WordPress Sicherheit – einfache Wege, Ihre Website zu schützen

Während meiner Tätigkeit war ich damit beauftragt, mehrere Hackerangriffe auf Webseiten unter Kontrolle zu bringen.
Aus dieser Erfahrung haben sich konkrete, praxiserprobte Maßnahmen ergeben, mit denen Sie Ihre WordPress-Website deutlich sicherer machen können.

In diesem Artikel möchte ich dieses Know-how verständlich an Sie weitergeben, sodass Sie die Maßnahmen auch ohne technisches Spezialwissen direkt umsetzen können.

Vielleicht fragen Sie sich: „Warum sollte gerade meine Website angegriffen werden?“

Die Antwort ist einfach und zugleich beruhigend: In den meisten Fällen sind Angriffe nicht persönlich. Automatisierte Programme durchsuchen täglich Millionen von Websites nach Schwachstellen. Ihre Seite ist dabei nur eines von vielen Zielen.

Die Gründe, warum Angreifer eine Website ins Visier nehmen, sind meist:

• Spam und Suchmaschinenmissbrauch: Angreifer nutzen Ihre Seite, um Werbung für andere Webseiten zu schalten oder Suchergebnisse zu manipulieren.
• Aufbau von Netzwerken oder Ressourcenmissbrauch: Manche Seiten oder Server werden unbemerkt für Kryptomining oder zur Verbreitung von Schadsoftware eingesetzt.
• Datenklau: Bei kleinen Websites eher selten. Bei großen Unternehmen geht es gezielt um vertrauliche Informationen.

Auch wenn Angriffe automatisiert ablaufen und viele Systeme gleichermaßen betreffen, egal ob Joomla, Contao, Typo3 oder andere, heißt das nicht, dass Sie nichts tun können.

Gerade bei WordPress gibt es viele Möglichkeiten, die Sie selbst umsetzen können. Wer die richtigen Maßnahmen kennt, kann Angriffe früh abwehren und möglichen Schaden deutlich reduzieren.

Bevor wir zu den Maßnahmen kommen, lohnt es sich, zu verstehen, wie Angriffe überhaupt ablaufen.
Websites aller Art können betroffen sein (WordPress, Joomla, Contao, Typo3). Der Unterschied liegt weniger im System, sondern darin, wie gut es gepflegt und abgesichert ist.

Das mag überraschend sein, aber es ist wahr: Das häufigste Einfallstor ist der Mensch selbst.

Angreifer versuchen über gefälschte E-Mails oder Webseiten an Ihre Zugangsdaten zu kommen. Wer unbedacht klickt oder Daten eingibt, öffnet die Tür.

Phishing  (ein zusammengesetztes Wort aus „fishing“, engl. für „angeln“ und „phreaking“ für „hacken“) betrifft alle Systeme gleichermaßen. Es hat nichts damit zu tun, ob Sie WordPress verwenden oder nicht.

Hier versuchen Programme, Zugangsdaten durch Ausprobieren zu erraten. Ziel ist der Zugriff auf den Administrationsbereich.

Schutz ist einfach möglich durch:

• starke Passwörter
• individuelle Benutzernamen
• Begrenzung von Login-Versuchen
• Zwei-Faktor-Anmeldung (2FA)

Dabei wird eine Website, und dadurch ihr Server, mit extrem vielen Anfragen überlastet.

Mögliche Ziele:

• Die Seite soll nicht mehr erreichbar sein
• Andere Angriffe werden verschleiert, z. B. Brute-Force
• Schwachstellen werden automatisch und systematisch gesucht

Diese Angriffe betreffen jeden Server, unabhängig vom System.

Plugins sind praktisch, können aber Risiken darstellen.
Ein veraltetes oder unsicheres Plugin kann ausreichen, um eine komplette Website zu übernehmen.

Auswertungen von Logdateien einiger DDoS-Angriffe zeigen, dass dabei automatisiert und systematisch bekannte Sicherheitslücken verschiedenster Content-Management-Systeme abgefragt werden. Werden das System und die Plugins regelmäßig aktualisiert, sind diese Sicherheitslücken meist geschlossen.

Besonders kritische Plugin-Typen (mit erhöhtem Risiko) sind:

• Dateimanager, die Zugriff auf die Dateien des Servers und der Website geben
• Plugins, die Zugriff auf PHP-Einstellungen und die Datenbank der Website gewähren
• Editoren, die online das Bearbeiten von Quellcode erlauben

Prüfen Sie also, welche Plugins wirklich nötig sind, halten Sie ihre Website sauber und gut aktualisiert.

Alte PHP-Versionen, veraltete WordPress-, Joomla-, Typo3- oder Contao-Installationen sind ein gefundenes Fressen für Angreifer. Automatisierte Angriffe prüfen oft gleichzeitig Schwachstellen verschiedener Systeme. Unabhängig davon, welches CMS tatsächlich eingesetzt wird.

Deshalb: Updates regelmäßig durchführen – nicht nur das CMS, sondern auch Plugins, Themes und den Server (PHP/MySQL/Plesk).

Viele Guides warnen vor „zu viel Admin-Rechten“.

In der Praxis gilt: Ein Administrator, der alles darf, ist nötig, sonst lässt sich die Website nicht vernünftig betreiben, sowohl bei WordPress, als auch bei anderen Systemen. Einer muss das „Sagen“ haben.

Achten Sie daher darauf, dass nur vertrauenswürdige Personen Admin-Rechte haben und sichern Sie diesen Zugang besonders. Für andere Benutzer genügt ein eingeschränktes Konto.

Wer seine Website einmal installiert und nie wieder anschaut, lebt gefährlich. Veraltete Dateien, vergessene Plugins und alte Servereinstellungen sind eine Einladung für Angreifer.

Regelmäßig prüfen, Updates durchführen und die Website im Blick behalten – eine kleine Routine alle ein bis zwei Monate genügt oft.

Fazit:
Aus meiner Erfahrung ist das Zusammenspiel von Technik, Routine und Kontrolle entscheidend. Wer die gängigsten Schwachstellen kennt, diese gezielt schließt und die Kontrolle behält, kann selbst große Angriffe abwehren – oder sie entstehen gar nicht erst.

Die Standardempfehlung lautet: „Verwenden Sie Passwort-Manager“.

Ich persönlich gebe jedoch zu bedenken:

• Master-Passwort wird geklaut: kann im schlimmsten Fall dazu führen, dass alle Zugangsdaten offengelegt werden, inklusive sensibler Bereiche wie Hosting, E-Mail oder Banking. Sie wären dann erpressbar.
• Rechner kaputt: Das Wiederherstellen verschlüsselter Passwortdaten kann kompliziert sein.
• System-Updates oder Inkompatibilitäten: Bei Windows oder macOS kann nach einem System-Update ein Rollback nötig werden. Auf die dafür nötigen Account-Passworte haben Sie mit dem dann unzugänglichen Passwortmanager keinen Zugriff mehr.
• Cloud-Speicherung: Viele Passwortmanager speichern Daten in der Cloud – sensible Daten dort liegen zu lassen, ist immer ein Restrisiko.
• Sicherheitslücken: Kein Programm ist perfekt – auch Passwortmanager können Schwachstellen haben.

Meine persönliche Lösung:
Verwenden Sie einfache Textdateien mit unverfänglichem Namen wie „hinweise.txt“ oder „erinnerung.txt“. Legen Sie verschiedene Dateien für unterschiedliche Themen in den jeweiligen Ordnern an (Bank, Buchhaltung, Website etc.). Und speichern Sie Kopien auf einer externen Festplatte.
Auch ein altmodisches Notizbuch ist eine gute Lösung – sofern Sie es nicht verlegen.

Empfehlungen:
Speichern Sie Passwörter nicht online, nur lokal und so, dass Sie möglichst mit verschiedenen Mitteln Zugang haben.
Fügen Sie Benutzer und Passwörter per Copy-Paste ein, vermeiden Sie das Eintippen über die Tastatur.

Wichtig: starke, einzigartige Passwörter für jeden Zugang wählen.

So umgehen Sie zentrale Risiken und behalten die volle Kontrolle auch ohne Passwortmanager.

In vielen Standardempfehlungen werden automatische Updates empfohlen. Meine Erfahrung zeigt jedoch, dass sie in der Praxis auch Probleme verursachen können.

Automatische Updates klingen bequem und sind es auch.
Ich habe jedoch schon einige Websites wiederherstellen müssen, die durch automatische Updates zerstört wurden. Denn Konflikte zwischen neuen Updates und veralteten SQL-Versionen, PHP-Versionen oder nicht mehr unterstützten Plugins hatten die Website unzugänglich gemacht oder Serverfehler ausgelöst.

Meine Empfehlung:

• Wenn Sie nicht wöchentlich Ihre Webseite kontrollieren und tägliche Backups anlegen, sollten sie automatische Updates deaktivieren.
• Kleine Sicherheitsupdates werden von WordPress meist automatisch eingespielt. Auf größere sicherheitsrelevante Updates wird durch automatische Hinweis-E-Mails an den Website-Admin hingewiesen.
• Prüfen Sie Feature-Updates, Plugins und Themes manuell alle 1–2 Monate und führen Sie diese manuell durch.
• PHP/Server-Updates sollten mindestens einmal im Jahr geprüft werden.
• Vor jedem Update ein Backup erstellen.
• Nach jedem Update eine kurze Funktionsprüfung der Website und Formulare durchführen.

Diese Vorgehensweise ist aus meiner Erfahrung heraus sicherer und gibt Ihnen die volle Kontrolle. Sie halten alles auf dem Neuesten Stand und verhindern unerwartete Schäden durch schlecht abgestimmte automatische Updates.

Ich habe es oben schon mehrfach erwähnt. Jedes Plugin ist eine potenzielle Schwachstelle.

Praxis-Tipp:

• Installieren Sie nur, was Sie wirklich benötigen.
• Prüfen Sie regelmäßig, ob Plugins noch gepflegt werden.
• Entfernen Sie alte oder ungenutzte Plugins sofort.

Weniger Plugins = weniger Risiko = schnellere, stabilere Website.

Viele setzen auf automatische Backups, doch oft werden sie auf demselben Server oder direkt in der Website gespeichert. Wenn der Server oder die Website gehackt wurde, sind oft auch die online-Backups kompromittiert.

Praxis-Tipp:

• Backup regelmäßig herunterladen und offline speichern (lokaler Rechner und/oder externe Festplatte).
• Backups vom Server löschen, sobald sie offline gesichert sind.

Nur so können Sie im Ernstfall die Website sauber wiederherstellen.

Firewalls klingen nach der ultimativen Sicherheitslösung. Firewalls können in der Praxis jedoch auch Schaden anrichten, wenn sie falsch oder zu aggressiv konfiguriert sind.

Beispiele aus meiner Erfahrung:

• Firewall blockierte Änderungen in WordPress – selbst einfache Textänderungen waren nicht mehr möglich.
• Automatische Sicherheitsupdates wurden unterbunden.
• E-Mails aus Formularen gingen verloren.

Praxis-Tipp:

• Firewall Änderungen sind nur sinnvoll, wenn sie vorsichtig eingesetzt werden und absolute Kontrolle gewährleistet ist.
• Für die meisten Websites reicht ein guter Hoster, der DDOS & Angriffe abfedern kann.
• Prüfen Sie nach jeder Anpassung, ob alles noch funktioniert und keine Kommunikation blockiert wird.

Übermäßig aggressive Firewalls oder selbst konfigurierte WAFs können mehr Probleme verursachen als sie lösen.

Phishing ist das häufigste Einfallstor, egal welches CMS Sie nutzen.

Praxis-Tipps, wenn Sie unsicher sind:

• Prüfen Sie E-Mail-Absender, Anrede und Logik.
• Misstrauen Sie Nachrichten mit Drohungen oder Zeitdruck.
• Verdächtige E-Mails ignorieren oder melden, nicht sofort handeln. Auch hier gilt: Don’t Panic – behalten Sie einen kühlen Kopf.
• Antworten Sie bei verdächtigen E-Mails nie auf gleichem Wege (per Mail an die selbe E-Mail-Adresse, durch Klick auf Buttons oder Links), öffnen Sie keine Anhänge. Versuchen sie bei Unsicherheiten auf anderem Wege (Telefon, Brief, Kontaktformular der offiziellen Webseite, offizielle E-Mail) Nachzufragen.

Die bisher beschriebenen Maßnahmen und Tipps bilden das Fundament für die Sicherheit Ihrer Website. Wer Passwörter clever verwaltet, Updates kontrolliert, Backups offline sichert und mit Ruhe und Verstand handelt, hat schon viel erreicht.

Im nächsten Schritt schauen wir uns konkrete Plugins an, die Ihnen helfen, die Sicherheit weiter zu erhöhen, gehen auf Do’s & Don’ts ein, und zeigen, wie Sie mit einfacher Routine dauerhaft den Überblick behalten – ohne großen Mehraufwand.

Was es tut:
Begrenzt fehlgeschlagene Login-Versuche und blockiert Angreifer automatisch.

Wogegen es hilft:
Schützt effektiv vor Brute-Force-Angriffen – einem der häufigsten Angriffstypen.

Was es tut:
Ergänzt Ihr Login um eine zweite Sicherheitsstufe (z. B. Code per App oder E-Mail).

Warum es hilft:
Selbst wenn ein Passwort abgegriffen wird, bleibt der Zugang geschützt.

Was es tut:
Schützt Formulare vor Spam mit Honeypots, intelligenten Filtern und Captcha-Mechanismen.

Warum es hilft:

• Funktioniert im Hintergrund, ohne Nutzer zu stören
• erkennt auch moderne Bots

Es ist kostenfrei nutzbar und Besonders sinnvoll für Kontaktformulare. Sie schützen damit sich und andere.

Was es tut:
Erstellt mit einem Klick Backups Ihrer Website und ermöglicht eine einfache Offline-Sicherung. Funktioniert auch auf in Bezug auf backup-begrenzten Servern wie IONOS oder STRATO.

Warum es hilft:
Ermöglicht die saubere Wiederherstellung Ihrer Seite im Ernstfall – Ihre „Lebensversicherung“.

Was es tut:
Filtert Spam-Kommentare zuverlässig, ohne externe Dienste zu nutzen.

Warum es gut ist:

• DSGVO-freundlich (kein Google, kein Tracking)
• vollständig kostenfrei
• sehr effektiv bei klassischem Kommentar-Spam

Tipp zu Kommentaren.
Bevor Sie ein Plugin installieren, stellen Sie sich eine einfache Frage:
Brauchen Sie Kommentare überhaupt?

Viele Websites nutzen Kommentarfunktionen gar nicht aktiv, haben sie jedoch aktiviert.

Das Ergebnis:

• Spam
• unnötige Angriffsfläche
• zusätzlicher Pflegeaufwand

Meine Empfehlung:
Wenn Sie keine Kommentare benötigen, deaktivieren Sie sie einfach in den Einstellungen von WordPress.

Das ist oft die einfachste und effektivste Lösung, ganz ohne Plugin.

Phishing ist das häufigste Einfallstor, egal welches CMS Sie nutzen.

Praxis-Tipps, wenn Sie unsicher sind:

• Prüfen Sie E-Mail-Absender, Anrede und Logik.
• Misstrauen Sie Nachrichten mit Drohungen oder Zeitdruck.
• Verdächtige E-Mails ignorieren oder melden, nicht sofort handeln. Auch hier gilt: Don’t Panic – behalten Sie einen kühlen Kopf.
• Antworten Sie bei verdächtigen E-Mails nie auf gleichem Wege (per Mail an dieselbe E-Mail-Adresse, durch Klick auf Buttons oder Links), öffnen Sie keine Anhänge. Versuchen Sie bei Unsicherheiten auf anderem Wege (Telefon, Brief, Kontaktformular der offiziellen Webseite, offizielle E-Mail) Nachzufragen.

Warum ich bewusst wenige Plugins und keinen Allrounder empfehle ist einfach erklärt.
Viele greifen zu großen „All-in-One-Security-Plugins“.

Meine Erfahrung:
Diese sind oft überladen, kosten Geld, wenn man sie effektiv nutzen will, sind schwer zu kontrollieren und verursachen nicht selten neue Probleme.

Mit wenigen, gezielten Plugins, die jeweils nur eine Aufgabe erfüllen, erreichen Sie:

• mehr Kontrolle
• besseren Schutz durch Spezialisierung
• weniger Fehlerquellen, bzw. leichter zu identifizierende
• hat eines einen Fehler nach einem Update, funktionieren die anderen immer noch
• bessere Performance

Wenn Sie diese wenigen Tools einsetzen und die Maßnahmen aus den vorherigen Punkten beachten, haben Sie bereits ein sehr solides Sicherheitsniveau erreicht – ganz ohne komplizierte Technik oder hohe Kosten.

Ein Punkt, der oft unterschätzt wird ist regelmäßige Wartung.

Viele Anleitungen empfehlen monatliche Updates und Prüfungen.
In der Praxis ist das jedoch für viele Website-Betreiber schwer dauerhaft umzusetzen und führt eher zu Stress als zu mehr Sicherheit.

Hinzu kommt, Plugins werden teilweise mehrmals im Monat aktualisiert.
Wer versucht, immer sofort alles auf dem neuesten Stand zu halten, ist schnell in einer Endlosschleife aus Updates.

Meine Empfehlung für die Praxis:
Eine Wartungsroutine alle 2–3 Monate ist in den meisten Fällen völlig ausreichend.

In dieser Routine sollten Sie:

• ein Backup erstellen und offline sichern
• alle Updates manuell durchführen
• die Website kurz durchtesten (Formulare, Inhalte, Funktionen)

Das ist überschaubar, gut planbar und kann auch langfristig durchgehalten werden – und genau das ist entscheidend.

Es gibt Ausnahmen, bei denen Sie schneller reagieren sollten:

• wenn Ihre Website aktiv angegriffen wird
• wenn auffällige Probleme auftreten
• oder wenn eine kritische Sicherheitslücke bekannt wird

In solchen Fällen kann eine monatliche oder sogar wöchentliche/sofortige Aktualisierung sinnvoll sein.

Sicherheit entsteht in der Regel nicht durch möglichst häufige Updates, sondern durch kontrollierte, saubere Abläufe und regelmäßige Routinen.
Eine einfache Routine, die Sie wirklich einhalten, ist am Ende deutlich effektiver als ein perfekter Plan, der im Alltag nicht umgesetzt wird.

Ein Thema, das oft unterschätzt wird, gleichzeitig das häufigste Einfallstor ist: Phishing.

Phishing zu erhalten ist keine Schande.
Es bedeutet nicht, dass Ihre Website unsicher ist oder Sie etwas falsch gemacht haben.

Im Gegenteil – es ist wie mit Läusen bei Kindern:
Sie zeigen nicht mangelnde Hygiene, sondern nur, dass man am Leben teilnimmt.

Typische Beispiele aus dem Alltag.

Vielleicht kennen Sie solche E-Mails:

• „Ihr Hosting wird abgeschaltet – bitte bestätigen Sie Ihre Daten“
• „Sie haben einen großen Preis gewonnen“
• „Ihre Bestellung konnte nicht zugestellt werden“
• „Rechnung nicht bezahlt – letzte Mahnung!“
• „Finanzamt / IHK fordert Datenabgleich“
• Bewerbungen aus dem Ausland ohne Bezug

All das sind typische Phishing- oder Spam-Versuche. Und nur ein kleiner Ausschnitt dessen, was täglich im Umlauf ist.

Woran erkennen Sie Phishing?

Es gibt ein paar einfache Regeln, die die meisten Pishing-Versuche aufdecken:

1. Absender prüfen
Die E-Mail-Adresse ist oft der wichtigste Hinweis.
Stimmen Domain und Name wirklich mit den offiziellen E-Mails/Webseiten des Absenders überein?

2. Anrede beachten
Seriöse Unternehmen sprechen Sie in der Regel persönlich an, mit Namen oder Kundennummer.
Allgemeine Anreden wie „Sehr geehrter Kunde“ oder „Lieber (Ihre E-Mail-Adresse)“ sind ein Warnsignal.

3. Logik hinterfragen
Stellen Sie sich einfache Fragen:

• Habe ich das wirklich bestellt?
• Erwarte ich diese Nachricht?
• Ergibt das Ganze Sinn?

4. Druck & Drohungen erkennen
Phishing arbeitet fast immer mit:

• Zeitdruck („sofort handeln“)
• Angst („Konto wird gesperrt“)

Seriöse Anbieter kommunizieren selten so.

5. Im Zweifel kurz recherchieren
Geben Sie Betreff, Thema oder Inhalt der Mail bei Google ein.
In vielen Fällen finden Sie sofort Hinweise, dass es sich um Betrug handelt.

6. Grundregel: „Was wichtig ist, kommt wieder“
Wirklich reale und wichtige Anliegen kommen mehrfach – oft auf verschiedenen Wegen.
Im Zweifel: nicht reagieren, sondern prüfen.

Wie sollten Sie also auf Phishing reagieren?

• Nicht klicken, nicht antworten
• E-Mail löschen oder als Spam markieren
• Im Zweifel auf anderem Wege direkt beim Absender nachfragen (nicht über den Link in der Mail!)

Was tun, wenn Sie doch hereingefallen sind?
Auch dann: Keine Panik – wichtig ist schnelles Handeln:

• Herausgegebene Benutzer und Passwörter sofort ändern
• Betroffenen Anbieter kontaktieren (z. B. Bank, Hosting, E-Mail)
• ggf. weitere Zugänge prüfen

Je schneller Sie reagieren, desto geringer der Schaden.

Fazit
Technik kann viel absichern aber der wichtigste Schutz ist und bleibt Ihr Verstand.
Wer die typischen Muster erkennt und ruhig bleibt, hat bereits den größten Teil der Angriffe abgewehrt bevor sie entstehen.

Weitere Möglichkeiten, Ihre WordPress-Sicherheit zu erhöhen:

Neben den grundlegenden Maßnahmen, die wir bisher besprochen haben, gibt es noch fortgeschrittene Optionen, um Ihre WordPress-Website gezielt zu härten.

• Härten der wp-config.php
  Dies kann den direkten Zugriff auf Dateien und den Editor verhindern, bringt aber auch Einschränkungen mit sich: automatische Updates funktionieren nicht mehr vollständig, ausstehende Updates werden nicht angezeigt und Plugins lassen sich teilweise nicht installieren oder aktualisieren.
• Individuelle Präfixe für SQL-Tabellen
  Ein geändertes Tabellenpräfix erschwert Angreifern das gezielte Ansprechen Ihrer Datenbank. Auch hier gilt: Wer die Datenbank selbst ändert, muss wissen, was er tut.
• Login-Seite umleiten oder verstecken
  Das Verlegen der Standard-Login-Seite erschwert Brute-Force-Angriffe, kann aber zu Problemen führen, wenn Sie Plugins verwenden, die sich auf die Standardpfade verlassen.

All diese Maßnahmen sind nicht ohne Risiko und erfordern ein Verständnis der Funktionsweise von WordPress. Sie bringen bestimmte Aufgaben mit sich, die Sie in Ihre Routinen und Sicherheitsprüfungen einbauen müssen und die eventuell ein wenig Schulung erfordern.

Kontaktieren Sie mich gerne, wenn Sie solche Schritte umsetzen möchten oder Fragen haben.

Telefon: 04193/75 41 25 – E-Mail: info(at)r-j-f.de