78 Dokumentationen verfügbar

Wissensdatenbank

Zurück zur Übersicht

WordPress Sicherheit Tipps 2026

Zuletzt aktualisiert: 11.01.2026 um 10:22 Uhr

WordPress Sicherheit: Die wichtigsten Tipps 2026

WordPress betreibt über 40% aller Websites weltweit - und ist damit ein beliebtes Ziel für Hacker. Mit den richtigen Sicherheitsmaßnahmen schützen Sie Ihre Website effektiv vor Angriffen, Malware und Datenverlust.

Die größten Sicherheitsrisiken

  • Veraltete Software: Alte WordPress-Versionen, Themes und Plugins mit bekannten Sicherheitslücken
  • Schwache Passwörter: Einfache Admin-Passwörter werden schnell geknackt
  • Unsichere Plugins: Schlecht programmierte oder verlassene Plugins
  • Brute-Force-Angriffe: Automatisierte Login-Versuche
  • SQL-Injection: Angriffe über unsichere Formulare

Grundlegende Sicherheitsmaßnahmen

1. Updates immer installieren

80% aller gehackten WordPress-Sites waren nicht aktuell:

  • WordPress Core automatisch aktualisieren
  • Plugins und Themes regelmäßig updaten
  • Ungenutzte Plugins und Themes löschen (nicht nur deaktivieren!)
// In wp-config.php für automatische Updates
define('WP_AUTO_UPDATE_CORE', true);

// Automatische Plugin-Updates aktivieren
add_filter('auto_update_plugin', '__return_true');

// Automatische Theme-Updates aktivieren
add_filter('auto_update_theme', '__return_true');

2. Starke Passwörter erzwingen

  • Mindestens 16 Zeichen mit Sonderzeichen
  • Passwort-Manager verwenden (Bitwarden, 1Password)
  • Für jeden Account ein eigenes Passwort
  • Standard-Benutzername "admin" vermeiden

3. Zwei-Faktor-Authentifizierung (2FA)

Empfohlene Plugins:

  • Wordfence - Kostenlose 2FA-Funktion
  • WP 2FA - Spezialisiert auf 2FA
  • Google Authenticator - Einfache Integration

wp-config.php absichern

// Sicherheits-Keys generieren unter: https://api.wordpress.org/secret-key/1.1/salt/
define('AUTH_KEY',         'ihr-einzigartiger-key');
define('SECURE_AUTH_KEY',  'ihr-einzigartiger-key');
define('LOGGED_IN_KEY',    'ihr-einzigartiger-key');
define('NONCE_KEY',        'ihr-einzigartiger-key');
define('AUTH_SALT',        'ihr-einzigartiger-key');
define('SECURE_AUTH_SALT', 'ihr-einzigartiger-key');
define('LOGGED_IN_SALT',   'ihr-einzigartiger-key');
define('NONCE_SALT',       'ihr-einzigartiger-key');

// Datei-Editor deaktivieren
define('DISALLOW_FILE_EDIT', true);

// Debug im Live-Betrieb deaktivieren
define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);

// Datenbank-Prefix ändern (nur bei Neuinstallation)
$table_prefix = 'wp_xyz123_';

.htaccess Sicherheitsregeln

# wp-config.php schützen
<Files wp-config.php>
    Order Allow,Deny
    Deny from all
</Files>

# .htaccess schützen
<Files .htaccess>
    Order Allow,Deny
    Deny from all
</Files>

# XML-RPC deaktivieren (falls nicht benötigt)
<Files xmlrpc.php>
    Order Allow,Deny
    Deny from all
</Files>

# wp-includes schützen
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

# Verzeichnis-Listing deaktivieren
Options -Indexes

Login-Bereich absichern

Login-URL ändern

Mit WPS Hide Login oder in der .htaccess:

# Login auf eigene URL umleiten
RewriteRule ^mein-geheimer-login$ /wp-login.php [L]

Login-Versuche begrenzen

// In functions.php oder eigenes Plugin
function limit_login_attempts($user, $username, $password) {
    $ip = $_SERVER['REMOTE_ADDR'];
    $transient_name = 'login_attempts_' . md5($ip);
    $attempts = get_transient($transient_name);
    
    if ($attempts >= 5) {
        return new WP_Error('too_many_attempts', 
            'Zu viele Login-Versuche. Bitte warten Sie 15 Minuten.');
    }
    
    return $user;
}
add_filter('authenticate', 'limit_login_attempts', 30, 3);

Empfohlene Sicherheits-Plugins

Plugin Funktionen Kosten
Wordfence Firewall, Malware-Scan, 2FA, Login-Schutz Kostenlos / Premium
Sucuri Security Firewall, Malware-Entfernung, CDN Kostenlos / Premium
iThemes Security 30+ Sicherheitsmaßnahmen Kostenlos / Premium
All In One WP Security Umfassend, benutzerfreundlich Kostenlos
💡 Tipp: Verwenden Sie maximal ein Sicherheits-Plugin. Mehrere können sich gegenseitig blockieren und Performance-Probleme verursachen.

Regelmäßige Backups

Backups sind Ihre letzte Verteidigungslinie:

  • UpdraftPlus: Automatische Backups zu Cloud-Diensten
  • BackWPup: Flexibel, auch für Dropbox/S3
  • Hosting-Backups: Zusätzlich zu Plugin-Backups nutzen
⚠️ Wichtig: Testen Sie regelmäßig, ob Ihre Backups auch wiederherstellbar sind!

Sicherheits-Checkliste

  1. ☐ WordPress, Plugins und Themes aktuell
  2. ☐ Starke Passwörter für alle Benutzer
  3. ☐ 2FA für Admin-Konten aktiviert
  4. ☐ Sicherheits-Plugin installiert und konfiguriert
  5. ☐ Automatische Backups eingerichtet
  6. ☐ SSL-Zertifikat aktiv
  7. ☐ wp-config.php abgesichert
  8. ☐ Ungenutzte Plugins/Themes gelöscht
  9. ☐ Login-Versuche begrenzt
  10. ☐ Datei-Editor deaktiviert

Weitere Hilfe

Ihre WordPress-Website wurde gehackt oder Sie benötigen Unterstützung bei der Absicherung?