WordPress ist mit einem Marktanteil von über 43 % das meistgenutzte Content Management System der Welt – und genau diese Marktdominanz macht es zur attraktivsten Zielscheibe im Web. Allein 2025 wurden im WordPress-Ökosystem 11.334 neue Schwachstellen entdeckt – ein Anstieg von 42 % gegenüber dem Vorjahr. Wer das als abstrakte Statistik abtut, unterschätzt, was dahintersteckt: Für die am stärksten anvisierten Schwachstellen liegt der gewichtete Median bis zur ersten beobachteten Ausnutzung bei gerade einmal fünf Stunden.

Fünf Stunden. Das ist kürzer als ein durchschnittlicher Arbeitstag.

Daten aus tausenden WordPress-Installationen zeigen, dass automatisierte Login-Versuche seit Januar 2025 um 45 % zugenommen haben – angetrieben durch KI-gestützte Botnets. Und 92 % aller erfolgreichen WordPress-Kompromittierungen in 2025 gehen auf erweiterbare Komponenten wie Plugins und Themes zurück – nicht auf den WordPress-Core selbst.

Was das bedeutet: Das Sicherheitsproblem ist kein technisches Kernproblem von WordPress. Es ist ein Wartungs- und Konfigurationsproblem. Und das ist eigentlich eine gute Nachricht – denn es bedeutet, dass es sich lösen lässt.

In unserer Arbeit als Digitalagentur erleben wir regelmäßig, wie WordPress-Installationen durch wenige, gezielte Maßnahmen erheblich widerstandsfähiger werden. Die folgenden zehn Tipps bilden das Fundament einer professionellen WordPress-Sicherheitsstrategie.

Warum WordPress ein strukturelles Angriffsziel ist

Bevor wir in die konkreten Maßnahmen einsteigen, lohnt ein kurzer Blick auf die Ursachen – denn wer die Mechanik eines Problems versteht, wählt bessere Lösungen.

WordPress betreibt rund 43 % aller Websites weltweit. Diese Omnipräsenz macht es zu einer unverzichtbaren Plattform für Organisationen aller Größen – und gleichzeitig zum bevorzugten Angriffsziel. Der Grund ist simpel: Ein Angriffsskript, das auf einer Installation funktioniert, funktioniert auf Millionen weiteren.

96 % aller Schwachstellen wurden in Plugins gefunden, nur 4 % in Themes. Der WordPress-Core selbst ist dabei vergleichsweise robust – die stabile Anzahl an Core-Schwachstellen über die Zeit spiegelt die ausgereiften Sicherheitspraktiken des WordPress-Core-Entwicklungsteams wider.

Das eigentliche Risiko liegt im Ökosystem: WordPress-Sicherheit ist primär ein Supply-Chain- und Wartungsproblem. Die Core-Plattform wird durch offizielle Releases gesichert, aber das Drittanbieter-Ökosystem treibt die meisten erfolgreichen Angriffe an.

Fast drei von fünf Schwachstellen können automatisiert von einem völlig außenstehenden Angreifer ausgenutzt werden – ohne dass dieser Zugangsdaten kompromittieren oder sich vorher Zugang verschaffen müsste. Das erklärt, warum automatisierte Angriffe auf WordPress-Seiten in den vergangenen Jahren massiv zugenommen haben – Schätzungen zufolge sind 97 % aller WordPress-Angriffe automatisiert.

1. Den Standard-Benutzernamen ersetzen – sofort

WordPress kann standardmäßig gültige Benutzernamen über das Autorenarchiv oder die REST API preisgeben. Angreifer enumerieren Benutzernamen und versuchen dann gängige oder schwache Passwörter. Die Verwendung von „admin" als Benutzernamen erleichtert die Arbeit des Angreifers erheblich – es ist der erste Nutzername, den er ausprobieren wird.

Die Lösung ist einfach: Legen Sie beim Setup ein neues Administratorkonto mit einem individuellen, nicht-offensichtlichen Benutzernamen an und löschen Sie anschließend den Standard-„admin"-Account. Für den operativen Tagesbetrieb – Redaktion, Pflege von Inhalten – empfiehlt sich ein separates Konto mit eingeschränkten Rechten. Wer mit reduzierten Rechten arbeitet, begrenzt automatisch den möglichen Schaden bei einer Kompromittierung dieses Kontos.

Zusätzlich sollten Sie prüfen, ob Ihre Installation Benutzernamen über die REST API exponiert, und diese Funktion bei Bedarf einschränken.

2. Passwörter, die tatsächlich schützen

8 % der gehackten WordPress-Sites werden durch schwache oder gestohlene Passwörter kompromittiert. Das klingt nach einer kleinen Zahl – ist es aber nicht, wenn man bedenkt, dass über 500.000 Websites allein durch Sicherheitsprobleme kompromittiert wurden.

Ein sicheres Passwort umfasst mindestens 16 Zeichen und kombiniert Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Kein Passwort sollte für mehrere Accounts wiederverwendet werden – das ist keine Empfehlung, sondern eine Grundregel. Passwort-Manager wie Bitwarden oder 1Password nehmen die kognitive Last ab: Sie generieren automatisch starke, einmalige Zugangsdaten für jeden Account und speichern diese sicher.

Wichtig: Passwortrichtlinien gelten nicht nur für den Administrator. Jeder Nutzer mit Zugang zum Backend – Redakteure, Autoren, Entwickler – sollte starke, einzigartige Zugangsdaten verwenden.

3. Zwei-Faktor-Authentifizierung aktivieren

Zwei-Faktor-Authentifizierung (2FA) ergänzt den Login-Prozess um einen zweiten Schritt – etwas jenseits von Benutzername und Passwort. Die Idee dahinter: Selbst wenn jemand das Passwort stiehlt, sollte er sich ohne einen zweiten Nachweis nicht anmelden können.

Brute-Force-Angriffe auf WordPress-Logins setzen auf das Erraten oder Knacken von Passwörtern. Mit aktivierter 2FA reicht ein korrektes Passwort allein nicht mehr aus. Diese zusätzliche Schicht stoppt Bots zuverlässig und hält das Admin-Dashboard gesperrt – selbst wenn die Zugangsdaten kompromittiert sind.

Die 2FA sollte für alle Administratoren und privilegierten Nutzer aktiviert werden. WordPress Core liefert 2FA ab 2025 nicht von Haus aus mit – sie muss über ein Plugin oder einen SSO/IdP-Dienst hinzugefügt werden. Plugins wie WP 2FA, Wordfence Login Security oder Solid Security bieten hierfür einfache Einrichtungsoptionen.

Wer für den Login ausschließlich auf Authenticator-Apps setzt und SMS-basierte Verfahren meidet, trifft die sicherere Wahl: SMS-Codes können durch SIM-Swapping abgefangen werden, weshalb app-basierte Authentifizierung die deutlich sicherere Option ist.

4. Login-Versuche begrenzen und die Angriffsfläche reduzieren

Brute-Force-Angriffe auf WordPress-Websites haben um 130 % zugenommen. WordPress begrenzt Login-Versuche standardmäßig nicht. Ohne entsprechende Maßnahmen kann selbst ein einfaches Skript sich irgendwann erfolgreich einloggen.

Die Lösung ist eine Kombination aus zwei Maßnahmen:

Login-Versuche begrenzen: Plugins wie Limit Login Attempts Reloaded oder die entsprechenden Funktionen in Sicherheits-Suiten sperren eine IP-Adresse automatisch nach einer definierten Anzahl fehlgeschlagener Versuche. Das unterbricht automatisierte Angriffe effektiv.

XML-RPC deaktivieren: Die XML-RPC-Schnittstelle ist ein älteres Interface, das Remote-Publishing und andere Aktionen erlaubt. Wenn sie nicht benötigt wird, kann sie für Brute-Force-Angriffe oder DDoS-Amplifikation missbraucht werden. In den meisten Fällen sollte der /xmlrpc.php-Endpunkt deaktiviert werden – sofern er nicht explizit benötigt wird.

Wer den Login-URL zudem von der Standardadresse /wp-login.php abweichen lässt, reduziert die Anzahl automatisierter Angriffe spürbar – auch wenn das allein keine Sicherheitsmaßnahme im eigentlichen Sinne ist.

5. Updates konsequent einspielen – ohne Ausnahme

Dies ist die Maßnahme mit dem größten Wirkungsgrad. 52 % aller WordPress-Schwachstellen werden durch veraltete Plugins verursacht. Das bedeutet: Mehr als die Hälfte aller WordPress-Probleme ließe sich durch eine einzige Maßnahme lösen – Plugins aktuell halten.

Was die Situation 2025/2026 verschärft: Für die am stärksten anvisierten Schwachstellen liegt der Median bis zur ersten Ausnutzung bei fünf Stunden. Rund die Hälfte aller hochgefährlichen Schwachstellen wird innerhalb von 24 Stunden nach öffentlicher Bekanntgabe zum ersten Mal ausgenutzt. Der klassische Ansatz – Schwachstelle lesen, Relevanz prüfen, Update beim nächsten Wartungsfenster einspielen – funktioniert unter diesen Bedingungen nicht mehr.

Konkrete Maßnahmen:

  • WordPress Core: Automatische Minor-Updates aktivieren
  • Plugins und Themes: Wöchentlichen Update-Rhythmus etablieren; für kritische Schwachstellen muss schneller gehandelt werden
  • Mehrere Installationen: Tools wie ManageWP ermöglichen zentrales Update-Management über viele Sites hinweg
  • Virtual Patching in Betracht ziehen: Da 46 % der Schwachstellen in 2025 zum Zeitpunkt der öffentlichen Bekanntgabe noch keinen Developer-Fix hatten, ist das alleinige Warten auf offizielle Plugin-Updates keine tragfähige Strategie. Virtual-Patching-Systeme setzen Schutzregeln im Moment der Bekanntgabe – noch bevor ein Code-Fix existiert.

Im Rahmen unserer Website-Wartung und -Pflege übernehmen wir diesen Prozess für unsere Kunden strukturiert und zuverlässig.

6. Plugins und Themes mit Bedacht auswählen

Ein wachsendes Problem sind sogenannte „Zombie Plugins" – verlassene Plugins, die nie einen Patch erhalten werden. Im Dezember 2025 allein wurden über 150 Plugins aus dem offiziellen WordPress-Repository entfernt, weil Sicherheitsprobleme unbehoben blieben oder Entwickler inaktiv waren. Wer solche Plugins installiert hat, bleibt dauerhaft exponiert – bis er sie entfernt.

Bei der Auswahl neuer Plugins und Themes gelten folgende Kriterien:

  • Aktualität: Wann wurde das Plugin zuletzt aktualisiert? Ein Plugin ohne Updates in den letzten sechs Monaten sollte hinterfragt werden
  • Verbreitung und Bewertungen: Breite Nutzung und positives Feedback sind gute Indikatoren für aktive Pflege
  • Entwickler-Reaktivität: Reagiert das Team auf gemeldete Bugs und Sicherheitslücken?
  • Notwendigkeit: Brauchen Sie dieses Plugin wirklich? Jede zusätzliche Erweiterung vergrößert die Angriffsfläche

Besondere Vorsicht gilt bei Premium-Plugins aus externen Marktplätzen: Bei Premium-Komponenten aus Marktplätzen waren 76 % der entdeckten Schwachstellen in realen Angriffen ausnutzbar. Premium-Komponenten hatten dreimal mehr bekannte ausgenutzte Schwachstellen als kostenlose.

Deinstallieren Sie konsequent alle Plugins und Themes, die nicht aktiv genutzt werden. Deaktiviert ist nicht gleich sicher – der Code liegt weiterhin auf dem Server und kann Angriffspunkte bieten.

7. Professionelles Hosting als erste Verteidigungslinie

Die Serverumgebung entscheidet über das Sicherheitsniveau, noch bevor WordPress ins Spiel kommt. Zwei separate Penetrationstest-Studien aus 2025 zeigen, dass die Abwehrmaßnahmen von Hosting-Anbietern – inklusive interner Web Application Firewalls und Netzwerksicherheitstools – lediglich 12 % bzw. 26 % der Angriffe blockierten.

Das bedeutet nicht, dass Hosting-Sicherheit irrelevant ist – im Gegenteil. Es bedeutet, dass man sich nicht allein darauf verlassen darf und dass die Qualität des Hostings einen erheblichen Unterschied macht.

Ein professioneller Hosting-Anbieter für WordPress-Installationen sollte folgende Eigenschaften mitbringen:

  • Aktuelle PHP-Versionen (mindestens PHP 8.2): Veraltete PHP-Versionen erhalten keine Sicherheitsupdates mehr
  • Isolierte Umgebungen für einzelne Websites: Verhindert, dass eine kompromittierte Installation andere gefährdet
  • Serverseitiges Malware-Scanning: Erkennung auf Serverebene ist wirksamer als plugin-basierte Ansätze
  • Automatische Backups mit externer Speicherung
  • Aktive Firewall und Intrusion Detection auf Serverebene

Budget-Hosting-Umgebungen verfügen häufig nicht über die notwendigen Firewalls, um Angriffe am Edge zu blockieren. Wer bei der Hosting-Entscheidung ausschließlich auf den Preis schaut, zahlt möglicherweise doppelt – beim Incident Response.

8. HTTPS und SSL/TLS – keine Option, sondern Grundlage

Eine WordPress-Installation ohne HTTPS ist 2025/2026 nicht mehr vertretbar. SSL/TLS-Zertifikate verschlüsseln die Datenübertragung zwischen Browser und Server und schützen Login-Daten, Formulareingaben und alle anderen sensiblen Informationen vor dem Abfangen.

Dank Diensten wie Let's Encrypt sind kostenlose SSL-Zertifikate für jeden Betreiber zugänglich – die technische und finanzielle Hürde ist faktisch auf null gesunken. Viele Hosting-Anbieter übernehmen die Zertifikatsverwaltung heute vollautomatisch.

Stellen Sie sicher, dass:

  • Alle HTTP-Anfragen automatisch auf HTTPS umgeleitet werden
  • Das Zertifikat rechtzeitig erneuert wird (idealerweise automatisch)
  • Die gesamte WordPress-Installation – Backend und Frontend – ausschließlich über HTTPS erreichbar ist
  • HTTP Strict Transport Security (HSTS) konfiguriert ist

Wer HTTPS noch nicht vollständig implementiert hat, sollte das vor allen anderen Maßnahmen nachholen – es ist die Grundlage, auf der alles andere aufbaut.

9. Web Application Firewall als aktive Schutzschicht

Eine Web Application Firewall (WAF) analysiert den eingehenden Traffic auf Anwendungsebene und filtert schädliche Anfragen, bevor sie WordPress erreichen. Sie schützt vor SQL-Injektionen, Cross-Site-Scripting (XSS), DDoS-Versuchen und bekannten Exploit-Mustern.

Cross-Site-Scripting (XSS) dominierte die erste Jahreshälfte 2025 mit 34,7 % aller Schwachstellen – fast doppelt so viel wie die nächste Kategorie. Cross-Site Request Forgery (CSRF) folgte mit 19 %, Local File Inclusion (LFI) mit 12,6 %.

Eine wichtige Einschränkung: Broken Access Control – eine WordPress-spezifische Schwachstellenkategorie – ist mit traditionellen WAFs besonders schwer abzuwehren, weil die Exploits wie normaler authentifizierter Traffic aussehen und keine offensichtlichen Injection-Muster aufweisen. Eine WAF ist also eine wichtige Schicht, aber kein Allheilmittel.

Für die Praxis empfehlen sich:

  • CDN-basierte WAF-Lösungen wie Cloudflare (schützt auf Netzwerkebene, bevor Traffic den Server erreicht)
  • Spezialisierte WordPress-Sicherheitsdienste wie Sucuri oder Patchstack mit WordPress-spezifischen Regelwerken
  • Plugin-basierte WAFs als ergänzende Schicht – nicht als alleinige Lösung

Serverseitige oder CDN-basierte Lösungen sind plugin-basierten Ansätzen in der Regel überlegen, weil sie früher im Request-Lifecycle eingreifen.

10. Backups und Notfallplan – das unterschätzte Sicherheitsnetz

Breach-Recovery-Pläne sind nach wie vor massiv untergenutzt. Nur 27 % der Befragten gaben an, einen solchen Plan zu haben. Das bedeutet: Über zwei Drittel aller WordPress-Profis haben keinen Plan, wie sie auf einen Hack reagieren sollen.

Ein Backup ist nur so gut wie der Prozess dahinter. Folgende Anforderungen sollte ein professionelles Backup-Konzept erfüllen:

  • Automatisierte tägliche Backups – sowohl Datenbank als auch alle Dateien
  • Externe Speicherung: Backup und Produktivsystem müssen voneinander getrennt sein. Cloud-Speicher wie Amazon S3 oder dedizierte Backup-Dienste sind gängige Optionen
  • Regelmäßige Wiederherstellungstests: Ein Backup, das nie eingespielt wurde, ist eine unbekannte Größe
  • Klare Verantwortlichkeiten: Wer ist im Ernstfall zuständig? Wie lange dauert die Wiederherstellung realistisch?

Wer diese Fragen nicht beantworten kann, hat kein echtes Backup-Konzept – nur ein Backup-Gefühl.

Definieren Sie zusätzlich einen Incident-Response-Plan: Was passiert in den ersten zwei Stunden nach einem Sicherheitsvorfall? Wer wird informiert? Wie wird die Seite isoliert? Wenn ein Angriff vermutet wird, sollte die Site isoliert, Zugangsdaten und API-Keys rotiert und von einem verifizierten sauberen Backup wiederhergestellt werden.

Sicherheit als dauerhafter Betriebsbestandteil

WordPress-Sicherheit ist so stark wie Ihre Update-Disziplin. Das ist präzise – aber nicht vollständig. Denn Sicherheit ist kein Zustand, der einmal erreicht und dann gehalten wird. Sie ist ein aktiver Prozess.

Cyberangriffe nehmen an Volumen und Sophistizierung zu – und richten sich zunehmend gegen kleine und mittelständische Unternehmen. Die Konsequenz: Wer WordPress im professionellen Kontext betreibt – für eine Corporate Website, ein Kundenportal oder einen Online-Shop – sollte Sicherheit als festen Bestandteil des digitalen Betriebs verstehen, nicht als einmaliges Setup-Projekt.

Das bedeutet konkret: regelmäßige Security-Audits, klare Verantwortlichkeiten für Updates und Incident Response, kontinuierliches Monitoring und ein Backup-Konzept, das im Ernstfall auch wirklich funktioniert.

64 % der WordPress-Profis haben in der Vergangenheit mindestens einen Sicherheitsvorfall erlebt. Wer frühzeitig strukturiert vorgeht, schützt nicht nur seine Website – er schützt die Reputation seines Unternehmens, die Daten seiner Nutzer und die Kontinuität seiner digitalen Infrastruktur.

Unternehmen, die WordPress als Basis für skalierbare digitale Lösungen nutzen, sollten Sicherheitsarchitektur von Anfang an mitdenken. Im Rahmen unserer Webentwicklung und WordPress-Expertise begleiten wir Kunden genau dabei: von der sicheren Erstinstallation über laufende Wartung bis hin zur Incident Response. Sprechen Sie uns an – bevor ein Vorfall es notwendig macht.