So sicherst du dein WordPress richtig ab (auch ohne Plugin-Overload)

Warum WordPress-Sicherheit wichtig ist

WordPress ist das weltweit beliebteste Content-Management-System. Genau deshalb ist es auch ein bevorzugtes Ziel für Hacker und Bots. Eine nicht abgesicherte WordPress-Seite kann schnell zur Einfallstür für Malware, Datendiebstahl oder Spam werden. Viele Angriffe erfolgen automatisiert und treffen besonders Seiten, die grundlegende Sicherheitsmaßnahmen ignorieren.

Umso wichtiger ist es, deine Website proaktiv zu schützen – und das geht auch ohne ein Plugin-Chaos. In diesem Artikel erfährst du, wie du deine WordPress-Installation effektiv und ressourcenschonend absichern kannst.

Grundlegende Sicherheitsmaßnahmen direkt nach der Installation

Ein sicheres Administrator-Konto wählen

Vermeide es, den Benutzernamen „admin“ zu verwenden. Dieser ist bei Angreifern sehr beliebt und wird häufig bei Brute-Force-Angriffen ausprobiert. Wähle stattdessen einen individuellen Benutzernamen und ein starkes Passwort.

• Verwende mindestens 12 Zeichen
• Nutze Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
• Aktualisiere dein Passwort regelmäßig

WordPress, Themes und Plugins aktuell halten

Veraltete Software ist ein riesiges Sicherheitsrisiko. Entwickler schließen regelmäßig Sicherheitslücken durch Updates. Daher sollten WordPress-Core, Plugins und Themes immer auf dem neuesten Stand sein.

Stelle außerdem sicher, dass du nur Plugins und Themes aus vertrauenswürdigen Quellen wie dem offiziellen WordPress-Repository installierst.

Zugriffsrechte und Server-Sicherheit optimieren

Dateiberechtigungen sinnvoll setzen

Falsche Dateiberechtigungen ermöglichen Hackern, Schadcode einzuschleusen. Achte darauf, dass deine Verzeichnisse in der Regel nicht beschreibbar sind (z. B. 755) und Dateien mit 644 Rechten versehen sind.

• wp-config.php sollte 600 oder 640 haben
• Vermeide CHMOD 777 auf allen Dateien und Ordnern

Verzeichnislisten deaktivieren

Standardmäßig können viele Webserver Inhalte von Ordnern anzeigen, wenn keine index-Datei vorhanden ist. Das solltest du unbedingt verhindern. Füge dazu folgende Direktive in deine .htaccess-Datei ein:

Options -Indexes

Die wp-config.php schützen

Die Konfigurationsdatei enthält sensible Informationen wie Datenbank-Zugangsdaten. Du kannst sie schützen, indem du sie eine Ebene über dem Webroot speicherst oder über die .htaccess absicherst:

<files wp-config.php>
order allow,deny
deny from all
</files>

Login-Bereich absichern – ohne Plugin-Overload

Limit Login Attempts mit Boardmitteln

Viele Plugins bieten Schutz vor Brute-Force-Angriffen, aber auch dein Hosting-Provider oder die functions.php kann helfen. Durch benutzerdefinierten Code kannst du Login-Versuche begrenzen, ganz ohne Plugin.

Alternativ kannst du auch serverseitig mit Tools wie Fail2Ban oder ModSecurity arbeiten – so wird der Login-Schutz auf Netzwerkebene umgesetzt.

Two-Factor Authentication (2FA) einführen

Die Zwei-Faktor-Authentifizierung erschwert unbefugten Zugriff erheblich. Auch ohne zusätzliches Plugin kannst du über externe Systeme wie Google Authenticator oder über dein Hosting eine 2FA einrichten.

Einige Hosting-Anbieter bieten bereits integrierte 2FA-Lösungen für das WordPress-Login an. Prüfe, ob dein Hoster das unterstützt.

Login-URL ändern

Die Standard-Login-URL /wp-login.php ist oft das erste Angriffsziel. Du kannst die URL mit einem kleinen Codeschnipsel in der functions.php oder in der .htaccess-Datei ändern. So machst du es Angreifern deutlich schwerer.

Schutz durch .htaccess und wp-config.php

XML-RPC deaktivieren

Die XML-RPC-Schnittstelle wird nur in wenigen Fällen benötigt, z. B. für Jetpack oder externe Apps. Wird sie nicht gebraucht, solltest du sie deaktivieren, da sie häufig Ziel von DDoS- und Brute-Force-Angriffen ist:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Verhindern von Dateiänderungen im Dashboard

WordPress erlaubt es standardmäßig, Themes und Plugins direkt im Dashboard zu bearbeiten. Deaktiviere diese Funktion, um versehentliche oder böswillige Änderungen zu verhindern:

define( 'DISALLOW_FILE_EDIT', true );

Verzeichnisschutz mit .htaccess

Neben dem Login kannst du auch einzelne Verzeichnisse wie /wp-admin zusätzlich mit einem Passwort sichern. Dies ist über die .htaccess und .htpasswd realisierbar – eine serverseitige Zugangsbeschränkung, bevor WordPress überhaupt geladen wird.

Absicherung der Datenbank

Datenbank-Präfix ändern

Standardmäßig verwendet WordPress das Präfix „wp_“ für alle Tabellen. Viele automatisierte Angriffe zielen genau darauf ab. Ein individuelles Präfix erhöht die Sicherheit deiner Datenbank:

• z. B. „xyz123_“ oder „securewp_“
• Achte darauf, das Präfix auch in der wp-config.php korrekt zu definieren

Zugriffsrechte des DB-Benutzers beschränken

Der Datenbank-Benutzer sollte nur die Rechte bekommen, die er wirklich braucht. DROP oder GRANT-Rechte sind in der Regel nicht notwendig. So minimierst du den Schaden im Fall eines Angriffs.

SSL-Verschlüsselung aktivieren

Ein SSL-Zertifikat verschlüsselt die Datenübertragung zwischen Server und Browser. So bleiben Login-Daten und Formulareingaben geschützt. Du kannst SSL ganz einfach über die Einstellungen deines Hosters aktivieren.

Aktiviere dann in der wp-config.php den SSL-Zwang für das Backend:

define('FORCE_SSL_ADMIN', true);

Regelmäßige Backups erstellen – auch ohne Plugins

Backups sind kein direkter Schutz vor Angriffen, aber deine Lebensversicherung im Krisenfall. Auch ohne Plugin kannst du Backups über das Hosting-Panel, Cronjobs oder per Shell-Skript automatisieren.

• Datenbank regelmäßig exportieren (z. B. mit mysqldump)
• Dateien über rsync oder tar sichern
• Backups verschlüsselt und extern speichern

Teste deine Backups regelmäßig, um sicherzustellen, dass sie im Notfall funktionieren.

Monitoring und Sicherheits-Checks

Ein regelmäßiges Monitoring hilft, verdächtige Aktivitäten frühzeitig zu erkennen. Du brauchst dafür nicht zwangsläufig ein schwergewichtiges Plugin. Viele Hoster bieten Logging- und Monitoring-Funktionen bereits integriert an.

Zusätzlich kannst du Tools wie WP-CLI oder Integrity Checker nutzen, um deine WordPress-Dateien auf Veränderungen zu prüfen.

Fazit: Sicherheit braucht keine Plugin-Flut

WordPress-Sicherheit ist kein Hexenwerk – und schon gar nicht an eine Flut von Plugins gebunden. Viele der effektivsten Maßnahmen kannst du direkt über Servereinstellungen, .htaccess oder die wp-config.php umsetzen.

• Reduziere die Angriffsfläche durch Deaktivieren unnötiger Funktionen
• Setze auf starke Zugangsdaten und sichere Konfigurationen
• Halte dein System aktuell und sorge für regelmäßige Backups

Mit diesen Maßnahmen legst du das Fundament für eine sichere WordPress-Website – ganz ohne Plugin-Overload.