WordPress ist das beliebteste CMS der Welt — und damit auch das beliebteste Angriffsziel. Laut Sucuri-Report wird eine durchschnittliche WordPress-Site 44 Mal pro Tag angegriffen, davon ca. 0,3% erfolgreich.
Die meisten dieser Angriffe sind komplett vermeidbar. Hier sind die 7 Maßnahmen, die wir bei jedem Kundenprojekt 2026 umsetzen — und warum sie wichtig sind.
1. wp-config.php absichern
Deine wp-config.php enthält die Datenbank-Credentials und Salt-Keys. Bei kompromittiertem Zugriff ist alles verloren. Pflichtmaßnahmen:
- Datei-Permissions auf 600 setzen (nur Owner kann lesen)
- Eindeutige Salt-Keys generieren via WP-Salt-Generator
- DB_PREFIX ändern von Standard `wp_` zu z. B. `dwx9a_`
- Disable file editing:
define( 'DISALLOW_FILE_EDIT', true ); - Force SSL Admin:
define( 'FORCE_SSL_ADMIN', true );
2. 2-Faktor-Authentifizierung (2FA)
Brute-Force-Angriffe auf den Login sind 90% aller WordPress-Hacks. 2FA macht das mit einem Schlag unmöglich. Wir empfehlen:
- Wordfence Login Security (Free) — TOTP via Authenticator-App
- Two Factor Authentication (Plugin) — schlanker Alternative
- Custom-Code-Lösung bei Premium-Projekten
Bonus: Limit Login Attempts (Plugin) blockiert IPs nach X Fehlversuchen.
3. Auto-Updates für Core, Plugins, Themes
2024 wurden 60% aller gehackten WordPress-Sites über veraltete Plugins kompromittiert. Auto-Updates sind nicht mehr Option, sondern Pflicht.
Konfiguration in wp-config.php:
define( 'WP_AUTO_UPDATE_CORE', 'minor' ); // Sicherheits-Updates automatisch
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );Bei kritischen Sites empfehlen wir Staging-Tests vor Auto-Updates via WP Engine, Kinsta oder Custom-CI.
4. XML-RPC deaktivieren
XML-RPC wird von 99% aller Sites nicht benutzt — ist aber ein riesiges DDoS-Attack-Surface. Pflicht-Deaktivierung via .htaccess:
<Files xmlrpc.php>
Require all denied
</Files>5. WordPress-Firewall einsetzen
Eine WAF (Web Application Firewall) blockiert SQL-Injections, XSS, Brute-Force, etc. auf Server-Level bevor sie WordPress erreichen. Optionen 2026:
- Cloudflare (Free) — Edge-WAF, sehr gut
- Wordfence Premium (99 €/Jahr) — Plugin-basiert
- Sucuri Firewall (199 €/Jahr) — DNS-basiert mit Cleanup
Unsere Empfehlung: Cloudflare Free für 90% der Sites reicht völlig.
6. Tägliche Backups (offsite)
Backups die am gleichen Server liegen sind keine Backups. Bei Hack/Server-Crash sind sie genauso weg. Pflicht: Offsite-Backups.
Tools:
- UpdraftPlus (Free) → S3, Dropbox, Google Drive
- BackWPup (Free) — schlanker
- JetBackup (Hoster-integriert)
Test-Restore mindestens 1× pro Quartal! Backup ohne Restore-Test ist nutzlos.
7. Plugin-Hygiene
Jedes installierte Plugin ist ein potenzielles Sicherheitsleck. Regeln:
- Keine Nulled-Plugins (gecracked) — meist mit Backdoors
- Plugins von vertrauenswürdigen Devs — wordpress.org Plugin-Profile checken
- Inaktive Plugins löschen (nicht nur deaktivieren)
- Vor Installation: Last-Update-Datum prüfen — älter als 12 Monate = rote Flagge
Bonus: Security-Header
Diese Header in .htaccess oder Headers-Plugin setzen:
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options SAMEORIGIN
Header set X-XSS-Protection "1; mode=block"
Header set Referrer-Policy strict-origin-when-cross-origin
Header set Strict-Transport-Security "max-age=31536000"Realistischer Aufwand
Bei einer typischen Site: 3–4 Stunden Erstaufwand, danach 30 Min/Monat Wartung. Bei E-Commerce-Sites: 6–8 Std + tägliches Monitoring.
Wie wir das machen
Bei Delta Web Solution ist Security ein Standard-Bestandteil jedes Projekts — kein Aufpreis. Plus: WordPress-Wartungspakete ab 49 €/Monat mit Auto-Updates, Monitoring, Backup-Tests und Vorfall-Reaktion. Schreib uns über dein Projekt.
Verwandt: WordPress Core Web Vitals 2026 · DSGVO-Checkliste 2026