WordPress Sicherheit: Die wichtigsten Tipps 2026 | Enjyn Gruppe
Hallo Welt
Hallo Welt
Original Lingva Deutsch
Übersetzung wird vorbereitet...
Dieser Vorgang kann bis zu 60 Sekunden dauern.
Diese Seite wird erstmalig übersetzt und dann für alle Besucher gespeichert.
0%
DE Zurück zu Deutsch
Übersetzung durch Lingva Translate

241 Dokumentationen verfügbar

Wissensdatenbank

Zurück zur Übersicht

WordPress Sicherheit Tipps 2026

Zuletzt aktualisiert: 11.01.2026 um 10:22 Uhr

WordPress Sicherheit: Die wichtigsten Tipps 2026

WordPress betreibt über 40% aller Websites weltweit - und ist damit ein beliebtes Ziel für Hacker. Mit den richtigen Sicherheitsmaßnahmen schützen Sie Ihre Website effektiv vor Angriffen, Malware und Datenverlust.

Die größten Sicherheitsrisiken

  • Veraltete Software: Alte WordPress-Versionen, Themes und Plugins mit bekannten Sicherheitslücken
  • Schwache Passwörter: Einfache Admin-Passwörter werden schnell geknackt
  • Unsichere Plugins: Schlecht programmierte oder verlassene Plugins
  • Brute-Force-Angriffe: Automatisierte Login-Versuche
  • SQL-Injection: Angriffe über unsichere Formulare

Grundlegende Sicherheitsmaßnahmen

1. Updates immer installieren

80% aller gehackten WordPress-Sites waren nicht aktuell:

  • WordPress Core automatisch aktualisieren
  • Plugins und Themes regelmäßig updaten
  • Ungenutzte Plugins und Themes löschen (nicht nur deaktivieren!)
// In wp-config.php für automatische Updates
define('WP_AUTO_UPDATE_CORE', true);

// Automatische Plugin-Updates aktivieren
add_filter('auto_update_plugin', '__return_true');

// Automatische Theme-Updates aktivieren
add_filter('auto_update_theme', '__return_true');

2. Starke Passwörter erzwingen

  • Mindestens 16 Zeichen mit Sonderzeichen
  • Passwort-Manager verwenden (Bitwarden, 1Password)
  • Für jeden Account ein eigenes Passwort
  • Standard-Benutzername "admin" vermeiden

3. Zwei-Faktor-Authentifizierung (2FA)

Empfohlene Plugins:

  • Wordfence - Kostenlose 2FA-Funktion
  • WP 2FA - Spezialisiert auf 2FA
  • Google Authenticator - Einfache Integration

wp-config.php absichern

// Sicherheits-Keys generieren unter: https://api.wordpress.org/secret-key/1.1/salt/
define('AUTH_KEY',         'ihr-einzigartiger-key');
define('SECURE_AUTH_KEY',  'ihr-einzigartiger-key');
define('LOGGED_IN_KEY',    'ihr-einzigartiger-key');
define('NONCE_KEY',        'ihr-einzigartiger-key');
define('AUTH_SALT',        'ihr-einzigartiger-key');
define('SECURE_AUTH_SALT', 'ihr-einzigartiger-key');
define('LOGGED_IN_SALT',   'ihr-einzigartiger-key');
define('NONCE_SALT',       'ihr-einzigartiger-key');

// Datei-Editor deaktivieren
define('DISALLOW_FILE_EDIT', true);

// Debug im Live-Betrieb deaktivieren
define('WP_DEBUG', false);
define('WP_DEBUG_LOG', false);
define('WP_DEBUG_DISPLAY', false);

// Datenbank-Prefix ändern (nur bei Neuinstallation)
$table_prefix = 'wp_xyz123_';

.htaccess Sicherheitsregeln

# wp-config.php schützen
<Files wp-config.php>
    Order Allow,Deny
    Deny from all
</Files>

# .htaccess schützen
<Files .htaccess>
    Order Allow,Deny
    Deny from all
</Files>

# XML-RPC deaktivieren (falls nicht benötigt)
<Files xmlrpc.php>
    Order Allow,Deny
    Deny from all
</Files>

# wp-includes schützen
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

# Verzeichnis-Listing deaktivieren
Options -Indexes

Login-Bereich absichern

Login-URL ändern

Mit WPS Hide Login oder in der .htaccess:

# Login auf eigene URL umleiten
RewriteRule ^mein-geheimer-login$ /wp-login.php [L]

Login-Versuche begrenzen

// In functions.php oder eigenes Plugin
function limit_login_attempts($user, $username, $password) {
    $ip = $_SERVER['REMOTE_ADDR'];
    $transient_name = 'login_attempts_' . md5($ip);
    $attempts = get_transient($transient_name);
    
    if ($attempts >= 5) {
        return new WP_Error('too_many_attempts', 
            'Zu viele Login-Versuche. Bitte warten Sie 15 Minuten.');
    }
    
    return $user;
}
add_filter('authenticate', 'limit_login_attempts', 30, 3);

Empfohlene Sicherheits-Plugins

Plugin Funktionen Kosten
Wordfence Firewall, Malware-Scan, 2FA, Login-Schutz Kostenlos / Premium
Sucuri Security Firewall, Malware-Entfernung, CDN Kostenlos / Premium
iThemes Security 30+ Sicherheitsmaßnahmen Kostenlos / Premium
All In One WP Security Umfassend, benutzerfreundlich Kostenlos
💡 Tipp: Verwenden Sie maximal ein Sicherheits-Plugin. Mehrere können sich gegenseitig blockieren und Performance-Probleme verursachen.

Regelmäßige Backups

Backups sind Ihre letzte Verteidigungslinie:

  • UpdraftPlus: Automatische Backups zu Cloud-Diensten
  • BackWPup: Flexibel, auch für Dropbox/S3
  • Hosting-Backups: Zusätzlich zu Plugin-Backups nutzen
⚠️ Wichtig: Testen Sie regelmäßig, ob Ihre Backups auch wiederherstellbar sind!

Sicherheits-Checkliste

  1. ☐ WordPress, Plugins und Themes aktuell
  2. ☐ Starke Passwörter für alle Benutzer
  3. ☐ 2FA für Admin-Konten aktiviert
  4. ☐ Sicherheits-Plugin installiert und konfiguriert
  5. ☐ Automatische Backups eingerichtet
  6. ☐ SSL-Zertifikat aktiv
  7. ☐ wp-config.php abgesichert
  8. ☐ Ungenutzte Plugins/Themes gelöscht
  9. ☐ Login-Versuche begrenzt
  10. ☐ Datei-Editor deaktiviert

Weitere Hilfe

Ihre WordPress-Website wurde gehackt oder Sie benötigen Unterstützung bei der Absicherung?

Enjix Beta

Enjyn AI Agent

Hallo 👋 Ich bin Enjix — wie kann ich dir helfen?
120