WordPress betreibt 43 Prozent aller Websites weltweit (W3Techs, 2026) -- und ist damit das bevorzugte Ziel von Angreifern. Allein im Jahr 2025 wurden 4,3 Millionen WordPress-Websites durch Schwachstellen in Plugins kompromittiert (Patchstack, 2025). Die gute Nachricht: Mit einer systematischen Härtungsstrategie lässt sich die Angriffsfläche um über 95 Prozent (Projekterfahrung) reduzieren. Dieser Leitfaden zeigt, wie Sie Ihre WordPress-Installation in 2026 professionell absichern -- von der Core-Härtung über Plugin-Sicherheit bis zum Echtzeit-Monitoring.
WordPress-Bedrohungslandschaft 2026
Die WordPress-Sicherheitslandschaft hat sich in den letzten Jahren verändert. Während früher hauptsächlich der WordPress-Core Ziel von Angriffen war, entfallen heute 97 Prozent aller WordPress-Schwachstellen auf Plugins und Themes (Patchstack, 2025). Der Core selbst ist durch das WordPress-Sicherheitsteam und die große Community gut geschützt. Die eigentliche Angriffsfläche liegt in den tausenden verfügbaren Erweiterungen, die von Einzelentwicklern bis zu großen Teams mit sehr unterschiedlichen Sicherheitsstandards gepflegt werden.
Die häufigsten Angriffstypen im Jahr 2026 sind Cross-Site-Scripting (XSS) mit 47 Prozent aller gemeldeten Schwachstellen, gefolgt von SQL-Injection (15 Prozent), Broken Access Control (12 Prozent) und Cross-Site Request Forgery (CSRF) (10 Prozent) (WPScan, 2025). Brute-Force-Angriffe auf wp-login.php und XML-RPC bleiben eine konstante Bedrohung, die bei ungeschützten Installationen zu erheblichem Ressourcenverbrauch führt -- auch wenn sie selten zum direkten Einbruch führen.
Automatisierte Botnets scannen das Internet kontinuierlich nach verwundbaren WordPress-Installationen. Eine neu veröffentlichte Plugin-Schwachstelle wird typischerweise innerhalb von 24 bis 48 Stunden aktiv ausgenutzt (CISA, 2025). Betreiber, die Updates verzögern oder ihre Installation nicht aktiv überwachen, setzen ihre Website und die Daten ihrer Nutzer einem erheblichen Risiko aus.
Core-Härtung
Dateiberechtigungen, wp-config.php absichern, Dateibearbeitung deaktivieren, Versionsinformationen verbergen und REST-API einschränken.
Login-Schutz
Zwei-Faktor-Authentifizierung, Login-URL ändern, Brute-Force-Schutz mit Rate-Limiting und automatischer IP-Sperre.
Datei-Integrität
Automatische Checksummen-Prüfung für Core-Dateien, Änderungsbenachrichtigungen und Erkennung unbekannter Dateien.
Web Application Firewall
Regelbasierte Filterung von Anfragen, Schutz vor SQL-Injection und XSS, virtuelle Patches für bekannte Schwachstellen.
Security-Monitoring
Echtzeit-Überwachung von Login-Versuchen, Dateiänderungen und verdächtigen Anfragen mit sofortiger Alarmierung.
Security Headers
Content-Security-Policy, X-Frame-Options, HSTS, Referrer-Policy und Permissions-Policy als zusätzliche Schutzschicht.
Core-Härtung: Die Basis jeder WordPress-Absicherung
Die Core-Härtung umfasst alle Maßnahmen, die die WordPress-Installation selbst gegen Angriffe schützen. Der erste Schritt ist die korrekte Dateiberechtigung: Verzeichnisse sollten auf 755, Dateien auf 644 und die wp-config.php auf 440 gesetzt sein. Diese Berechtigungen stellen sicher, dass der Webserver die Dateien lesen kann, aber nicht unbefugt schreiben darf. Eine zu lockere Berechtigung wie 777 auf dem Upload-Verzeichnis ist eine der häufigsten Ursachen für erfolgreiche Angriffe.
Die wp-config.php enthält die sensibelsten Informationen der Installation -- Datenbankzugangsdaten, Authentication Keys und Salts. Diese Datei sollte außerhalb des Web-Root verschoben werden (WordPress unterstützt dies nativ) oder zumindest durch eine .htaccess-Regel vor direktem Zugriff geschützt werden. Zusätzlich sollte die Dateibearbeitung über das Dashboard deaktiviert werden (DISALLOW_FILE_EDIT), damit ein kompromittiertes Admin-Konto nicht direkt Schadcode in Theme- oder Plugin-Dateien einfügen kann.
Weitere Härtungsmaßnahmen betreffen die Versionsinformationen: WordPress gibt standardmäßig die installierte Version im HTML-Header, in der readme.html und über die REST-API preis. Angreifer nutzen diese Informationen, um gezielt Exploits für die installierte Version einzusetzen. Das Entfernen dieser Informationen ist eine einfache, aber wirkungsvolle Maßnahme. Ebenso sollte die XML-RPC-Schnittstelle deaktiviert werden, wenn sie nicht benötigt wird -- sie ist ein beliebter Vektor für Brute-Force-Angriffe und DDoS-Verstärkung.
Plugin-Sicherheit: Die größte Angriffsfläche minimieren
Da 97 Prozent der Schwachstellen in Plugins und Themes liegen, ist die Plugin-Sicherheit der wichtigste Hebel für die Gesamtsicherheit. Der erste Schritt ist ein Plugin-Audit: Wie viele Plugins sind installiert? Werden alle aktiv genutzt? Wann wurden sie zuletzt aktualisiert? Wie groß ist die Nutzerbasis und wie reaktiv ist der Entwickler bei Sicherheitsproblemen? Plugins, die seit über 12 Monaten kein Update erhalten haben, sind ein erhebliches Risiko.
Die Reduktion der installierten Plugins auf das notwendige Minimum ist die effektivste Sicherheitsmaßnahme. Jedes Plugin erweitert die Angriffsfläche -- auch wenn es deaktiviert ist, können seine Dateien direkt aufgerufen werden. Eine WordPress-Installation mit 15 statt 40 Plugins hat eine um 62 Prozent kleinere Angriffsfläche (Projekterfahrung). Der Plugin-Audit identifiziert überflüssige Erweiterungen und zeigt Alternativen auf, die mehrere Plugin-Funktionen in einer sicheren Lösung vereinen.
Für die verbleibenden Plugins gilt: Automatische Updates für Sicherheitspatches aktivieren, regelmäßig die Sicherheitsdatenbanken prüfen und bei bekannten Schwachstellen sofort handeln. Die WordPress-eigene Auto-Update-Funktion für Plugins (seit Version 5.5) ermöglicht eine differenzierte Steuerung: kritische Sicherheitsplugins erhalten automatische Updates, während bei Checkout- oder Shop-Plugins manuelle Freigabe nach Staging-Tests sinnvoller ist.
Brute-Force-Schutz und Login-Härtung
Brute-Force-Angriffe auf die WordPress-Login-Seite gehören zum Grundrauschen jeder öffentlichen Website. Ein durchschnittlicher WordPress-Server registriert täglich mehrere tausend fehlgeschlagene Login-Versuche (Projekterfahrung). Selbst wenn diese Angriffe selten zum Erfolg führen, belasten sie den Server und können bei schwachen Passwörtern zur Kompromittierung führen.
Der effektivste Schutz kombiniert mehrere Maßnahmen: Rate-Limiting begrenzt die Anzahl erlaubter Login-Versuche pro IP-Adresse -- nach fünf fehlgeschlagenen Versuchen wird die IP für 30 Minuten gesperrt. Die Änderung der Login-URL von /wp-login.php auf eine individuelle Adresse eliminiert automatisierte Angriffe, die gezielt die Standard-URL ansprechen. Zwei-Faktor-Authentifizierung (2FA) macht selbst kompromittierte Passwörter wertlos, da zusätzlich ein zeitbasiertes Einmalpasswort (TOTP) erforderlich ist.
Zusätzlich empfehlen wir die Deaktivierung der Benutzerauflistung: WordPress gibt standardmäßig über die REST-API und über /?author=1 die Benutzernamen preis. Angreifer nutzen diese Information, um gezielt Passwörter für bekannte Benutzernamen zu testen. Die Deaktivierung der Benutzerauflistung in Kombination mit der Verwendung eines vom Anzeigenamen abweichenden Login-Namens erschwert Brute-Force-Angriffe erheblich.
Web Application Firewall: Angriffe filtern
Eine Web Application Firewall (WAF) analysiert den eingehenden HTTP-Traffic und blockiert bekannte Angriffsmuster, bevor sie die WordPress-Anwendung erreichen. Im Gegensatz zu einer Netzwerk-Firewall versteht die WAF die Anwendungslogik und kann SQL-Injection, XSS und Remote Code Execution erkennen und blockieren. Für WordPress-Installationen bieten sich sowohl cloudbasierte WAFs als auch serverbasierte Lösungen an.
Ein besonders wertvolles Feature moderner WAFs ist das Virtual Patching: Wenn eine Schwachstelle in einem Plugin bekannt wird, aber noch kein offizielles Update verfügbar ist, kann die WAF den spezifischen Angriffsvektor blockieren. Dies schließt das Zeitfenster zwischen Bekanntwerden der Schwachstelle und Verfügbarkeit des Updates -- ein Zeitfenster, das Angreifer aktiv ausnutzen. Laut Patchstack (2025) dauert es durchschnittlich 6 Tage von der Schwachstellenveröffentlichung bis zum Plugin-Update.
Die WAF-Konfiguration erfordert Feinabstimmung: Zu strenge Regeln blockieren legitime Anfragen (False Positives), zu lockere Regeln lassen Angriffe durch. Ein professionelles Sicherheits-Setup umfasst die initiale Konfiguration, eine Lernphase mit Monitoring und die kontinuierliche Anpassung der Regelsets an die spezifische WordPress-Installation und ihre Plugins.
Security Headers richtig konfigurieren
HTTP-Security-Headers sind eine oft vernachlässigte, aber wirkungsvolle Schutzschicht. Sie instruieren den Browser des Besuchers, bestimmte Sicherheitsrichtlinien durchzusetzen. Die Content-Security-Policy (CSP) definiert, von welchen Quellen JavaScript, CSS und Bilder geladen werden dürfen -- ein effektiver Schutz gegen XSS-Angriffe. X-Frame-Options verhindert Clickjacking, HSTS erzwingt die HTTPS-Verbindung und die Referrer-Policy kontrolliert, welche Informationen beim Klick auf ausgehende Links übermittelt werden.
Die Konfiguration der CSP ist für WordPress-Websites besonders anspruchsvoll, da viele Plugins und Themes Inline-JavaScript und externe Ressourcen verwenden. Eine zu restriktive CSP kann Funktionen brechen -- etwa den visuellen Editor oder eingebettete Inhalte. Die professionelle Implementierung beginnt mit einer Report-Only-Phase, in der Verstöße protokolliert aber nicht blockiert werden. Nach Analyse der Reports wird die CSP schrittweise verschärft, bis ein optimaler Kompromiss zwischen Sicherheit und Funktionalität erreicht ist.
Ein vollständig konfiguriertes Set von Security Headers verbessert nicht nur die Sicherheit, sondern auch den Security-Score in Tools wie dem Mozilla Observatory. Ein A+-Rating signalisiert Besuchern und Suchmaschinen, dass die Website professionell betrieben wird. Die Headers werden auf Serverebene konfiguriert (Apache oder Nginx) und erfordern keine Änderungen an der WordPress-Installation selbst.
Datei-Integritäts-Monitoring: Veränderungen erkennen
File Integrity Monitoring (FIM) überwacht die Dateien der WordPress-Installation auf unerwartete Änderungen. Wenn ein Angreifer eine Backdoor einschleust oder eine Datei modifiziert, erkennt FIM die Änderung und alarmiert den Administrator. WordPress bietet eine eingebaute Checksummen-Prüfung für Core-Dateien -- diese vergleicht die installierten Dateien mit den offiziellen Checksummen und meldet Abweichungen.
Professionelles FIM geht über die Core-Prüfung hinaus und überwacht auch Plugin-Verzeichnisse, Theme-Dateien und Upload-Ordner. Besonders der Upload-Ordner ist ein häufiges Ziel: Angreifer laden Schadcode als vermeintliche Bilddateien hoch, die dann über eine Schwachstelle in einem Plugin ausgeführt werden. FIM erkennt neue PHP-Dateien im Upload-Verzeichnis und meldet sie sofort als verdächtig.
Die Herausforderung bei FIM liegt in der Unterscheidung zwischen legitimen und verdächtigen Änderungen. Ein Plugin-Update ändert Dateien -- das ist erwünscht. Auch Cache-Dateien und temporäre Dateien ändern sich regelmäßig. Ein gut konfiguriertes FIM-System kennt diese Ausnahmen und meldet nur tatsächlich verdächtige Änderungen. Die Integration in das Security-Monitoring stellt sicher, dass Alarme zeitnah ausgewertet und bearbeitet werden.
Automatische Updates und Update-Management
WordPress bietet seit Version 5.6 automatische Updates für den Core und seit Version 5.5 für Plugins und Themes. Die Frage, welche Updates automatisch eingespielt werden sollten, hängt von der Art der Website ab. Für reine Content-Websites ohne komplexe Plugins empfehlen wir vollautomatische Updates für Core-Sicherheitspatches und geprüfte Plugins. Für Online-Shops und geschäftskritische Websites ist ein kontrollierter Prozess mit Staging-Tests sinnvoller.
Die empfohlene Strategie für geschäftskritische WordPress-Installationen: Core-Security-Patches automatisch, Minor-Releases nach kurzem Staging-Test, Major-Releases nach umfassendem Test. Plugin-Updates werden automatisch überwacht -- bei bekannten Sicherheitslücken erfolgt die Aktualisierung innerhalb von 24 Stunden. Funktionale Plugin-Updates werden gesammelt und in einem wöchentlichen Wartungszyklus eingespielt.
Ein oft übersehener Aspekt ist das Theme-Update: Viele WordPress-Websites nutzen ein Premium-Theme, das nicht über das offizielle WordPress-Repository aktualisiert wird. Diese Themes müssen manuell geprüft und aktualisiert werden. Child-Theme-Anpassungen können bei Theme-Updates überschrieben werden, wenn sie nicht korrekt in einem Child-Theme separiert sind. Die regelmäßige Prüfung und Aktualisierung aller Themes -- aktive und inaktive -- ist Bestandteil einer umfassenden Sicherheitsstrategie.
Die konsequente Anwendung des Least-Privilege-Prinzips ist dabei der effektivste Einzelansatz: Jeder Benutzer, jedes Plugin und jeder Prozess erhält nur die minimal notwendigen Berechtigungen. Ein Redakteur braucht keinen Administrator-Zugang, ein Kontaktformular-Plugin keinen Zugriff auf die Benutzertabelle. Diese Einschränkung begrenzt den Schaden, falls eine einzelne Komponente kompromittiert wird -- der Angreifer erhält nur die Rechte der betroffenen Komponente, nicht die volle Kontrolle über das System.
Datenbank-Sicherheit und Backup-Strategie
Die WordPress-Datenbank enthält alle Inhalte, Benutzerkonten und Konfigurationen. Ihr Schutz hat höchste Priorität. Die Maßnahmen beginnen bei der Installation: Ein individueller Tabellenpräfix statt des Standard-Präfixes wp_ erschwert SQL-Injection-Angriffe, die auf bekannte Tabellennamen abzielen. Der Datenbankbenutzer sollte nur die minimal notwendigen Rechte besitzen -- SELECT, INSERT, UPDATE, DELETE und CREATE/ALTER TABLE für Updates. Rechte wie DROP oder FILE sind nicht erforderlich und stellen ein Risiko dar.
Regelmäßige Datenbank-Backups sind die letzte Verteidigungslinie. Wenn alle anderen Maßnahmen versagen und die Website kompromittiert wird, ermöglicht ein aktuelles Backup die vollständige Wiederherstellung. Für WordPress-Websites empfehlen wir tägliche Datenbank-Backups mit einer Aufbewahrungszeit von mindestens 30 Tagen. Die Backups sollten verschlüsselt und an einem externen Speicherort abgelegt werden -- nicht auf dem gleichen Server wie die WordPress-Installation.
Die umfassende WordPress-Absicherung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Neue Schwachstellen werden täglich entdeckt, Angriffsmethoden entwickeln sich weiter und die WordPress-Landschaft verändert sich mit jedem Plugin-Update. Eine professionelle Wartungsstrategie kombiniert automatisierte Maßnahmen mit regelmäßiger manueller Prüfung und stellt sicher, dass Ihre WordPress-Website zu jeder Zeit optimal geschützt ist. Die Investition in Sicherheit ist dabei immer günstiger als die Behebung eines erfolgreichen Angriffs -- sowohl finanziell als auch in Bezug auf den Vertrauensverlust bei Kunden und Suchmaschinen.
Quellen und Studien