Ein effektiver WordPress Schutz beginnt mit dem sicheren Adminbereich. Mit gezielten Maßnahmen verhindern Sie unautorisierten Zugriff, schützen Ihre Daten und gewährleisten einen stabilen Betrieb – sowohl für private als auch für geschäftliche Websites.
Zentrale Punkte
- Zugang einschränken: Adminrechte bewusst vergeben und IP-Adressen filtern
- Starke Passwörter: Keine mehrfach genutzten oder schwachen Kombinationen
- Login-Absicherung: URL ändern, 2FA aktivieren, Login-Versuche begrenzen
- Backups automatisieren: Sicherheit im Ernstfall durch Wiederherstellung
- Software aktuell halten: Updates für WordPress, Themes und Plugins nie aufschieben
1. Starke Passwörter und sichere Benutzernamen
Ich habe bei jeder WordPress-Seite dafür gesorgt, dass alle Benutzer ein starkes Passwort verwenden. Automatisch generierte Zeichenfolgen mit Sonderzeichen und Ziffern bieten höchsten Schutz. Den Nutzernamen „admin“ meide ich grundsätzlich. Angreifer setzen bei Brute-Force-Attacken typischerweise genau bei diesem Namen an. Besser ist ein neutraler, nicht öffentlich sichtbarer Loginname.
Um auch außerhalb von WordPress sichere Passwörter zu etablieren, nutze ich oft Passwortmanager, in denen ich beliebig viele Zugangsdaten verwalte. Dies minimiert das Risiko, ein Passwort mehrfach zu verwenden. Besonders in stressigen Situationen wie beim Einrichten vieler Websites gleichzeitig hat sich dieses Vorgehen bewährt, da ich nicht Gefahr laufe, aus Bequemlichkeit ein schwaches Passwort zu wählen. Außerdem lässt sich so praktisch vermeiden, dass ich ein wertvolles Passwort aus Versehen an falscher Stelle preisgebe.
Ein weiterer Aspekt ist die Namensgebung für Benutzerkonten, insbesondere wenn mehrere Redakteure im Team arbeiten. Ich lege Wert darauf, dass sich der Anzeigename vom eigentlichen Login unterscheidet. Wer zum Beispiel öffentlich als „Max Mustermann“ auftritt, erhält dennoch einen separaten internen Nutzernamen, der nichts mit der Person an sich zu tun hat. So erschwere ich es Angreifern, anhand der Autorenprofile Rückschlüsse auf mögliche Logins zu ziehen.
2. Zwei-Faktor-Authentifizierung aktivieren
Ein zusätzlicher Sicherheitscode schützt Ihre Login-Seite vor unerlaubtem Zugriff. Wer Zugriff auf den Adminbereich erhalten will, muss neben dem Passwort auch den 2FA-Code eingeben – den generiere ich meist per App wie Google Authenticator. Diese Schutzebene lohnt sich besonders bei Seiten mit mehreren Administratoren.
Durch die Zwei-Faktor-Authentifizierung (2FA) werden selbst dann unbefugte Zugriffe verhindert, wenn Passwörter einmal in falsche Hände gelangen. Besonders bei Reisen oder wenn das Passwort aus Neugier an Dritte weitergeleitet wurde, kann eine 2FA verhindern, dass jemand auf die sensiblen Daten zugreift. Wichtig ist allerdings, die generierten Codes oder Sicherungsschlüssel (Backup-Codes) an einem sicheren Ort – idealerweise offline – aufzubewahren. Auch bei einem defekten Smartphone kann ich damit weiterhin 2FA-Abfragen umgehen und meinen Account retten.
Bei der Einrichtung mehrerer Administratoren ist es sinnvoll, ein einheitliches Vorgehen abzusprechen, damit jeder genau weiß, welche App genutzt wird und wie das Prozedere abläuft. So kommt es nicht zu Verzögerungen oder Problemen, wenn für Kooperationen schnell Änderungen an der Website vorgenommen werden müssen.
3. Login-Versuche begrenzen
Ungehinderte Login-Versuche laden zu dauerhaften Brute-Force-Angriffen ein. Mit Plugins wie „Limit Login Attempts Reloaded“ setze ich eine fixe Anzahl an Fehlversuchen. Danach wird die entsprechende IP gesperrt. Auf dieser Seite habe ich weitere nützliche Hinweise zur Absicherung gefunden.
Vor allem bei häufig besuchten Websites, die in Foren oder sozialen Netzwerken geteilt werden, ist diese Maßnahme sehr wirkungsvoll. Hacker greifen bevorzugt Plattformen an, die eine hohe Sichtbarkeit haben. Eine Login-Sperre nach mehreren fehlgeschlagenen Versuchen sorgt dafür, dass gängige Wörterbuch-Angriffe oder automatisierte Scripts rasch ins Leere laufen. Wer ernsthafte Schwierigkeiten mit gesperrten IPs hat, kann die Einstellungen feiner justieren, beispielsweise die Dauer der Sperre verkürzen oder erhöhen. Ich empfehle dabei, eher etwas rigoros vorzugehen, denn vorschnelle Sperren lassen sich schnell manuell lösen – massive Schäden durch gelungene Angriffe hingegen nur sehr mühsam.
4. Admin-URL ändern
Angriffe erfolgen oft automatisiert über die bekannte URL /wp-admin. Ich ändere diese Adresse mit dem Plugin „WPS Hide Login“ in eine benutzerdefinierte URL. Das senkt die Angriffswahrscheinlichkeit drastisch. Selbst Bots können dann keine Loginoberfläche mehr erkennen.
Gerade bei Kundenprojekten merke ich immer wieder, dass diese kleine Anpassung oft unterschätzt wird. Viele Anwender glauben, dass Angreifer nicht so leicht die Standard-URLs finden. Doch die Erfahrung zeigt, dass automatisierte Tools sämtliche öffentlich bekannten WordPress-Einstiegspunkte abklopfen. Mit einer versteckten Login-URL erschwere ich diese Angriffe und erhalte weniger Serverlast durch unnötigen Traffic. Außerdem fühle ich mich sicherer, wenn ich weiß, dass die bekannte wp-admin-Adresse ins Leere führt. Selbst wenn jemand einen Link aus einem alten Tutorial versucht: Ohne meine neue URL bleibt jeder Angriff wirkungslos.
5. Firewall und IP-Filter einrichten
Eine Web Application Firewall (z. B. über den Hoster oder per Plugin wie Wordfence) erkennt und blockiert verdächtigen Traffic. Zusätzlich filtere ich auf Serverebene IP-Adressen. Nur feste IPs von Administratoren haben dann überhaupt Zugriff auf den Login-Bereich.
Bei der Auswahl der Firewall ist mir wichtig, dass sie regelmäßig gepflegte Sicherheitsregeln anbietet. Manche Plugins bezeichnen sich als Firewall, bieten aber nur rudimentären Schutz. Hier lohnt ein Blick in die Bewertungen und Updates, da eine veraltete Regelbasis Angreifern Tür und Tor öffnen kann. Hosterseitige Firewalls sind oft leistungsstärker, weil sie größtenteils direkt im Rechenzentrum umgesetzt werden und komplexere Angriffsmuster schon abfangen, bevor sie auf die Website treffen.
IP-Filter nutze ich individuell: Wenn ich weiß, dass ich und mein Team über eine statische IP ins Netz gehen, konfiguriere ich einen Whitelist-Modus. Dann kann man sich zwar gelegentlich aussperren, wenn unterwegs per Mobilfunknetz gearbeitet wird, aber für den Regelfall daheim oder im Büro ist es ein zusätzlicher Schutz. Außerdem bemerke ich so direkt, wenn fremde IPs ins Backend wollen, da diese aussortiert werden, ohne mich überhaupt zu behelligen.
6. .htaccess und .htpasswd als Vorschaltseite
Ein zusätzlicher Passwortschutz vor dem eigentlichen Login ist sehr wirksam. Ich baue eine .htaccess-Datei mit Zugriffssteuerung und verweise auf eine .htpasswd-Datei mit verschlüsselten Zugangsdaten. So gelangen Angreifer selbst bei bekannter Login-URL nicht direkt zur Anmeldeseite.
Diese Sicherheitskurve stützt sich auf dem Grundgedanken: zweifacher Schutz. Erst muss jemand das Zugangspasswort der .htpasswd kennen, dann folgt das eigentliche WordPress-Login. Auf diese Weise lassen sich Bots schon auf dem „Vorgelände“ abfangen. Manchmal kann diese Art Vorschaltseite im Team oder für Kunden umständlich wirken, daher empfiehlt es sich, gemeinsam die Zugangsdaten klar zu kommunizieren und zu sichern. Wer sich jedoch mit diesem System vertraut macht, genießt ein erhebliches Sicherheitsplus.
7. HTTPS erzwingen mit SSL-Zertifikat
Ich achte darauf, dass der Adminbereich ausschließlich verschlüsselt über HTTPS erreichbar ist. Dafür hinterlege ich in der .htaccess eine Rewrite-Direktive. Viele Hostingpakete bieten heute ein kostenloses SSL-Zertifikat an – damit senke ich das Abhörpotenzial beim Login deutlich.
Besonders wichtig: Ich teste nach der Umstellung alle internen Links im Backend. Alte Themes und Plugins nutzen manchmal noch harte http-Verweise, was zu Warnmeldungen führen kann. Eine sorgfältige Umstellung erspart mir später unnötige Fehlermeldungen und garantiert, dass sämtliche Daten von WordPress ordnungsgemäß verschlüsselt übertragen werden. Dies ist auch aus SEO-Sicht relevant, denn Suchmaschinen präferieren verschlüsselte Websites. Zudem fragen Kunden immer öfter, ob die Seite „sicher“ sei – ein SSL-Zertifikat signalisiert das bereits im Browser via dem „Schloss“-Symbol.
8. Tägliche Backups einrichten
Nicht alle Zwischenfälle lassen sich verhindern – ein Backup hilft beim Rückweg. Ich arbeite mit automatisierten Sicherungen, die täglich aktualisiert werden. Optimal: ein externer Speicherort oder Cloud-Backup, getrennt von der eigentlichen Installation.
Ergänzend zur reinen Datensicherung empfiehlt es sich, regelmäßig Testwiederherstellungen durchzuführen. Dabei prüfe ich, ob sich das Backup sauber einspielen lässt oder ob Plugins oder Datenbanken Probleme verursachen. Im Ernstfall muss alles reibungslos laufen, sonst ist die im Backup gespeicherte Version womöglich nutzlos. Zudem überprüfe ich, ob die Backups vollständig sind: Eine Datenbank ohne passende Medieninhalte, Theme-Dateien oder Plugin-Einstellungen kann mich später in Schwierigkeiten bringen.
Ein externer Speicherort hat den Vorteil, dass etwaige Hacker nicht einfach mein gesamtes Hosting-Paket manipulieren und dort alle Sicherungen löschen können. Doppelte Absicherung – lokal oder auf einer Cloud-Plattform – ist meine bevorzugte Strategie, damit ich selbst bei größeren Attacken die Daten rasch wiederherstellen kann.
9. Updates zeitnah installieren
Mit jeder veralteten Version steigt das Risiko. Ich kontrolliere mindestens wöchentlich, ob Core, Themes oder Plugins Updates benötigen. Dabei achte ich auf Kompatibilität und sichere vor jedem Update ein aktuelles Backup.
Aus Erfahrung weiß ich, dass veraltete Plugins eine beliebte Schwachstelle darstellen. Häufig bleiben diese liegen, weil man etwa ein Design-Feature nicht verlieren möchte. Doch das beste Layout bringt wenig, wenn sich Sicherheitslücken darin auftun. Ich tracke am liebsten zentral über das WordPress-Dashboard, wo Updates anstehen. Wer mehr als eine Website betreut, dem empfehle ich Tools zur Zentralverwaltung, wo man alle WordPress-Installationen gleichzeitig im Blick haben kann.
Bevor ich ein Update ausrolle, schaue ich mir meist die Changelogs an. Werden hier kritische Sicherheitslücken adressiert, ist das Update umso eiliger. Erscheinen Meldungen, dass eine Prüfung mit dem aktuellen WordPress-Core erfolgt ist, fühle ich mich sicherer. Läuft ein Plugin nur auf einer bestimmten WordPress-Version, kann eine manuelle Kompatibilitätsprüfung oder das Einspielen auf einer Testumgebung sinnvoll sein.
10. Benutzerrollen sinnvoll vergeben
Ich vergebe Zugriffsrechte nach dem Prinzip „so wenig wie nötig“. Nur wenige dürfen als Administrator agieren. Für Redakteure, Autoren oder Gastnutzer beschränke ich die Rollen konsequent. Änderungen können jederzeit über das Benutzer-Backend erfolgen. Und sollten Rechte entzogen werden, nutze ich die Anleitung auf dieser Seite.
Besonders bei größeren Redaktionen ist es ratsam, Rollen zu definieren, die exakt auf die benötigten Funktionen zugeschnitten sind. Ich lege beispielsweise eigene Rollen für das Support-Team an, das Inhalte nur überprüfen darf, ohne sie zu veröffentlichen. So reduzieren sich die potenziellen Fehlerquellen: Keine versehentlichen Änderungen an zentralen Einstellungen oder ungewollte Plugin-Aktivierungen. Außerdem erleichtert dies das Onboarding neuer Mitarbeiter, da deren Zugriffe klar geregelt sind.
Vergibt man jedoch großzügig Administratorrechte, entstehen Sicherheitslücken. Jedes einzelne Admin-Konto ist eine potenzielle Gefahr. Auch Passwörter von Redakteuren können in falsche Hände gelangen, weshalb es mir wichtig ist, jedem neuen Teammitglied genau zu erklären, welche Verantwortung mit den jeweiligen Rechten einhergeht.
11. Zugang für Gruppen begrenzen
Nicht jeder registrierte Nutzer muss Zugang zum Dashboard haben. Ich ergänze gezielt Funktionen, um nur bestimmten Gruppen einen Zugang zu gewähren. Hier helfen Plugins wie „User Role Editor“ oder individuelle Code-Snippets, die ich über die functions.php hinterlege.
Gerade Community-Websites mit vielen registrierten Usern profitieren davon, die meisten User nur auf die Frontend-Funktionen zu beschränken. So sieht meine WordPress-Installation schlanker aus und eventuelle Konflikte bei Plugins, die sich im Backend bemerkbar machen, werden reduziert. Ich habe damit sehr gute Erfahrungen gemacht, weil Missverständnisse bei Gastautoren, die eigentlich nur Beiträge einreichen sollen, vermieden werden. Wer das Backend gar nicht erst sieht, kann dort auch nichts unbeabsichtigt anrichten.
Wenn ich kompliziertere Zugangsregeln brauche, die sich etwa auf bestimmte Kategorien oder Zeiträume beziehen, kann ich mittels zusätzlicher Plugin-Erweiterungen genau festlegen, welche Rollen wann was sehen oder bearbeiten dürfen. So bleibt die Website übersichtlich und sicher zugleich.
12. Inaktive Nutzer abmelden
Bleiben Sitzungen aktiv, ohne verwendet zu werden, steigt das Risiko erheblich. Ich konfiguriere daher automatische Timeouts, bei denen Nutzer nach z. B. 15 Minuten Inaktivität ausgeloggt werden. Diese Funktion lässt sich leicht per Plugin wie „Inactive Logout“ realisieren.
Manchmal hat sich schon gezeigt, dass Nutzer auf öffentlichen Computern in WordPress eingeloggt bleiben. Gerade in Coworking Spaces oder Bibliotheken kann das verheerend sein, wenn danach jemand Fremdes an den PC geht. Mit automatischen Logouts minimiere ich solche potenziellen Risiken. Auch im Homeoffice kann eine lange Inaktivität zu versehentlichen Zugriffsmöglichkeiten führen, falls ich Besuch habe oder jemand anders an meinen Rechner möchte. Für mich ist diese Funktion daher ein fester Bestandteil jeder WordPress-Installation.
13. Übersichtliche Sicherheitstabelle
Im Folgenden habe ich alle essenziellen Maßnahmen zusammengefasst:
| Maßnahme | Zweck | Empfohlenes Tool |
|---|---|---|
| Starke Passwörter | Vermeidung einfacher Zugangsdaten | Passwortgenerator / Passwortmanager |
| Zwei-Faktor-Authentifizierung | Zusätzliche Sicherheit beim Login | Google Authenticator / Authy |
| Login-Versuche begrenzen | Brute-Force-Abwehr | Limit Login Attempts |
| Firewall & IP-Filter | Traffic-Überwachung & IP-Schutz | Cloudflare, Wordfence |
| Regelmäßige Backups | Wiederherstellung bei Ausfällen | UpdraftPlus, BlogVault |
Über diese Tabelle hinaus empfehle ich stets, auch auf Serverebene weitere Sicherheitsmechanismen zu aktivieren. Beispielsweise lohnt sich ein Blick auf die PHP-Version oder bestimmte Sicherheitseinstellungen in der php.ini. Gerade in Kombination mit aktuellen PHP-Versionen und Restriktionen gegen bestimmte riskante Funktionen wird die WordPress-Installation noch robuster gegen potenzielle Angriffe.
14. Hosting mit Sicherheitsvorteil
Ein sicherer Hoster ergänzt technische Maßnahmen auf Serverebene. Ich achte bei der Auswahl auf automatische Updates, DDoS-Abwehr und tägliche Backups. Empfehlungen zu getesteten Anbietern finden Sie aktuell auf webhoster.de – hier auch mit Blick auf Performance und Gebühren in Euro.
Zusätzlich sollte man darauf achten, wie der Hoster mit Support-Fällen umgeht: Reagiert das Team schnell, wenn ein Security-Problem besteht? Bietet der Anbieter optional Firewalls, Schutz vor Malware-Uploads oder regelmäßige Security-Checks an? Auch wer sich lieber selbst kümmert, profitiert enorm von einem Hostingpartner, der technische Sicherheit nicht nur als Zusatzoption sieht, sondern aktiv mitdenkt. Häufig bieten Premium-Hoster einen erweiterten Service, bei dem sie kritische WordPress-Updates automatisch einspielen und den Kunden informieren, falls Sicherheitslücken auftreten.
Ich persönlich fühle mich am wohlsten, wenn das Hosting in einem Rechenzentrum stattfindet, das in puncto Datenschutz strenge Richtlinien verfolgt. Gerade bei Projekten mit sensiblen Kundendaten, etwa im E-Commerce, kann dies ein Argument sein, sich für einen Anbieter innerhalb der EU zu entscheiden, um klare gesetzliche Rahmenbedingungen zu haben.
Zusätzliche Maßnahmen zur Härtung der Datenbank
Um WordPress auf tieferer Ebene zu sichern, prüfe ich regelmäßig die Einstellungen der Datenbank. Ein oft genannter Ansatz ist das Ändern des Standard-Präfixes „wp_“ zu etwas eindeutigem, zum Beispiel „mywp_“ oder „ifsh_“. Das erschwert automatisierten Bots die Arbeit, denn viele Exploits zielen explizit auf Tabellen mit dem Standard-Präfix ab. Ich nehme diese Änderung meist direkt während der WordPress-Installation vor oder passe sie an, bevor die Seite öffentlich zugänglich ist.
Ebenfalls achte ich auf Mindestprivilegien in der Datenbank. Der verwendete MySQL-Benutzer sollte nur die Rechte haben, die WordPress benötigt. Das heißt, kein erweiterter Zugriff wie DROP oder CREATE, sofern nicht unbedingt erforderlich. Ich führe dazu in der Datenbankverwaltung Tests durch, um sicherzustellen, dass das CMS weiter reibungslos funktioniert. Falls ich bestimmte Aktionen wie Upgrades plane, kann ich diese Benutzerrechte vorübergehend anpassen und später wieder reduzieren.
Ein weiterer Aspekt: Regelmäßige Überprüfung, ob sich in der Datenbank ungewöhnliche Einträge oder verdächtige Scripte eingeschlichen haben. Plugins wie Wordfence scannen teilweise auch die Datenbank nach Schadcode. Es ist zwar seltener, dass Schadcode direkt in Tabellen landet, doch gerade bei SQL-Injection-Angriffen kann dies vorkommen. Wer hier ein Auge drauf behält, entdeckt potenzielle Manipulationen frühzeitig.
Datei- und Verzeichnisberechtigungen überprüfen
Ein ebenfalls unterschätzter Punkt sind die Rechte für Dateien und Verzeichnisse auf dem Server. Die gängigen Empfehlungen lauten 755 für Verzeichnisse und 644 für Dateien. So stelle ich sicher, dass Skripte ausgeführt werden können, andere Benutzer auf demselben Server jedoch keinen Schreibzugriff haben. Wenn bestimmte Plugins mehr Rechte verlangen, lohnt es sich genau zu prüfen, warum das der Fall ist.
Ich kontrolliere zudem regelmäßig via FTP oder SFTP, ob versehentlich Uploads in falsche Ordner gelangt sind oder ob neu angelegte Verzeichnisse ungewohnt hohe Schreib- und Leserechte besitzen. Ein beliebter Trick von Angreifern ist es, Shell-Skripte in Verzeichnisse mit Schreibrechten zu platzieren, weil man sie dort leicht ausführen kann. Wer hier proaktiv agiert, macht seinen Server ein gutes Stück sicherer.
Regelmäßige Malware-Scans
Neben den Firewalls und dem IP-Filter setze ich auch auf periodische Scans mittels Sicherheitsplugins. Ich lasse beispielsweise einmal täglich einen automatisierten Malware-Scan über die WordPress-Dateien laufen. Wirklich hilfreich ist ein Echtzeit-Scan, der direkt eingreift, sobald Dateien verändert werden. Manche Plugins senden sogar E-Mail-Benachrichtigungen, falls unautorisierte Veränderungen festgestellt werden.
Dadurch kann ich beim ersten Anzeichen einer Kompromittierung reagieren und die entsprechenden Dateien sperren, isolieren oder wiederherstellen. Zusätzlich nutze ich manchmal externe Security-Scanner. Das heißt, ich lasse das Projekt von einer Cloud-Lösung überprüfen, um mögliche Schwachstellen zu entdecken, die ein lokal installiertes Plugin vielleicht übersieht. Wenn beide Systeme übereinstimmen, bin ich umso sicherer.
Auch die Protokolle der Scans geben mir wertvolle Hinweise: Gibt es wiederkehrende Angriffe aus derselben Region oder IP? Treten Anomalien zu bestimmten Uhrzeiten auf? Mit diesen Daten kann ich zielgerichtet meine Schutzmaßnahmen anpassen, etwa indem ich IP-Ranges blockiere oder spezielle Filterregeln auf bestimmte Patterns anwende.
Resümee: Schutzmaßnahmen schaffen Vertrauen
Jede einzelne Maßnahme trägt zur WordPress-Sicherheit bei – zusammen ergeben sie jedoch den besten Schutz. Ich prüfe meine Sicherheitseinstellungen regelmäßig, ergänze neue Tools bei Bedarf und reagiere auf Sicherheitsmeldungen der Community. Das stärkt nicht nur den technischen Schutz, sondern vermittelt Besuchern und Kunden ein vertrauenswürdiges Bild meiner Website.
