WordPress sicher machen – 22 Tipps für WordPress (2026)

Du möchtest Dein WordPress sicher machen gegen Kriminelle?

Dann bist Du hier beim WordPress Security Guide genau richtig.

Beginnen wir!

Wie dringen Hacker in WordPress ein?

Die Kriminellen des Internets versuchen Deinen WordPress Blog oder Shop mit listigen Tricks zu kapern.

Die Hacker löschen Daten, ändern Blog-Posts, verteilen Newsletter-Spam und Unterdrücken die Abrufbarkeit der Seite (DDoS). Wie kommen die Hacker auf Deinen Server?

• Exploits in Plugins oder Kauf von Plugins
  Die Hacker nutzen Sicherheitslücken in 3.-Partei-Software wie Plugins aus, die nicht regelmäßig aktualisiert wird. Diese ist die häufigste Ursache für einen Hack. Besonders dreist ist es, wenn kriminelle Plugins aufkaufen und dann darüber Malware verteilen.
• Exploits in Themes
  Wie auch Plugins erstellen Design-Themes für WordPress. Updatet der Entwickler das Design nicht, wirst Du Opfer eines Angriffs.
• Exploits in WordPress
  Die Software selbst kann auch Schwachstellen aufweisen. Der WordPress-Macher Automatic und die Community pflegen die Blogging-Software aber sehr gut. Spiel die Updates schnell ein.
• Server-Fehlerkonfigurationen
  Die Hacker dringen auf der untersten Ebene ein. Sie haben den Zugang zum FTP oder SSH usw. geknackt und verunstalten Deine WordPress Instanz.

Wie merke ich, ob ich gehackt wurde?

Es gibt verschiedene Signale:

• Ein WordPress Sicherheits-Plug-In meldet eine Malware.
• Du erhältst eine Mail von Deinem Hoster, dass eine Person sich aus Timbuktu angemeldet hat.
• Auf Deinem FTP-Server sind komische Dateien.
• Dein Hoster ermahnt Dich wegen illegale Aktivitäten.
• Dein Mail-Account sendet Spam-Mails an alle Deine Kontakte.
• Ein externer Malware-Scanner schlägt Alarm (Google, Sophos).
• Hacker posten private Daten von Dir auf den sozialen Medien.
• Du kannst Dich nicht mehr an Deinem Server anmelden.
• Der Traffic auf Deinem Server steigt exorbitant an bzw. Du kannst Deinen Server nicht mehr erreichen (DDoS).
• Die Google Search Console alarmiert Dich, dass Du böse Aktivitäten auf Deinem Server ausführst.

10 Regeln für einen sicheren PHP-Server

Kein WordPress der Welt ist sicher vor Kriminellen, wenn die Grundlage der Blogging-Software auf wackligen Füßen steht.

Beginne mit den PHP-Server-Tipps, bevor Du versuchst besondere Konfigurationen innerhalb von WordPress vorzunehmen

1. Aufgaben abgeben: Wenn Du der Typ bist, der gerne alles von der Betriebssystem-Installation bis hin zum TLS-Zertifikat (früher SSL) alles selber machst, solltest Du Dir folgendes überlegen:
   „Bin ich bereit ein PHP-Patch am 24.12. um 20.00 einzuspielen, um einen Hack zu verhindern?“
   Eine Managed Option (Managed Webhosting) ist sinnvoll.
2. Checke die Reputation Deines Webhosters ab:
   1. Was berichten Kunden in diversen Foren?
   2. Gab es Datenschutzvorfälle in der Vergangenheit?
   3. Gibt es aktuelle Informationssicherheitszertifizierungen (ISO 27001, ISAR 3402, TISAX, …)?
   4. Wie stark ist der DDoS-Schutz?
   5. Gebe lieber ein paar Euro mehr aus, damit Deine Webseite nicht auf einem gehackten thailändischen Windows 95 läuft.
3. PHP-Version: Nutze möglichst die aktuellste PHP-Version und aktualisiere Deine Webseite auf die nächste (stabile) Version so schnell wie möglich.
4. Verschlüsselung: Nutze TLS (früher SSL, Verschlüsselung der Webseiten), ohne Ausnahme und mit keinem wenn oder aber! Verwende entweder ein kostenloses Zertifikat von Let’s Encrypt.
5. Gegen Bots: Verwende einen DDoS-Schutz dieses Hosters oder eines davor geschaltet Content Delivery Networks (CDN). Wenn 1 TB Daten pro Sekunde (sinnlose Bot-Anfragen) auf Deine Server einprasseln, geht nicht mehr viel. Ein kostenlose CDNs wie Cloudflare eignen sich gut.
   

   

6. Nicht unterschätzen: Nutze IMMER sichere Passwörter (min. 12-stellig – die nicht gebreacht wurden) für Euer
   • WordPress
   • FTP / SSH und sonstige manuelle Verbindungen
   • Login-Panel des Webhosting und des Servers
   • Plugins mit Login (CDNs, Sicherheit, Spam)
7. Angriffsfläche: Deaktiviere alle Ports, außer die Du wirklich brauchst! SSH, FTP, RDP, Telnet usw. brauchst Du für Dein WordPress nicht. Verkleinere Deine Angriffsfläche.
8. Rechte: Minimiere den Zugriff auf Deine Dateien-Ordner mit CHMOD bzw. ändere nichts an den Standard-Einstellungen von WordPress:
   • 755 alle Ordner
   • 644 alle Dateien
   • 644 .htaccess
   • 444 wp-config.php
   • 666 sitemap.xml
9. Richtige .htaccess Datei: Apache erlaubt die Konfiguration des Zugriffs in einer Datei. Das Thema ist etwas komplexe und Du musst eventuell nach konfigurieren (Löschen / Ändern). Nutze Datei diese als Vorlage und teste alles ausführlich.
10. Programmieren: Wenn Du ein WordPress-PHP-Bastler bist, trenne das Test-WordPress und Produktions-WordPress voneinander. Entwickle auf Deinem Localhost oder in einer separaten Testumgebung.
11. Letzte Rettung: Backupe alle Daten in einem Wochen-Rhythmus und die WordPress-Datenbank täglich. Lade Dir die Backups am Ende auf Deinen lokalen Computer und auf eine externe Festplatte, die Du vom Computer trennst.

Tipp am Rande:
Die allerwichtigsten Passwörter wie E-Mail-Adresse, Server-Zugang und Windows Passwort solltest Du NIE einem Passwort-Manager anvertrauen. Falls die Kriminellen den Passwort-Manager gehackt haben, sieht es für Dich auch schlecht aus.

Steffen Lippke

4 Tipps für Social WordPress Security

Die beste IT-Infrastruktur hilft nichts, wenn Du einen „menschlichen“ Fehler begehst.

Die Hacker versuchen Dich mit diesen 3 Tricks hinters Licht zu führen.

1. Ignoriere die „Passwort zurücksetzen“-Mails von WordPress oder Web Hoster. Die Hacker tarnen diese Mails als einen guten Phishing-Angriff. Die Social Hacker nutzen solche Mails, um Dich auszutricksen.
2. Ignoriere die Droh-E-Mails von Hackern und zahle NIE, NIE das geforderte Lösegeld (auch wenn Deine Daten verschlüsselt sind).
   1. „Zahlen mir 1000 Bitcoins, damit ich nicht XY“
   2. „Du brauchst 1 Mio. mehr Traffic auf Deiner Webseite …“
   3. „Ich habe Dich gehackt, ich sende XX alle Deine Kontakte.“
3. Nutze das WordPress Berechtigungskonzept. Gebe Deinen „Blogger-Hilfen“ nur so viel Rechte, wie diese brauchen.

6 WordPress Security Must-haves für jeden Blogger

WordPress braucht nach einer sauberen Neu-Installation diese 8 Einstellungen, damit Hacker weniger Angriffsfläche haben. Diese Plugins und Techniken schützen Dich vor den Hackern.

1. Beachte die folgenden Regeln zu Plugins und Deiner WordPress-Installation:
   1. Halten die Plugins und WordPress immer aktuell (Auto Update an).
   2. Lösche lange nicht mehr aktualisierte (6 Monate und mehr) Plugins sofort.
   3. Lösche lange nicht mehr genutzte Plugins sofort.
   4. Lösche und installiere keine Plugins aus unbekannter Quelle.
2. Schütze Dich vor Spam-Kommentaren mit Antispam Bee oder Akismet Antispam
   

   

3. Verwende eine Web Application Firewall und einen Malware-Scan
   1. Login bei WordPress
   2. Kommentar-Feld
   3. Support-Formulare
   4. Suchleisten
   5. Auswahlen
   6. Quizze
   7. Registrierung für neue Nutzer
   8. Newsletter-Anmeldung
4. Aktiviere eine 2-Faktor-Authentisierung – nutze z. B. WordPress 2FA Sei vorsichtig, sodass Du Dich nicht selbst aussperrst.
5. Nutze eine sicherheitsoptimierte .htaccess Datei. Sehr empfehlenswert ist die .htaccess Datei der Webagentur Hamburg (verbessert auch die Geschwindigkeit durch Caching). Übernehmt Eure 301 Redirects und kommentiert das Rewriting zu HTTPS aus.
6. Nutze einen Update-Manager für WordPress UpdraftPlus – Sichern/Wiederherstellen

Das sicherste WordPress ist vor den Zero-Day-Angriffen nicht geschützt!

Backupe Deine WordPress-Installation mit der genannten Erweiterung. Downloade Dir die Backups auf Deinem Computer. Um Platz zu sparen, nutze ein Bildkompressions-Plug-in (AVIF oder WebP). Die Bilder verbrauchen am meisten Platz von WordPress.

Diese Liste ist nicht vollständig. Wenn Du weitere Tipps kennst, schreibe einen Kommentar in das Feld unten.