WordPress-Sicherheit umfasst alle technischen und organisatorischen Massnahmen, die eine WordPress-Installation vor unbefugtem Zugriff, Datenverlust, Malware-Infektionen und Ausfallzeiten schützen.
Was bedeutet das?
WordPress ist das weltweit meistgenutzte Content-Management-System und treibt über 40 Prozent aller Websites an. Diese Verbreitung macht es zu einem attraktiven Angriffsziel. Automatisierte Bot-Netzwerke scannen täglich Millionen von Websites nach bekannten Schwachstellen in veralteten WordPress-Versionen, Plugins und Themes. Sicherheit bedeutet dabei laut den offiziellen WordPress-Hardening-Empfehlungen nicht das vollständige Eliminieren von Risiken, sondern deren Reduktion auf ein akzeptables Mass durch mehrere Schutzschichten.
Die häufigsten Angriffsvektoren bei WordPress sind veraltete Software-Versionen, schwache Passwörter, unsichere Plugins und Themes sowie falsch konfigurierte Dateiberechtigungen. Brute-Force-Angriffe auf die Login-Seite /wp-login.php gehören zu den häufigsten Angriffstypen. Weitere Risiken sind SQL-Injection über schlecht programmierte Plugins, Cross-Site Scripting (XSS) und File-Inclusion-Angriffe, bei denen Angreifer Schadcode in hochgeladene Dateien einschleusen.
Ein mehrschichtiger Sicherheitsansatz kombiniert verschiedene Massnahmen: Alle WordPress-Core-, Plugin- und Theme-Updates sollten zeitnah eingespielt werden, da veröffentlichte Sicherheitspatches die Schwachstelle öffentlich bekannt machen. Starke, einmalige Passwörter und Zwei-Faktor-Authentifizierung für Admin-Accounts sind Pflicht. Dateiberechtigungen sollten so restriktiv wie möglich sein: /wp-admin/ und /wp-includes/ brauchen keinen Schreibzugriff durch den Webserver. In wp-config.php verhindert define('DISALLOW_FILE_EDIT', true);, dass Angreifer über den Dashboard-Editor Code ausführen.
Auf Server-Ebene schützen Web Application Firewalls (WAF) vor bekannten Angriffssignaturen. Regelmässige Backups sind die letzte Verteidigungslinie: Wenn eine Infektion unbemerkt bleibt, können saubere Backups die Website wiederherstellen. CMS ADMINS sichert Websites mit 60-Tagen-Backup-Historie auf Servern in Deutschland.
Beispiel aus der Praxis
Eine WordPress-Website wurde gehackt: Im Quellcode tauchen fremde Links auf, und Google zeigt in der Search Console eine Malware-Warnung. Die Ursache ist oft ein veraltetes Plugin mit bekannter Schwachstelle. Die Schritte zur Bereinigung umfassen: Website offline nehmen, sauberes Backup einspielen, alle Passwörter zurücksetzen, alle Plugins und Themes auf aktuelle Versionen bringen und Dateiberechtigungen prüfen. Danach wird ein Sicherheitsplugin wie Wordfence aktiviert, das Dateiänderungen überwacht und weitere Angriffe meldet. Eine sorgfältige Überprüfung aller hochgeladenen Dateien auf eingeschleusten PHP-Code schliesst den Prozess ab.
Tipp aus der Praxis
Der wirksamste Einzelschritt für mehr Sicherheit ist das konsequente Pflegen von Updates. Viele Administratoren deaktivieren automatische Updates aus Angst vor Kompatibilitätsproblemen und riskieren damit, dass kritische Sicherheitslücken wochenlang offen bleiben. Empfehlenswert ist ein Workflow auf einem Staging-System: Updates werden zuerst dort getestet und erst nach erfolgreichem Test auf die Live-Website eingespielt. Wer keine Zeit für manuelles Update-Management hat, kann diesen Prozess an einen WordPress-Wartungsservice auslagern. CMS ADMINS übernimmt diese Aufgabe ab 9,50 Euro monatlich inklusive Updates, Monitoring und Backup.