Stefanie Motiwal - Website leicht gemacht
Die perfekte Startseite für 0€
Stefanie Motiwal - Website leicht gemacht
Die perfekte Startseite für 0€

WordPress Sicherheit 2025: So schützt du deine Website vor Hackern

WordPress ist das meistgenutzte Content-Management-System der Welt. Das zeigt, wie großartig es ist, macht es aber auch zum beliebten Ziel für Angriffe aller Art. Nach der Installation und Einrichtung solltest du dich noch nicht entspannt zurücklehnen, sondern mit den nachfolgenden Schritten schauen, ob du bei deinem WordPress noch etwas optimieren kannst:

Sicheres Passwort wählen

Vergib unbedingt ein sicheres (=langes, komplexes) Administrator Passwort! Lass dies am beste von deinem Browser generieren und notfalls speichern – ich nutze dafür sehr gerne LastPass. Und wie immer gilt: Nutze nicht überall das gleiche Passwort 🙂 Sonst ist vielleicht neben WordPress auch noch gleich dein E-Mail-Postfach und dein Facebook Account gehackt.

Vermeide „admin“ als Benutzer

Suche dir zugleich am besten schon bei der WordPress Installation einen persönlichen Benutzernamen aus (statt dem Standard admin) und lösche nachträglich den admin Nutzer, falls er doch schon angelegt wurde.

Plugins, Themes und WordPress aktuell halten

Die meisten Angriffe werden durch veraltete Plugins und Themes (oder zu einfache Passworte) möglich gemacht. Um hier immer auf dem neuesten Stand zu sein, solltest du nicht nur WordPress, sondern auch alle installierten Erweiterungen sehr regelmäßig, am besten alle 1-2 Wochen, aktualisieren (gib die Wartung gern an mich ab, wenn du dich darum nicht selbst kümmern möchtest).

WordPress selbst bietet auch die Option, Plugins und Themes automatisch aktualisieren zu lassen – dies kannst du theoretisch einstellen, damit alles von selbst sofort gemacht wird. Ich würde dir diese Option nicht empfehlen (oder höchstens bei super unwichtigen kleinen Plugins), weil du bei einem fehlerhaften Update nicht direkt merkst, dass etwas nicht mehr läuft.

Bei einigen Aktualisierungen empfiehlt es sich außerdem, noch ein wenig abzuwarten – z.B. falls für eine neue WordPress Version noch nicht alle Plugins kompatibel sind und somit noch gar nicht mit der neuen Version funktionieren würden.

Anzahl an installierten Plugins minimieren

Installiere nur die Plugins, die du auch wirklich benötigst. Deinstalliere Plugins unbedingt, wenn sie dir nicht mehr länger dienen (nur deaktivieren reicht hier übrigens nicht, denn dann bleiben die Dateien trotzdem auf deinem Server). Und achte auch darauf, dass du dir keine WordPress Plugins einfach irgendwo herunterlädst, sondern installiere sie wenn möglich über den Plugins -> Installieren Menüpunkt deines Dashboards. Hier kannst du zudem schauen, wie häufig das Plugin im Einsatz ist und wann es zuletzt aktualisiert wurde:

Plugin Nutzung

Bei uralten, wenig genutzten Plugins ist ggf. Vorsicht geboten, gerade da sie vermutlich nicht mehr den neuesten Sicherheitsstandards entsprechen.

Ein Backup einrichten

Damit du für den Fall der Fälle – falls die Seite doch gehackt wurde oder etwas bei einem Update schief gelaufen ist – abgesichert bist, empfehle ich dir, mind. 1x pro Woche ein automatisches Update machen zu lassen. Hierfür kannst du z.B. Updraft Plus (ruhig in der kostenlosen Version) nutzen. Du musst einmal einstellen, wie häufig und wohin welche Daten gesichert werden sollen und wie viele Versionen beibehalten werde sollen und schon bis du fertig!

Oft sichert der Webhoster deine Website zwar auch – da hast du jedoch selbst keinen Einfluss darauf, wie häufig was genau gesichert wird und kannst auch nicht nur einzelne Teile (z.B. nur die Datenbank oder nur die Dateien) zurücksichern.

In diesem Video zeige ich dir, wie du das Backup einrichten kannst.

Benutzerrollen & Rechte – Nur so viel Macht wie nötig

Mal Hand aufs Herz: Hast du schon mal anderen Leuten Zugriff auf deine Website gegeben, weil sie dir „nur kurz helfen“ sollten? Dann kennst du das Risiko: Zu viele Köche verderben nicht nur den Brei, sondern gefährden auch die Sicherheit deiner Seite.
Nutze daher konsequent die WordPress-Benutzerrollen:

  • Administrator: Nur du (oder dein*e Web-Expert*in) sollte diese Rechte haben.

  • Redakteur, Autor, Mitarbeiter: Gib diese Rollen nur, wenn jemand wirklich Inhalte bearbeiten soll – und dann auch nur genau die Rechte, die er oder sie braucht.

  • Abonnent: Ideal für einfache Logins, z. B. bei geschützten Bereichen oder Mitgliederseiten.

Falls jemand dich nicht mehr unterstützt, lösche ihren oder seinen Account. Er kann ja später jederzeit wieder eingerichtet werden, wenn die Person wieder Zugriff benötigt.

Bonustipp: Stell bitte sicher, dass auch alle anderen Administratoren, Redakteure etc. ein sicheres Passwort wählen und dies im Idealfall regelmäßig ändern und nicht für andere Zugänge nutzen. 

👉 Mein Grundsatz: So wenig Admins wie möglich, so viele eingeschränkte Rollen wie nötig. Das senkt das Risiko von ungewollten Änderungen oder Hacks enorm.

SSL-Zertifikat & HTTPS einrichten!

Kennst du dieses kleine Schloss-Symbol in der Browserzeile🔒 – oder alternativ den Hinweis „Nicht sicher“, falls es fehlt? Das Schloss ist kein nettes Gimmick, sondern ein absolutes Muss!
Ohne SSL-Zertifikat wird deine Website nämlich nicht nur von Google abgestraft, sondern die Daten deiner Besucher*innen – vor allem beim Einloggen oder Kontaktformular-Ausfüllen – werden unverschlüsselt übertragen. Und das ist ungefähr so sicher, wie deinen Haustürschlüssel auf die Fußmatte zu legen.
Die gute Nachricht: Fast alle Hoster bieten dir heute ein kostenloses Let’s-Encrypt-Zertifikat an, das du mit wenigen Klicks aktivieren kannst. Danach ist deine Seite über https:// erreichbar und das Schloss erscheint. Achte darauf, dass wirklich alle Seiten auf HTTPS umgeleitet werden – bei Bedarf hilft ein Plugin wie Really Simple SSL oder Better Search Replace (in diesem Youtube-Video zeige ich dir, wie das geht).

Sicherheits Plugins installieren

Auch wenn du alles andere berücksichtigst, machen die folgenden Sicherheitsplugins Sinn:

  • Ninja Firewall, Wordfence Security oder mein Favorit: Limit Login Attempts Reloaded um generelle Attacken auf deine Website zu verhindern (hier reicht jeweils die kostenlose Version für den normalen Schutz erstmal aus). Wenn ein schädliches Script z.B. mehrmals hintereinander versucht, sich als Administrator auf deiner Seite einzuloggen, wird der Account vorsichtshalber eine zeitlang blockiert. Die IP-Adresse der Nutzer wird durch diese Plugins evtl. mitgeloggt, sodass ein entsprechender Hinweis in deiner Datenschutzerklärung erfolgen sollte.
  • WPS Hide Login oder Loginizer – falls man den Adminbereich nicht über die Standard Adresse /wp-login und /wp-admin erreichbar machen möchte. Hilft gegen automatisierte Hackerattacken.

Zwei-Faktor-Authentifizierung – Admin-Zugang doppelt abgesichert

Du willst Hackern so richtig den Spaß verderben? Dann setze unbedingt auf Zwei-Faktor-Authentifizierung (2FA)!
Das heißt: Neben deinem Passwort brauchst du beim Einloggen noch einen zweiten Code, z. B. aus einer Authenticator-App auf deinem Handy. Damit schützt du deinen Zugang auch dann, wenn dein Passwort in falsche Hände gerät.
Ich empfehle dir die Plugins Security Optimizer, Two Factor oder WP 2FA, die sich recht easy einrichten lassen und deine Login-Sicherheit massiv erhöhen.

Wichtig für die 2FA: Es gibt oft auch für Administratoren keine Hintertür – wenn du nicht mehr reinkommst, ist die einzige Möglichkeit, das Plugin händisch, also z.B. über ein FTP Programm, zu löschen. Falls du dir das nicht selbst zutraust stelle besser vorher sicher, dass dich jemand dabei unterstützen könnte.

Hier ein Screenshot der 2FA Konfigurationsmöglichkeit in meinem Lieblings-Security-Plugin Security Optimizer:

Security Optimizer mit 2 Faktor Authentifizierung

PHP Version aktuell halten

Bei deinem Hoster kannst du in der Regel einstellen, welche PHP Version für deine Website genutzt werden soll.

WordPress selbst zeigt mittlerweile bei veralteten Vesionen einen Warnhinweis im Backend an – spätestens dann ist es höchste Zeit, deine Seite auf die neueste PHP Version umzustellen. Solltest du hierbei Schwierigkeiten haben, kontaktiere am besten deinen Hoster.

Bei all-inkl.com kannst du es nach dem Login in die Verwaltung über all-inkl.com/kas beim Menüpunkt Domain einstellen:

PHP Version umstellen

Mit diesen wenigen Schritten hast du die Sicherheit deines WordPress schon sehr erhöht. Lass gern einen Kommentar hier, wenn du noch weitere Tipps oder Fragen hast 🙂

Du willst ganz sicher sein, dass deine Website nicht angreifbar ist?
Lass sie von mir einmal gründlich durchchecken!

Technik-Check für deine WordPress-Website
Ich überprüfe deine Plugins, Updates, Sicherheitseinstellungen, Backups und mehr und stelle dir alles bestmöglich ein.

👉 Jetzt Technik-Check buchen

Oder möchtest du lieber, dass ich mich regelmäßig darum kümmere?

Monatliche Website-Wartung
Ich halte deine Website aktuell, sicher und funktionsfähig – ganz ohne Aufwand für dich.

👉 Mehr zur Wartung erfahren

Hey, ich bin Stefanie Motiwal

Stefanie Motiwal - Website leicht gemacht

und helfe Selbständigen aus der Coaching- Dienstleistungs- und Beratungsbranche dabei, ihre Website strategisch und professionell zu gestalten, um mehr Umsatz und Kund*innen zu gewinnen.

Website Checkliste für 0 Euro!

Website Checkliste

Endlich überzeugende Website-Texte ohne Schreibblockade!

Hol dir das Workbook „Website-Texte leicht gemacht“ inkl. konkretem Aufbau deiner Hauptseiten, vieler Tipps, KI-Prompts & mehr in dieser 50-seitigen PDF:

Website-Texte leicht gemacht

Empfehlungen für dich:

Die besten Website-Tools Empfehlungen

Stefanie Motiwal Website-Mentorin

Stefanie Motiwal

Hey, ich bin Stefanie und helfe dir dabei, mit deiner WordPress-Website sichtbar zu werden und mehr Kund*innen zu gewinnen.

Von mir lernst du nicht nur, wie du Einstellungen in WordPress bei Plugins & Themes vornimmst, sondern auch, worauf es bei Design, Struktur, Text & Layout ankommt, damit du die richtigen Menschen ansprichst.

Dabei ist es mir wichtig, dass der Spaß nicht auf der Strecke bleibt und du ganz viel für dich und dein Business mitnehmen kannst!

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Blogartikel

Allgemein
Blogartikel Website mit KI erstellen mit Divi Theme

Website mit KI erstellen

In diesem Video zeige ich dir, wie du mit dem Divi-Theme und der KI-Funktion eine Website erstellen kannst. Natürlich solltest du dies in der Praxis nicht wirklich so verwenden, aber zum Ausprobieren ist es ganz cool:

Lesen

Überfordert vom Website-Dschungel?

Dann hilft dir meine Website-Toolkiste für 0 Euro weiter. 🔧 Eine praktische Übersicht mit meinen liebsten Tools, Plugins & Empfehlungen - damit du nicht stundenlang vergleichen musst, sondern direkt loslegen kannst.

You have Successfully Subscribed!

Der Newsletter erscheint ca. 1x pro Woche über Wildmail (Active Campaign). Abmeldung jederzeit möglich. Siehe Datenschutzerklärung für alle Infos.