Du willst wissen, ob deine WordPress-Site ein leichtes Ziel ist — bevor es ein Bot herausfindet? Wir betreiben Härtung, Monitoring und getestete Backups selbst, jeden Tag. Lass uns ehrlich auf eure Angriffsfläche schauen.
WordPress-Security: die Basics, die wirklich schützen
1. Die ehrliche Wahrheit über WordPress-Sicherheit
WordPress ist nicht unsicher. Es ist verbreitet — über 40 Prozent aller Websites weltweit. Und Verbreitung ist der Grund, warum es das lohnendste Ziel für automatisierte Angriffe ist. Nicht weil der Code schlecht wäre, sondern weil ein einziger funktionierender Exploit auf zigtausend Sites passt.
Das verändert die Frage. Sie lautet nicht „werde ich angegriffen?" — du wirst es, jeden Tag, automatisiert, ob du es merkst oder nicht. Sie lautet „bin ich ein leichtes Ziel?". Und genau das ist die gute Nachricht: Die allermeisten erfolgreichen Kompromittierungen sind kein geniales Hacking, sondern das maschinelle Ausnutzen veralteter Plugins und schwacher Zugänge. Beides ist vermeidbar — mit Disziplin, nicht mit Magie.
Wir betreiben WordPress selbst — mit Staging, Monitoring und getesteten Backups, für eigene Sites und Kundenprojekte. Dieser Text ist die Sicherheitsvertiefung zum WordPress Enterprise-Leitfaden. Die operative Seite — Updates, Backups, Staging — steht im Schwester-Artikel WordPress Wartung und Betrieb, denn Sicherheit ist zu großen Teilen gelebte Betriebsdisziplin.
2. Wo Angriffe wirklich passieren
Vergiss das Hollywood-Bild vom Hacker mit Kapuze. Die reale Angriffsfläche einer Mittelstands-Site ist langweilig — und genau deshalb so erfolgreich.
3. Die Härtungs-Basis, die wirklich zählt
Sicherheit hat ein Vermarktungsproblem: Es klingt nach teuren Spezialwerkzeugen. Tatsächlich liegt der mit Abstand größte Hebel in unspektakulären Grundlagen, die nichts kosten außer Disziplin.
Updates zeitnah, getestet. Das ist keine Wartungs- sondern eine Sicherheitsmaßnahme. Jedes veraltete Plugin ist eine offene, öffentlich dokumentierte Tür. Der kontrollierte Weg über Staging steht im Betriebs-Artikel — er ist die Hälfte deiner Sicherheit.
Starke, einzigartige Zugänge plus 2FA. Brute-Force-Bots laufen permanent gegen jedes WordPress-Login. Ein eindeutiges, langes Passwort und Zwei-Faktor-Authentifizierung für alle Admin-Konten neutralisiert diesen kompletten Angriffsvektor — eine der wirksamsten Maßnahmen überhaupt, und sie ist kostenlos.
Least Privilege. Nicht jeder Redakteur braucht Administrator-Rechte. Je weniger Konten weitreichende Rechte haben, desto kleiner der Schaden, wenn eines kompromittiert wird. Vergebe die kleinste Rolle, die für die Aufgabe reicht.
Plugin-Hygiene. Jedes Plugin ist fremder Code mit Schreibzugriff auf deine Datenbank. Deaktivierte Plugins sind weiterhin Angriffsfläche. Was nicht gebraucht wird, wird gelöscht — nicht nur deaktiviert. Weniger Plugins ist messbar sicherer.
Aktuelle Umgebung. Eine veraltete PHP-Version bekommt keine Sicherheitsfixes mehr. Das ist kein WordPress-Thema, sondern Fundament — und wird im Mittelstand oft jahrelang übersehen.
4. Was im Ernstfall wirklich zählt
Härtung senkt die Wahrscheinlichkeit. Sie macht sie nicht null. Deshalb entscheidet die zweite Frage über den tatsächlichen Schaden: Wie schnell bist du wieder sauber online?
5. Wo Security-Aufwand übertrieben ist
Auch hier sind wir ehrlich, weil Sicherheit ein Feld ist, auf dem viel verkauft und wenig erklärt wird. Nicht jede Site braucht das volle Programm.
Eine Web Application Firewall, aufwendiges Pentesting oder ein 24/7-SOC sind für eine typische Mittelstands-Visitenkarten- oder Content-Site Overkill, solange die Basis aus Abschnitt 3 nicht steht. Es ist sinnlos, eine teure Firewall vor eine Site zu stellen, deren Plugins zwei Jahre alt sind und deren Admin „admin" heißt. Das ist, als baue man einen Tresor und lasse die Haustür offen.
Die Priorität ist immer dieselbe: zuerst die kostenlose Basis (Updates, 2FA, Least Privilege, Plugin-Hygiene, aktuelle Umgebung, getestete Backups), dann erst — und nur bei echtem erhöhtem Schutzbedarf wie Shop mit Zahlungsdaten, sensiblen Formularen oder Kundenportal — die nächste Stufe. Wer mit Stufe zwei beginnt, bevor Stufe eins steht, gibt Geld für ein Sicherheitsgefühl aus, nicht für Sicherheit. Geht der Schutzbedarf über ein CMS hinaus, ist das oft ein Architektur-Thema — dazu der Leitfaden individuelle Softwareentwicklung.
6. Fazit
WordPress ist nicht unsicher — aber es ist das beliebteste Ziel automatisierter Angriffe, und die gewinnen fast immer über veraltete Plugins und schwache Zugänge. Die Frage ist nicht, ob du angegriffen wirst, sondern ob du ein leichtes Ziel bist.
Die wirksamsten Maßnahmen kosten kein Geld, sondern Disziplin: zeitnahe getestete Updates, 2FA, Least Privilege, Plugin-Hygiene, aktuelle Umgebung. Und weil Härtung die Wahrscheinlichkeit nur senkt, nicht eliminiert, ist das getestete Backup der zweite, gleichwertige Pfeiler — es entscheidet, ob ein Vorfall zwanzig Minuten oder drei Tage kostet. Erst wenn diese Basis steht, lohnt sich die nächste Stufe.
7. Nächste Schritte
8. Quellen
- Eigener Betrieb: Härtung, Monitoring und getestete Backups für eigene und Kundenprojekte (Medienstürmer, interne Praxis 2024–2026)
- WordPress.org — Hardening WordPress (offizielle Sicherheits-Dokumentation)
- OWASP Top 10 — A06 Vulnerable and Outdated Components — Hintergrund zum Plugin-Risiko
- OWASP Top 10 — A07 Identification and Authentication Failures — Hintergrund zu schwachen Zugängen
- Patchstack — State of WordPress Security 2024 — Plugins als dominante Schwachstellenquelle
- W3Techs — Usage Statistics of Content Management Systems — Marktanteil WordPress
- Verwandt: WordPress Enterprise-Leitfaden · WordPress Wartung und Betrieb · Individuelle Softwareentwicklung
