Checkliste WordPress Sicherheit
WordPress Sicherheits-Checkliste – So schützt du deine Website vor Angriffen
Alle wichtigen Maßnahmen, um deine WordPress-Seite vor Hackern, Malware und Datenverlust zu schützen – von einfachen Basics bis zu erweiterten Sicherheits-Settings.
Fortschritt
0 / 25
Admin-Zugang & Benutzer
Die wichtigsten Angriffsflächen im Backend absichern
▾
⚡Viele WordPress-Hacks passieren nicht wegen „magischer Sicherheitslücken“, sondern wegen schwacher Logins, alter Plugins oder fehlender Backups.
Standard-Benutzername „admin“ nicht verwenden
Ein individueller Login-Name erschwert automatisierte Angriffe. „admin“ ist immer noch eines der häufigsten Ziele.
Starke, einzigartige Passwörter für alle Admin-Konten
Verwende lange, zufällige Passwörter und am besten einen Passwort-Manager statt wiederverwendeter Logins.
Zwei-Faktor-Authentifizierung aktivieren
2FA ist eine der wirksamsten Schutzmaßnahmen gegen gestohlene Passwörter und Brute-Force-Angriffe.
Benutzerrollen und alte Konten überprüfen
Entferne nicht mehr benötigte Benutzer und stelle sicher, dass jeder nur die Rechte hat, die wirklich nötig sind.
Updates & Systemhygiene
Veraltete Software ist eines der größten Sicherheitsrisiken
▾
WordPress-Core aktuell halten
Sicherheitsupdates für WordPress selbst sollten zeitnah eingespielt werden, da bekannte Lücken aktiv ausgenutzt werden können.
Plugins regelmäßig aktualisieren
Vor allem Plugins sind häufige Einfallstore. Veraltete Versionen sollten nicht dauerhaft aktiv bleiben.
Themes aktuell halten
Auch Themes können Sicherheitslücken enthalten. Besonders wichtig bei Premium-Themes und Child-Theme-Setups.
Nicht genutzte Plugins und Themes löschen
Deaktiviert reicht oft nicht aus. Alles, was nicht gebraucht wird, sollte komplett entfernt werden.
Schutz vor Angriffen
Typische Attacken wie Brute Force und Malware abwehren
▾
Login-Limits oder Brute-Force-Schutz aktivieren
Begrenze Login-Versuche, damit automatisierte Passwort-Angriffe deutlich schwerer durchkommen.
Sicherheits-Plugin einrichten
Ein gutes Security-Plugin kann Logins überwachen, Scans ausführen, Firewalls aktivieren und verdächtige Aktivitäten melden.
Datei-Editor im Backend deaktivieren
Wenn ein Konto kompromittiert wird, kann der eingebaute Theme- oder Plugin-Editor missbraucht werden. Besser komplett abschalten.
XML-RPC nur bei Bedarf aktiv lassen
Falls du XML-RPC nicht brauchst, kann das Abschalten eine zusätzliche Angriffsfläche reduzieren.
Backups & Wiederherstellung
Im Ernstfall schnell zurück zu einer sauberen Version
▾
Automatische Backups eingerichtet
Deine Website sollte regelmäßig automatisch gesichert werden – idealerweise täglich oder mindestens wöchentlich.
Backups extern speichern
Sicherungen sollten nicht nur auf demselben Server liegen, sondern zusätzlich an einem externen Ort gespeichert werden.
Mehrere Wiederherstellungspunkte behalten
Nicht nur das letzte Backup speichern. Oft wird ein Problem erst Tage später entdeckt – dann brauchst du ältere Versionen.
Wiederherstellung einmal testen
Ein Backup ist nur dann wirklich wertvoll, wenn du im Notfall auch weißt, wie du es sauber zurückspielst.
Monitoring & technische Basics
Probleme früh erkennen und die technische Basis absichern
▾
SSL-Zertifikat aktiv und fehlerfrei
HTTPS ist Pflicht. Prüfe, ob Zertifikat, Weiterleitungen und Browseranzeige korrekt funktionieren.
Aktuelle PHP-Version und sichere Hosting-Umgebung nutzen
Auch auf Serverebene sollte die Umgebung aktuell sein – alte PHP-Versionen und schlechtes Hosting erhöhen Risiken.
Login- und Sicherheitsprotokolle regelmäßig prüfen
Verdächtige Login-Versuche, neue Benutzer oder auffällige Änderungen sollten früh erkannt werden.
Dateirechte und sensible Dateien prüfen
Konfigurationsdateien und Upload-Verzeichnisse sollten sauber abgesichert sein, damit keine unnötigen Risiken entstehen.