WordPress ist mit über 43 % Anteil das weltweit am häufigsten eingesetzte Content-Management-System. Diese enorme Verbreitung macht WordPress-Seiten allerdings auch zu bevorzugten Zielen für Hacker. Wichtig zu wissen: WordPress selbst gilt als sicher, doch die meisten erfolgreichen Angriffe entstehen durch Nachlässigkeiten wie veraltete Plugins oder schwache Passwörter auf Benutzerseite. Laut einer Analyse waren 76 % aller gehackten WordPress-Seiten unzureichend abgesichert – viele Angriffe ließen sich also durch einfache Maßnahmen verhindern. Im Folgenden findest du fünf wichtige Sicherheits-Prüfungen, die jeder WordPress-Betreiber (vom Einsteiger bis zum Profi) durchführen sollte:
- Veraltete WordPress-Version: Jede neue WordPress-Version behebt bekannte Fehler und Sicherheitslücken – wer nicht regelmäßig aktualisiert, lässt absichtlich bekannte Schwachstellen offen.
Angreifer scannen das Internet gezielt nach Websites mit veralteter Software; eine Studie von Sucuri ergab, dass 60 % der gehackten WordPress-Seiten veraltete Software im Einsatz hatten.
Tipp: Überprüfe im Dashboard unter „Updates“, ob dein WordPress aktuell ist, und spiele Updates zeitnah ein. - Verwendung des Benutzernamens „admin“: Für einen erfolgreichen Login-Angriff müssen Hacker Benutzername und Passwort erraten.
Ist der Admin-Benutzername auf deiner Seite „admin“ oder leicht zu raten, halbiert das die Wirksamkeit dieser Sicherheitsbarriere.
Mit dem Standard-User „admin“ liefern viele Websites Hackern also bereits die Hälfte der Zugangsdaten auf dem Silbertablett.
Tipp: Verwende einen individuellen Benutzernamen (idealerweise eine Kombination aus Buchstaben und Zahlen) mit Administratorrechten – vermeide auf jeden Fall „admin“ als Login-Namen. - Fehlendes SSL-Zertifikat: Eine Website ohne SSL-Verschlüsselung überträgt Daten (z. B. Passwörter oder Formulardaten) im Klartext.
Das bedeutet, Angreifer könnten diese Informationen unterwegs abfangen. Zudem gehört HTTPS heute zum Standard: Kostenlose SSL-Zertifikate (z. B. von Let’s Encrypt) sind leicht verfügbar, und Google betrachtet SSL inzwischen als Ranking-Faktor.
Fehlt die Verschlüsselung, warnen Browser die Besucher mit Sicherheits-Hinweisen – was Vertrauen und Professionalität deiner Seite untergräbt.
Tipp: Richte umgehend ein SSL-Zertifikat für deine Website ein (die meisten Hoster unterstützen Let’s Encrypt kostenlos) und stelle sicher, dass deine Seite nur über „https://“ erreichbar ist. - Keine Zwei-Faktor-Authentifizierung: Ohne Zwei-Faktor-Authentifizierung (2FA) genügt Hackern oft schon ein einziges durchgesickertes Passwort, um sich in dein Admin-Konto einzuloggen.
2FA fügt eine zusätzliche Sicherheits-Ebene hinzu: Nach Eingabe des Passworts muss ein zweiter Faktor (z. B. ein Einmal-Code am Handy) bestätigt werden.
Dieser Schritt macht Brute-Force-Angriffe nahezu wirkungslos – es ist so gut wie unmöglich, dass ein Angreifer sowohl dein Passwort als auch dein Smartphone besitzt.
Tipp: Aktiviere die Zwei-Faktor-Authentifizierung für dein WordPress-Login, etwa durch ein Plugin oder den Service deines Hosting-Anbieters. Damit schützt du dein Backend selbst dann, wenn ein Passwort in falsche Hände gerät. - Keine Begrenzung von Anmeldeversuchen: Standardmäßig erlaubt WordPress unbegrenzt viele Login-Versuche.
Diese Voreinstellung ist gefährlich, denn sie eröffnet Brute-Force-Angreifern die Möglichkeit, automatisiert tausende Passwortkombinationen auszuprobieren, bis der Zugang irgendwann zufällig gelingt.
Wird die Zahl der Fehlversuche dagegen beschränkt (z. B. auf 3–5 Versuche pro Nutzer), wird das „Durchprobieren“ erheblich erschwert – nach wenigen Fehlversuchen wird der Account oder die IP-Adresse temporär gesperrt.
Tipp: Installiere ein Sicherheits-Plugin oder ein spezialisiertes Login-Limit-Plugin, um die Anzahl der Anmeldeversuche zu begrenzen. So schiebst du automatisierten Bots einen Riegel vor.
Fazit
Diese fünf Prüfungen wirken simpel, aber sie decken häufige Einfallstore für Angreifer ab. Schon mit ihrer Umsetzung erhöhst du die Sicherheit deiner WordPress-Seite spürbar. Noch einfacher geht es mit dem kostenlosen Plugin WP Security Check, das alle genannten Sicherheitsaspekte für dich automatisch überprüft. Spare dir manuellen Aufwand und erhalte innerhalb von Sekunden ein Ergebnis, wie gut deine Seite geschützt ist.