WordPress

WordPress Sicherheit

WordPress ist nicht unsicher. WordPress ist sichtbar.

Das ist ein wichtiger Unterschied. Weil WordPress so weit verbreitet ist, schauen Angreifer natürlich genauer hin. Nicht, weil WordPress ein offenes Scheunentor ist, sondern weil sich automatisierte Angriffe dort lohnen, wo viele Websites laufen.

Die gute Nachricht: Eine gepflegte WordPress Website kann sehr stabil und sicher betrieben werden.

Die weniger gemütliche Nachricht: Wegschauen ist kein Sicherheitskonzept.

Sicherheit beginnt nicht beim Sicherheitsplugin

Viele starten beim Thema WordPress Sicherheit mit der Frage: Welches Sicherheitsplugin soll ich installieren?

Die bessere Frage ist: Wie sauber ist die Website grundsätzlich aufgebaut?

Ein Sicherheitsplugin kann helfen. Es ersetzt aber keine Updates, keine Backups, keine starken Passwörter, keine sinnvollen Benutzerrollen und kein ordentliches Hosting.

Sicherheit ist wie ein gutes Türschloss. Hilfreich. Aber wenn alle Fenster offenstehen und der Ersatzschlüssel unter der Fußmatte liegt, wird es trotzdem schwierig.

Updates sind Pflicht, aber bitte mit Plan

WordPress selbst, Themes und Plugins entwickeln sich weiter. Updates bringen neue Funktionen, beheben Fehler und schließen Sicherheitslücken.

Das heißt aber nicht, dass man blind jeden Update-Button drücken sollte, während gerade eine Kampagne läuft und niemand ein Backup gemacht hat.

Mein Ablauf ist simpel:

  1. Backup prüfen.
  2. Changelog grob lesen.
  3. Bei wichtigen Websites zuerst in Staging testen.
  4. Updates durchführen.
  5. Website danach kontrollieren.

Das klingt nüchtern. Ist es auch. Genau deshalb funktioniert es.

Backups sind die Versicherung, die man hoffentlich nie braucht

Ein Backup ist nicht glamourös. Es blinkt nicht, es macht keine schöne Animation und es gewinnt keine Designpreise.

Aber wenn eine Website plötzlich nicht mehr erreichbar ist, wird ein gutes Backup sehr schnell zum Lieblingsfeature.

Wichtig ist: Backups müssen regelmäßig laufen, vollständig sein und extern gespeichert werden. Ein Backup auf demselben Webspace ist besser als nichts, aber im Ernstfall ungefähr so beruhigend wie ein Ersatzreifen im brennenden Auto.

Noch wichtiger: Ein Backup sollte testbar sein. Nur weil irgendwo „Backup erfolgreich“ steht, heißt das nicht automatisch, dass die Wiederherstellung sauber funktioniert.

Benutzerrollen: Nicht jeder braucht den Generalschlüssel

Viele WordPress-Probleme entstehen nicht durch Hacker mit Kapuze, sondern durch zu viele Adminrechte.

Nicht jeder Mensch, der einen Beitrag schreiben soll, braucht Zugriff auf Plugins, Themes und Einstellungen. Redakteure brauchen redaktionelle Rechte. Admins brauchen Adminrechte. Und alte Benutzerkonten brauchen manchmal einfach den freundlichen Ausgang.

Klare Benutzerrollen senken Risiko und Chaos. Besonders bei Teams, Agenturen, ehemaligen Mitarbeitern oder externen Dienstleistern.

Passwörter und Zwei-Faktor-Anmeldung

Starke Passwörter sind kein Deko-Thema. Sie sind Basis.

Noch besser wird es mit Zwei-Faktor-Anmeldung. Dann reicht ein gestohlenes Passwort allein nicht aus. Gerade bei Admin-Konten ist das eine der sinnvollsten Maßnahmen überhaupt.

Und ja, „Sommer2026!“ ist nicht plötzlich sicher, nur weil ein Ausrufezeichen am Ende steht.

Hosting ist Teil der Sicherheit

Ein gutes Hosting macht vieles leichter. Aktuelle PHP-Versionen, SSL, Server-Updates, Backups, Malware-Scans, saubere Rechteverwaltung und schnelle Wiederherstellung sind keine Luxusdetails.

Billiges Hosting kann funktionieren. Aber wenn die Website wichtig für Anfragen, Umsatz oder Vertrauen ist, sollte die technische Basis nicht auf Wackelpudding stehen.

Plugins und Themes sauber halten

Jedes Plugin und jedes Theme ist zusätzlicher Code. Das ist nicht schlimm, solange dieser Code gepflegt wird.

Problematisch wird es bei verlassenen Plugins, alten Themes, deaktivierten Erweiterungen, die trotzdem noch herumliegen, und dubiosen Downloads aus Quellen, bei denen schon der Dateiname nach Ärger riecht.

Meine Regel: Was nicht gebraucht wird, fliegt raus. Was bleibt, bekommt Updates. Was keine Updates mehr bekommt, wird kritisch geprüft.

Sicherheit ist ein Prozess

Eine Website ist nicht „einmal sicher“ und dann für immer fertig.

Sicherheit ist Wartung. Ein wiederkehrender Blick auf Updates, Backups, Benutzer, Logs, Lizenzen, Hosting und verdächtige Veränderungen.

Das muss nicht dramatisch sein. Es ist eher wie Zähneputzen. Nicht aufregend, aber sehr ratsam.

Fazit

WordPress Sicherheit bedeutet nicht, die Website mit Sicherheitsplugins zu tapezieren.

Es geht um klare Abläufe, saubere Technik und regelmäßige Pflege. Wer WordPress aktuell hält, Backups ernst nimmt, Benutzerrechte begrenzt und bei Plugins nicht sammelt wie Panini-Bilder, ist schon sehr viel besser aufgestellt.

Häufige Fragen

Nein. Unsicher wird WordPress vor allem durch veraltete Plugins, schwache Passwörter, schlechte Pflege, dubiose Themes und fehlende Backups.

Manchmal ja, aber nicht immer als erste Maßnahme. Updates, Backups, Hosting, Rollen und Passwörter sind die Basis. Ein Plugin kann diese Basis ergänzen.

Regelmäßig. Bei Sicherheitsupdates möglichst zeitnah. Bei größeren Updates zuerst mit Backup und idealerweise in einer Testumgebung.