
Wenn deine WordPress-Website online ist, denkst du wahrscheinlich primär an Content, neue Kunden oder vielleicht noch an das Design. Woran du meistens nicht denkst: Daß im Hintergrund vielleicht Sicherheitslücken schlummern, die älter sind als die Ausbildung deiner Azubis.
Die KI „Claude“ hat gerade für Schlagzeilen gesorgt, weil sie Lücken gefunden hat, die teilweise 27 Jahre alt sind. Wir reden hier nicht von High-Tech-Spionage, sondern von digitalen „offenen Fenstern“, die seit den 90ern keiner mehr zugemacht hat.
Wollen wir garantiert nicht haben! Damit deine Seite keine Einladung für ungebetene Gäste wird, merkst du dir: Website Sicherheit ist kein einmaliges Projekt, sondern digitale Hygiene.
Oft wird von „Zero-Day-Lücken“ gesprochen – also brandneuen Fehlern, gegen die man machtlos ist. Klingt spannend, ist aber für 99 % aller Website-Betreiber Quatsch. Die Realität der Cybersecurity ist banaler: Die meisten Angriffe passieren durch bekannte Lücken, die einfach nie gefixt wurden.
KI-Tools wie Claude machen es Angreifern heute kinderleicht, diese alten Skelette in deinem Server-Schrank zu finden. Ein proaktiver WordPress Security Check schützt dich vor:
Wichtig: Bevor du jetzt wild an den Einstellungen schraubst: Erstelle ein Backup! Sicherheit ohne Backup ist wie Seiltanz ohne Netz. (Im besten Fall regelt das dein Hosting* wieder von ganz alleine).
Die folgende Liste zeigt dir die wichtigsten Hebel, um dein WordPress-Dach wetterfest zu machen.
Ich werde nicht müde, es zu sagen: Aktualisiere alles! WordPress-Core, Themes und Plugins. Veraltete Software ist der Hauptgrund für Hacks. Wenn Claude 27 Jahre alte Lücken findet, dann meistens in Code-Schnipseln, die seit der Jahrtausendwende kein Update mehr gesehen haben.
Mein Tipp: Nutze automatische Updates für Minor-Releases, aber schau mindestens einmal die Woche selbst rein.
Hier schließt sich der Kreis zu meinem Artikel über das WordPress Aufräumen. Jedes Plugin, das du nicht nutzt, ist ein potenzielles Einfallstor.
Deaktivierte Plugins sind kein Schutz! Wenn ein Plugin eine Lücke hat, kann diese oft auch ausgenutzt werden, wenn es nicht aktiv ist.
Regel: Was du nicht brauchst -> löschen. Sofort.
„Admin“ als Benutzername und das Geburtsdatum als Passwort sind mehr als eine Einladung zum Hack.
/wp-admin ist der Standard-Pfad um sich auf deiner Website einzuloggen. Mit Tools wie ASE (Admin Site Enhancer) kannst du das beliebig ändern und z.B. /ein_schoener_tag daraus machen. Klar, das hält versierte Bösewichte nicht wirklich ab, stoppt dafür aber 90% der Bots, die das Internet nach dem Standard-Pfad durchkämmen.
Verlasse dich nicht nur auf die Backups deines Hosters, sondern lege zusätzlich Backups getrennt von deiner Website an. Tools wie UpdraftPlus oder BlogVault helfen dir ganz einfach dabei.
Wichtig: Teste unbedingt (z.B. auf einer Staging-Site), wie man das Backup wieder zurückspielt.
Sicherheit beginnt beim Fundament. Ein billiges 2-Euro-Hosting teilt sich oft Ressourcen mit tausenden anderen Seiten. Wenn die Nachbarseite gehackt wird, bist du im schlimmsten Fall mit dran.
Achte auf ein Hosting, das aktuelle PHP-Versionen (8.x und höher) anbietet und proaktive Firewalls sowie Malware-Scans integriert hat.
Bots probieren gerne tausende Passwort-Kombinationen pro Minute aus (Brute-Force-Attacke). Mit Plugins wie ASE (Admin Site Enhancer) oder speziellen Security-Plugins kannst du festlegen, daß nach 3 Fehlversuchen erstmal für 30 Minuten Schluss ist. Das nimmt den Bots den Wind aus den Segeln.
XML-RPC ist eine Schnittstelle, die früher oft für Apps genutzt wurde, heute aber hauptsächlich für Brute-Force-Angriffe missbraucht wird. Wenn du keine speziellen Apps zur Steuerung deiner Seite nutzt: Abschalten. Geht meistens ganz einfach per Plugin oder über deine Hosting-Einstellungen.
Standardmäßig fangen alle WordPress-Tabellen mit wp_ an. Das wissen auch die Bots. Wenn du bei der Installation (oder nachträglich per Plugin wie Advanced Database Cleaner) das Präfix änderst (z. B. in sicher_42_), machst du es automatisierten SQL-Angriffen deutlich schwerer.
Aber Achtung: Hier arbeitest du am offenen Herzen der Website. Backup machen!
Es kommt nicht auf das eine „Wunder-Tool“ an, sondern darauf, daß dein Workflow passt. Du musst kein Security-Experte sein. Es reicht, wenn du mal grundlegend die Türen abschließt, die Updates machst und keinen uralten Code-Müll mit dir rumschleppst. Das ist schon mal die halbe Miete.
Bereit loszulegen?
Die ThriveBiz+ - Community gibt dir die direkte Begleitung die du brauchst um dein WordPress-Business endlich voranzubringen.
900 € /Jahr
|
75 € /Monat
|
14-Tage Geld-zurück Garantie
|
Jederzeit kündbar
Mit ThriveBiz bin ich dein technischer Ansprechpartner für den Aufbau, die Optimierung und die Pflege deiner Website, deines Mitgliederbereichs oder deiner Community.
In der ThriveBiz+ Community unterstütze ich dich als technischer Begleiter mit meiner Video-Wissensdatenbank und direktem Experten-Support bei all deinen Umsetzungsfragen.
Zusätzlich biete ich dir individuelle technische Unterstützung und WordPress-Hilfe an oder übernehme als Dienstleister die komplette Umsetzung deiner Projekte für dich. Auf meinem Blog teile ich außerdem regelmäßig praxisnahe Einblicke in die Tools und Strategien, die dein Online-Business technisch stabil und erfolgreich machen.
Mit einem Stern (*) gekennzeichnete Empfehlungen sind sogenannte Affiliate-Links. Wenn du über so einen Link ein Produkt kaufst, bekommen wir von deinem Einkauf eine kleine Provision. Für dich verändert sich der Preis nicht.
Wichtig: Wir empfehlen nur Produkte, die wir selber einsetzen/ eingesetzt haben