Moin,
WordPress Sicherheit ist so ein Thema, bei dem alle nicken und keiner wirklich handelt. Bis es knallt.
Ich hab in den letzten Jahren mehr gehackte WordPress-Seiten gesehen, als mir lieb ist. Nicht bei mir – aber bei Leuten, die zu mir kamen, nachdem es passiert ist. Und jedes Mal die gleiche Geschichte: „Wir dachten, das passiert nur anderen."
Spoiler: Passiert es nicht.
Warum WordPress überhaupt ein Ziel ist
WordPress läuft auf über 40% aller Websites weltweit. Das ist nicht das Problem. Das Problem ist, dass jeder Hacker das weiß. Nicht weil WordPress grundsätzlich unsicher wäre, sondern weil es sich lohnt. Eine Schwachstelle finden, die bei Millionen Seiten funktioniert – das ist Effizienz aus Sicht der Angreifer.
Die meisten Leute denken: „Wer sollte mich hacken wollen? Ich bin doch nicht wichtig." Blöderweise läuft das automatisiert. Bots scannen rund um die Uhr nach verwundbaren Seiten. Die fragen nicht, ob du wichtig bist. Die fragen, ob deine Tür offen steht.
Was ich 2026 anders mache als früher
Früher hab ich WordPress-Sicherheit als Checkliste behandelt. Plugin installieren, fertig. Heute sehe ich das anders.
Sicherheit ist kein Zustand, sondern ein Prozess. Klingt nach Berater-Blabla, ist aber so. Die Bedrohungen ändern sich, die Plugins ändern sich, WordPress selbst ändert sich. Was letztes Jahr sicher war, kann heute ein Einfallstor sein.
Deshalb: Monitoring. Nicht weil ich paranoid bin, sondern weil ich nachts schlafen will. Ich nutze Tools, die mir Bescheid sagen, wenn sich was Ungewöhnliches tut. Neue Admin-Accounts, geänderte Dateien, Login-Versuche aus Kasachstan – ich will das wissen.
Die drei größten Schwachstellen, die ich immer wieder sehe
Veraltete Plugins. Ja, ich weiß. Langweilig. Aber es ist 2026 und ich sehe immer noch Seiten mit Plugins von 2023, die seit zwei Jahren nicht mehr gepflegt werden. Das ist wie eine offene Haustür mit einem Schild „Bitte bedienen Sie sich."
Schwache Passwörter. Admin/Admin123 – ich mache keine Witze. Oder Varianten davon. Passwort-Manager kosten nichts, sind in zwei Minuten eingerichtet und sparen dir den Albtraum einer gehackten Seite.
Keine Backups. Oder besser: Backups, die keiner je getestet hat. Ich hatte mal einen Kunden, der stolz sein Backup-Plugin zeigte. Als wir es brauchten, war die letzte Sicherung von vor acht Monaten. Und korrupt. Das tut weh.
Was wirklich funktioniert (aus meiner Erfahrung)
Automatische Updates für WordPress Core. Ja, es kann mal was kaputtgehen. Aber die Alternative – eine verwundbare Installation – ist schlimmer. Ich aktiviere das bei jedem Projekt.
Zwei-Faktor-Authentifizierung für alle Admin-Accounts. Nicht optional, sondern Standard. Ein gestohlenes Passwort ist dann wertlos.
Tägliche Backups, automatisch, extern gespeichert. Nicht auf dem gleichen Server. Ich nutze dafür Dienste, die das zuverlässig machen und die ich regelmäßig teste. Nicht weil ich Spaß daran habe, sondern weil ich schon zu oft gesehen habe, was passiert, wenn man es nicht tut.
Ein vernünftiges Security-Plugin. Nicht drei, nicht fünf. Eins. Gut konfiguriert. Ich arbeite seit Jahren mit Solid Security Pro – früher iThemes Security. Die machen das seit über einem Jahrzehnt und das merkt man.
Der Faktor Mensch
Das größte Sicherheitsrisiko sitzt vor dem Bildschirm. Nicht böse gemeint, aber die meisten Hacks passieren nicht durch ausgefeilte Technik, sondern durch menschliche Fehler.
Jemand klickt auf einen Link in einer gefälschten E-Mail. Jemand installiert ein Plugin aus einer dubiosen Quelle. Jemand gibt seine Login-Daten an einen „Support-Mitarbeiter" weiter, der keiner ist.
Deshalb: Schulung. Nicht als einmaligen Workshop, sondern als fortlaufenden Prozess. Jeder, der Zugang zu deinem WordPress hat, sollte die Basics kennen. Was ist Phishing? Wie erkenne ich verdächtige Plugins? Was mache ich, wenn was komisch aussieht?
Was ich nicht mache (und warum)
Ich installiere keine 15 Security-Plugins parallel. Das macht die Seite langsam und löst oft mehr Probleme, als es verhindert. Ein gutes Plugin, richtig konfiguriert, reicht.
Ich verstecke die Login-URL nicht mehr. Früher dachte ich, das wäre clever. Heute weiß ich: Security durch Obscurity funktioniert nicht. Lieber ordentliche Authentifizierung und Rate-Limiting.
Ich verbiete keine IP-Adressen mehr manuell. Das ist Whack-a-Mole. Bots wechseln IPs schneller, als du sperren kannst. Lieber automatisierte Lösungen, die verdächtiges Verhalten erkennen.
Die Kosten-Nutzen-Rechnung
WordPress-Sicherheit kostet. Zeit, Geld, manchmal Nerven. Aber eine gehackte Seite kostet mehr. Nicht nur die Wiederherstellung, sondern der Vertrauensverlust, die Ausfallzeit, die Google-Rankings, die Nerven. Wenn das für dich passt, melde dich.
Ich hatte 2024 einen Kunden, dessen Seite gehackt wurde. Online-Shop, guter Umsatz. Die Seite war drei Tage offline. Der direkte Schaden: etwa 15.000 Euro Umsatzausfall. Der indirekte Schaden: Kunden, die nie wiederkamen, weil sie der Seite nicht mehr vertrauten.
Die Kosten für ordentliche Sicherheit? Vielleicht 50 Euro im Monat für Tools und ein paar Stunden Setup. Einmal. Danach läuft es.
Mein Setup 2026
Falls es dich interessiert: Ich nutze Solid Security Pro für Firewall, Login-Schutz und Malware-Scan. Tägliche Backups laufen über Solid Backups (früher BackupBuddy) zu einem externen Storage. Zwei-Faktor-Auth ist direkt in Solid Security integriert. Automatische Updates für alles außer Theme und kritische Plugins – die teste ich erst auf Staging.
Dazu ein Monitoring, das mir bei Auffälligkeiten eine Nachricht schickt. Und ein fester Termin im Kalender, einmal im Monat, wo ich alle Seiten durchgehe und checke, ob alles läuft.
Ist das paranoid? Vielleicht. Aber ich hatte noch keinen Hack. Und das ist mir das Setup wert.
Was du heute tun kannst
Wenn du bis hier gelesen hast: Respekt. Jetzt mach was draus.
Check deine WordPress-Version. Jetzt. Dann deine Plugins. Alles aktuell? Wenn nein: updaten oder deinstallieren.
Aktiviere Zwei-Faktor-Authentifizierung. Dauert zehn Minuten.
Mach ein Backup und teste, ob du es wiederherstellen kannst. Wenn du das noch nie gemacht hast, ist heute ein guter Tag.
WordPress-Sicherheit ist kein Hexenwerk. Aber es ist auch nichts, was du einmal machst und dann vergisst. Es ist wie Zähneputzen – regelmäßig, konsequent, nicht sexy, aber notwendig.
Und wenn du das Gefühl hast, das überfordert dich: Hol dir Hilfe. Lieber jemanden bezahlen, der es richtig macht, als später jemanden bezahlen, der den Schaden repariert.
Cheers,
Rafael