
• ✅ Datenbank: MySQL-Dump (Inhalte, Einstellungen, User)
• ✅ Frequenz: Täglich für Datenbank, wöchentlich für Dateien
• ✅ Retention: Letzte 30 Tage lokal, 90 Tage offsite (Cloud)
• ✅ 3-2-1-Regel: 3 Kopien, 2 Medien, 1 Offsite

Empfohlene Backup-Plugins:

UpdraftPlus konfigurieren (empfohlen):

1. Plugin installieren & aktivieren
2. Einstellungen → UpdraftPlus Backups
3. Zeitplan: Dateien wöchentlich, Datenbank täglich
4. Speicherort: Google Drive, Dropbox oder AWS S3 verbinden
5. Backup-Retention: 30 Tage für Dateien, 60 Tage für Datenbank
6. Email-Benachrichtigung: Bei erfolgreichen/fehlgeschlagenen Backups
7. Manueller Test-Restore: Backup auf Staging-Site wiederherstellen (vierteljährlich testen!)

Schritt 7: Datenbank-Präfix ändern (wp_ → zufällig)

Standard-Datenbank-Präfix: wp_ (z.B. wp_users, wp_posts). Hacker nutzen dieses Wissen für SQL-Injection-Angriffe.

Datenbank-Präfix ändern (manuell):

1. Backup erstellen! (vor jeder Änderung)
2. wp-config.php bearbeiten:

   // Suche diese Zeile:
   $table_prefix = 'wp_';
   
   // Ändere zu (zufälliges Präfix):
   $table_prefix = 'wp_3x8k_';
   

3. Datenbank-Tabellen umbenennen (phpMyAdmin):
   • phpMyAdmin öffnen → Datenbank auswählen
   • SQL-Befehl ausführen:

     RENAME TABLE wp_users TO wp_3x8k_users;
     RENAME TABLE wp_posts TO wp_3x8k_posts;
     -- (Wiederhole für alle Tabellen)
     

4. Usermeta und Options-Tabellen anpassen (SQL):

   UPDATE wp_3x8k_usermeta SET meta_key = REPLACE(meta_key, 'wp_', 'wp_3x8k_');
   UPDATE wp_3x8k_options SET option_name = REPLACE(option_name, 'wp_', 'wp_3x8k_');
   

Alternativ: Plugin Change Table Prefix (automatisiert den Prozess, aber Backup trotzdem vorher!)

Schritt 8: File-Permissions korrekt setzen

Falsche Dateiberechtigungen = Sicherheitsrisiko. Zu offene Permissions erlauben Hackern, Dateien zu modifizieren oder hochzuladen.

Empfohlene File-Permissions:

• Verzeichnisse: 755 (Owner: rwx, Group: r-x, Others: r-x)
• Dateien: 644 (Owner: rw-, Group: r--, Others: r--)
• wp-config.php: 440 oder 400 (nur Owner kann lesen, niemand schreiben)
• .htaccess: 644

Permissions setzen (SSH):

# Alle Verzeichnisse auf 755
find /pfad/zu/wordpress/ -type d -exec chmod 755 {} \;

# Alle Dateien auf 644
find /pfad/zu/wordpress/ -type f -exec chmod 644 {} \;

# wp-config.php auf 400 (nur Owner lesen)
chmod 400 /pfad/zu/wordpress/wp-config.php

Wichtig: Nach Änderung testen, ob WordPress noch funktioniert! Zu restriktive Permissions können Updates/Plugins blockieren.

Schritt 9: wp-config.php & .htaccess absichern

wp-config.php vor Zugriff schützen (.htaccess):

# wp-config.php vor direktem Zugriff schützen

  order allow,deny
  deny from all

Sicherheits-Keys aktualisieren (wp-config.php):

WordPress nutzt 8 Security-Keys für Cookie-Verschlüsselung. Diese sollten regelmäßig (alle 6-12 Monate) erneuert werden.

1. Neue Keys generieren: https://api.wordpress.org/secret-key/1.1/salt/
2. wp-config.php öffnen
3. Alte Keys durch neue ersetzen:

   define('AUTH_KEY',         'neue-zufällige-zeichenkette');
   define('SECURE_AUTH_KEY',  'neue-zufällige-zeichenkette');
   define('LOGGED_IN_KEY',    'neue-zufällige-zeichenkette');
   define('NONCE_KEY',        'neue-zufällige-zeichenkette');
   // ... (8 Keys insgesamt)
   

4. Speichern → Alle User werden ausgeloggt, müssen sich neu anmelden

Directory Browsing deaktivieren (.htaccess):

# Verhindert Auflistung von Verzeichnisinhalten
Options -Indexes

Schritt 10: XML-RPC deaktivieren (wenn nicht benötigt)

XML-RPC ist eine WordPress-API-Schnittstelle. Wird oft von mobilen Apps (WordPress-App) und Jetpack genutzt – aber auch von Hackern für DDoS-Angriffe und Brute-Force.

XML-RPC deaktivieren (.htaccess):

# XML-RPC komplett blockieren

  order deny,allow
  deny from all

Alternative: Plugin Disable XML-RPC (wenn .htaccess-Zugriff nicht möglich).

Wichtig: Wenn Sie Jetpack oder WordPress Mobile App nutzen, dürfen Sie XML-RPC NICHT deaktivieren!

Schritt 11: User-Rechte minimieren (Least Privilege Principle)

Nicht jeder Nutzer braucht Admin-Rechte. Least Privilege Principle: Jeder Nutzer bekommt nur die Rechte, die er wirklich benötigt.

WordPress User-Rollen:

• Administrator: Volle Kontrolle (Plugins, Themes, User, Einstellungen) – nur für Sie!
• Redakteur (Editor): Kann Beiträge veröffentlichen/bearbeiten (auch von anderen) – für Content-Manager
• Autor: Kann eigene Beiträge veröffentlichen – für Blogger/Autoren
• Mitarbeiter (Contributor): Kann Beiträge erstellen, aber nicht veröffentlichen – für Gastautoren
• Abonnent: Kann nur Profil bearbeiten – für Kommentatoren

Best Practices:

• ✅ Max. 1-2 Administrator-Accounts (Sie + ggf. Entwickler)
• ✅ Content-Manager = Redakteur (nicht Administrator!)
• ✅ Inaktive User-Accounts löschen (regelmäßiges Audit)
• ✅ Plugin User Role Editor für granulare Rechtevergabe

Schritt 12: Security-Monitoring & Alerts

Sie können nicht 24/7 auf Ihre Website schauen. Automatisches Monitoring benachrichtigt Sie sofort bei verdächtigen Aktivitäten.

Was überwachen?

• ✅ Login-Versuche: Fehlgeschlagene Logins, neue Admin-User
• ✅ Dateiänderungen: Core-Files, Plugin-/Theme-Files modifiziert
• ✅ Malware-Scans: Wöchentliche automatische Scans
• ✅ Uptime-Monitoring: Website down? Sofort Benachrichtigung
• ✅ Google Search Console: Malware-Warnungen, Manual Actions

Monitoring-Tools:

• Wordfence: Integriertes Monitoring, Email-Alerts bei kritischen Events
• Sucuri SiteCheck: https://sitecheck.sucuri.net/ – kostenloser Malware-Scanner (extern)
• UptimeRobot: Kostenlos, prüft alle 5 Minuten, ob Website erreichbar
• Google Search Console: https://search.google.com/search-console – Sicherheitswarnungen

Bonus: Security-Hardening-Checkliste

Häufige Security-Fehler vermeiden

❌ Fehler 1: Veraltete Plugins nicht deinstalliert

Problem: Deaktivierte (aber nicht gelöschte) Plugins können Sicherheitslücken enthalten.

Lösung: Ungenutzte Plugins komplett löschen, nicht nur deaktivieren.

❌ Fehler 2: Admin-Username "admin"

Problem: Hacker versuchen zuerst Username "admin" + Brute-Force auf Passwort.

Lösung: Admin-User mit individuellem Username anlegen, alten "admin"-User löschen.

❌ Fehler 3: Backups nur lokal (auf gleichem Server)

Problem: Server-Crash/Hack = Backups auch weg.

Lösung: Offsite-Backups (Cloud: Google Drive, Dropbox, S3).

❌ Fehler 4: Kein Malware-Scan nach Theme/Plugin-Installation

Problem: Nulled (gecrackte) Themes/Plugins enthalten oft Malware.

Lösung: Nur offizielle Quellen (wordpress.org, ThemeForest), Wordfence-Scan nach Installation.

Was tun nach einem Hack?

Trotz aller Vorsicht: Website gehackt? Schnelles Handeln ist entscheidend!

Post-Hack-Maßnahmen (Schritt-für-Schritt):

1. Website offline nehmen (Maintenance-Mode):
   • Plugin: WP Maintenance Mode – verhindert weitere Schäden/Infektionen
2. Backup der gehackten Site erstellen (Forensik):
   • Hilft später, Angriffsvekt or zu identifizieren
3. Malware-Scan durchführen:
   • Wordfence: "Scan" → entfernt bekannte Malware automatisch
   • Sucuri SiteCheck (extern): https://sitecheck.sucuri.net/
4. Alle Passwörter ändern:
   • WordPress-Admin, Datenbank, FTP, Hosting-Control-Panel
5. WordPress Core, Plugins, Themes neu installieren:
   • Löscht modifizierte/infizierte Dateien
6. Security-Keys erneuern (wp-config.php):
   • Loggt alle User aus, zwingt zu neuer Anmeldung
7. Google Search Console prüfen:
   • Manual Actions? Malware-Warnung? → "Request Review" nach Bereinigung
8. Hosting-Support kontaktieren:
   • Manche Anbieter bieten kostenlose Malware-Bereinigung an

Wenn selbst nicht lösbar: Professionelle Malware-Bereinigung (z.B. Sucuri Incident Response: ab 199 $/Jahr + Bereinigung).

Fazit: Security ist kein einmaliges Projekt, sondern Prozess

WordPress-Sicherheit ist kontinuierliche Arbeit, kein "einmal einrichten und vergessen". Hacker entwickeln ständig neue Angriffsmethoden – Ihre Security-Maßnahmen müssen mitwachsen.

Die wichtigsten Takeaways:

• ✅ Updates sind Pflicht (WordPress, Plugins, Themes) – wöchentlich prüfen!
• ✅ Starke Passwörter + 2FA = 90% Schutz vor Brute-Force
• ✅ Security-Plugin (Wordfence) ist Basis-Absicherung
• ✅ Backups sind Lebensversicherung – täglich automatisiert!
• ✅ HTTPS ist Standard, kein Luxus
• ✅ Monitoring benachrichtigt Sie sofort bei Problemen
• ✅ Least Privilege: Nicht jeder braucht Admin-Rechte