WordPress Sicherheitscheck – 27 Tipps + Selbstcheck! (2024)

WordPress Sicherheitscheck für deine Webseite
Lukas Fischer

Geschrieben von Lukas Fischer

Mache den ultimativen WordPress Sicherheitscheck und beantworte dir in den nächsten 5 Minuten die Frage, ob deine WordPress Webseite sicher ist!

In diesem Artikel zeige ich dir 27 Dinge, die du beachten solltest, wenn du deine eigene WordPress Webseite als sicher bezeichnen möchtest. 

Und für alle, die direkt ein Ergebnis haben wollen, habe ich einen interaktiven Selbstcheck erstellt, mit welchem du sofort eine erste Einschätzung über deine Situation erhalten wirst.

WordPress Sicherheitscheck machen und sofort Ergebnis erhalten!

Dieser WordPress Sicherheitscheck zielt darauf ab, dir einen groben Überblick zu vermitteln, welche Sicherheitsmaßnahmen du auf deiner WordPress Webseite treffen solltest, um eine möglichst hohe Sicherheit zu gewährleisten.

Der Test ist absolut kostenfrei und unverbindlich. Du musst keine persönlichen Daten angeben und es wird auch keines der Ergebnisse gespeichert.

Kreuze schlichtweg diejenigen Maßnahmen an, die du bereits getroffen hast und erhalte ein sofortiges Ergebnis!

Ist deine Webseite sicher? Mach den Test!

Bitte kreuze alle Maßnahmen an, die du bereits getroffen hast. Du erhältst abschließend eine Einschätzung bzgl. der Sicherheit deiner Seite!

Basics (1/5)

Bitte kreuze alle Maßnahmen an, die du bereits getroffen hast.











Login-Sicherheit (2/5)

Bitte kreuze alle Maßnahmen an, die du bereits getroffen hast.







Firewall (3/5)

Bitte kreuze alle Maßnahmen an, die du bereits getroffen hast.





Virenscans und Malware-Signatures (4/5)

Bitte kreuze alle Maßnahmen an, die du bereits getroffen hast.





Hardening & Erweitertes (5/5)

Bitte kreuze alle Maßnahmen an, die du bereits getroffen hast.








Ergebnis deines Sicherheitschecks:

Optionen ansehen

Nachfolgend nenne ich dir meine 27 Top-Tipps, um deine Webseite abzusichern!

1. Automatische Backups

Automatische Backups sind essenziell, um deine Website im Falle eines Problems schnell wiederherstellen zu können. Du solltest sowohl die Dateien als auch die Datenbank regelmäßig sichern. Du kannst dies mit dem kostenlosen Plugin WP Vivid erledigen. Schau dir gerne mein Video dazu an.

2. Automatische Backups vor Updates

Besonders wichtig sind automatische Backups vor WordPress-, Plugin- oder Theme-Updates, um sicherzustellen, dass du im Fall der Fälle zu einem Stand zurückkehren kannst, der funktioniert und der dir womöglich nicht die ganze Seite zerschießt.

Die Funktion des automatischen Backups kannst du übrigens auch mit WP Vivid realisieren. Allerdings brauchst du dazu die Pro Version. Schau gerne dieses Video, wenn du dich dafür interessierst. In dem Video wartet übrigens auch ein Geschenk auf dich, also schau es dir gerne an.

3. Sichere Passwörter UND sichere Benutzernamen

Sichere Passwörter und Benutzernamen sind die Grundlage für eine sichere Webseite. Am besten nimmst du einen Passwort-Generator, bei welchem alle nötigen Sicherheitsvorkehrungen für ein starkes Passwort automatisch für dich getroffen werden.

Zusätzlich empfehle ich die Verwendung eines Passwort Managers, bei welchem du nur Zugang bekommst, wenn du ein Master Passwort eingibst. Ich nutze dazu zum Beispiel den Passwort Manger von Norton.

Auch dein Benutzername sollte nicht einfach nur “lukas” sein. Und NEIN, der Name deines Haustieres ist KEIN starkes Passwort!

4. 2-Faktor-Authentifizierung aktivieren und nutzen 

Zu jedem WordPress Sicherheitscheck gehört die Überprüfung, ob irgendeine Form von 2-Faktor-Authentifizierung bereits vorhanden ist.

Denn mit der 2-Faktor-Authentifizierung fügst du eine zusätzliche Sicherheitsebene hinzu und machst es Hackern nahezu unmöglich, sich in deinen Account einzuloggen.

Denn selbst wenn ein Angreifer dein Passwort kennt, kann er sich ohne den zweiten Faktor (zum Beispiel ein zugesandter Code per SMS) nicht anmelden. Umsetzen kannst du das mit Wordfence, dem meiner Meinung nach bestem Sicherheitsplugin auf dem Markt.

5. Kein Admin-Account mit dem Namen “admin”

Das ist ein Nachtrag zu dem Punkt mit den Benutzernamen: Vermeide auf jeden Fall die Verwendung des generischen Benutzernamens “admin”, da dieser oft Ziel von Brute-Force-Angriffen ist.

Was Brute-Force-Attacken sind erkläre ich später!

Außerdem könntest du ein System einrichten, um Benutzer, die versuchen, sich mit inkorrekten, also gar nicht auf deiner Seite vorhandenen Nutzernamen einzuloggen, automatisch auszusperren.

Da musst du aber etwas aufpassen, wenn du einen Mitgliederbereich oder Shop betreibst, wo sich tatsächlich echte Kunden von dir einloggen. Diese könnten nämlich ihren Benutzernamen tatsächlich vergessen und deswegen falsch einsetzen.

Umsetzen könntest du dies mit Wordfence im Bereich Brute Force Protection.

6. Wordfence verwenden und Firewall optimiert (!) einrichten 

WordPress Sicherheitscheck: Firewall einsetzen
WordPress Sicherheitscheck: Firewall einsetzen

Wordfence ist das beste Sicherheitsplugin auf dem Markt und bietet viele Funktionen, die dich vor verschiedenen Arten von Angriffen schützen.

Bei Wordfence hast du bereits ab der kostenlosen Version die Möglichkeit die beste Firewall, die es aktuell auf dem Markt gibt zu aktivieren!

Und das Beste ist: Du kannst diese Firewall individuell optimieren, um dir dabei zu helfen, schädlichen Traffic zu blockieren und deine Website zu schützen. Schau da auch gerne das Video zu Wordfence, wenn dich das interessiert!

7. Regelmäßige Updates für Plugins, Themes und WordPress! 

Halte alle Komponenten deiner WordPress-Installation IMMER auf dem neuesten Stand, um bekannte bzw. sich neu ergebende Sicherheitslücken direkt zu schließen.

Entferne zudem immer sofort inaktive Plugins und Themes, da diese potentielle Sicherheitsrisiken darstellen können.

Außerdem solltest du deine WordPress Installation ohnehin nicht ohne Grund mit zu vielen Plugins vollmüllen.

Bedenke immer, dass jedes Plugin ein potentielles Sicherheitsrisiko für dich darstellt.

Falls du übrigens mehrere Sicherheitsplugins nutzt, die das gleiche tun, kannst du diese auch löschen. Mit Wordfence bekommst du nahezu alles alleine geregelt, sodass du andere Sicherheitsplugins entfernen kannst!

Gleiches gilt für Plugins, die du nicht offiziell vom Hersteller gekauft hast.

8. PHP Version regelmäßig updaten 

Diesen Punkt erwähne ich bewusst extra, da er häufig vergessen wird!

Denn zum Thema Aktualisierungen gehört neben deinen Plugins, Themes und WordPress Versionen nämlich auch das regelmäßige Aktualisieren der PHP-Version.

Mit jeder PHP Version gibt es neue Sicherheitsverbesserungen und Leistungsoptimierungen!

Falls du nicht weißt, wie man PHP updated, dann lies gerne diesen Artikel inklusive Erklärvideo von mir! (Link folgt)

9. Loginversuche einschränken (Brute-Force-Protection)  

Für alle, die nicht wissen, was Brute-Force bedeutet: Bei sog. Brute-Force Attacken wird versucht durch automatisierte Scripte dein Passwort zu erraten und sich somit Zutritt zu deiner Seite zu verschaffen.

Eine Einschränkung der Loginversuche hilft dabei, solche Brute-Force-Angriffe zu verhindern.

WordPress Brute-Force-Protection einsetzen mit WordFence
WordPress Brute-Force-Protection einsetzen mit WordFence

Du kennst das selbst, wenn du dein Passwort mal irgendwo falsch eingegeben hast und nach einer bestimmten Anzahl von Fehlversuchen blockiert worden bist.

Mit Wordfence ist das kostenlos möglich. Schau da also auch gerne in meine Videos zu Wordfence.

10. Automatische und regelmäßige Sicherheitsscans sowie automatische Erkennung und Ausbesserung von Malware

Automatische Sicherheitsscans können dich rechtzeitig über mögliche Schwachstellen und Malware auf deiner Website informieren, damit du handeln kannst, bevor es zu spät ist.

Mit Wordfence kannst du in der kostenlosen Version bereits die so wichtigen Scans machen und deine Webseite auf regelmäßiger Basis überprüfen.

In der Pro Version erhältst du übrigens automatische Malware Signatures.

Vereinfacht gesagt heißt das, dass sobald eine Schwachstelle bekannt wird, du sofort – und damit meine ich wirklich sofort – automatischen Schutz erhältst.

In der kostenlosen Version musst du darauf 30 Tage warten.

Falls du dich übrigens für die Pro Version interessierst, dann kaufe diese gerne über meinen Link*. Dann erhältst du im Gegenzug eine kostenlose Datenschutz-Analyse von mir.

Das ist ja der andere große Part in Deutschland, wo man Angst um seine Webseite haben muss.

11. Sicherer E-Mail-Versand über SMTP 

Verwende immer SMTP für den Versand deiner E-Mails, um sicherzustellen, dass sie korrekt und sicher zugestellt werden.

WordPress versendet Emails standardmäßig über eine PHP Funktion. Diese ist allerdings nicht zuverlässig und Emails kommen häufig nicht an oder landen im Spam.

Falls du wissen willst, wie du Mails über WordPress per SMTP versendest, schau dir gerne diesen Artikel inklusive Video an!

12. Länder blockieren und von deiner Seite ausschließen

Mit der Wordfence Pro Version* kannst du ganze Länder blockieren, die nicht zu deiner Zielgruppe gehören und für Spam bekannt sind.

Das reduziert unerwünschten Traffic und potentielle Angriffe.

Länder in WordPress komplett blockieren mit Wordfence Pro
Länder in WordPress komplett blockieren mit Wordfence Pro

Das sorgt im Umkehrschluss dafür, dass dein Server deutlich schneller laufen wird.

Die Blockierung kannst du übrigens für die gesamte Seite festlegen oder nur für deine Login Seite!

13. SSL-Zertifikat verwenden  

Stelle sicher, dass deine Website immer über HTTPS läuft, um die Datenübertragung zu verschlüsseln.

Ein SSL-Zertifikat schützt die Kommunikation zwischen deinem Server und den Benutzern. Denn wenn im Browser oben steht, dass deine Webseite nicht sicher ist, dann ist das ein abschreckendes Zeichen für deine Besucher!

Außerdem sollte sich dein SSL-Zertifikat immer automatisch von selbst erneuern, damit es entspannter für dich wird. Ich stelle mein SSL-Zertifikat übrigens immer noch so ein, dass SSL erzwungen wird!

Durch diese Einstellung ist es nicht mehr möglich, deine Webseite über eine unsichere http-Verbindung zu besuchen.

14. Blockierung von PHP Dateien im WP-Content-, WP Includes- und WP-Uploads-Verzeichnis.

Oft nutzen Hacker die Möglichkeit, Dateien auf deinen Server hochzuladen, die zum Beispiel als Bild getarnt sind.

Aus diesem Grund solltest du sicherstellen, dass nur aktive Plugins und Themes PHP Code ausführen können. Außerdem solltest du überprüfen, inwiefern man auf deiner Webseite Dateien hochladen kann und falls nötig, diesen Prozess einschränken.

15. Speichere deine Backups zusätzlich auf einer externen Speicherquelle

Dieser Tipp ist ein Nachtrag zum ersten Punkt. Denn wenn du deine Backups ausschließlich auf deinem eigenen Server speicherst, könnten deine Backups bei einem Problem mit deinem Server verloren gehen.

Aus diesem Grunde empfiehlt es sich, seine Backups nicht nur auf dem eigenen Server, sondern auch lokal auf deinem Computer oder auf einer anderen Speicherquelle wie zum Beispiel Google Drive oder Dropbox zu speichern.

Mit WP Vivid ist dies möglich.

16. Dateiberechtigungen überprüfen

Stelle sicher, dass Dateien und Verzeichnisse auf deinem Server korrekte Berechtigungen haben, um unautorisierten Zugriff zu verhindern. Das geht über FTP.

Deine Ordner sollten auf 0755 stehen und deine einzelnen Dateien auf 0644.

Dateiberechtigungen für WordPress per FTP überprüfen
Dateiberechtigungen für WordPress per FTP überprüfen

Somit stellst du sicher, dass du als Besitzer Änderungen machen kannst und alle anderen Nutzer nur Leserechte haben. Deine wp-config.php Datei sollte übrigens auf 440 oder 400 stehen, damit nur DU bzw. dein Host diese Datei einsehen kann. 

17. Spam und Kontaktformular- bzw. Kommentarspam verhindern

Setze WordPress interne Maßnahmen gegen Spam in den Kommentaren ein, indem du Kommentare zum Beispiel ganz ausschaltest oder erst freigeben musst.

Ein Plugin wie Antispam-Bee kann außerdem hilfreich sein.

Zudem kannst du auch ein Basic Captcha verwenden und zum Beispiel eine simple Rechenaufgabe in einem Formular integrieren.

Google ReCaptcha würde ich persönlich nicht verwenden, da über ReCaptcha Google Fonts geladen werden. Und nach der DSGVO gab es bezüglich Google Fonts in der Vergangenheit einige Abmahnungen. Falls dich das Thema DSGVO übrigens interessiert, dann schau auch gerne in diesen Artikel meine Playlist dazu.

18. Verwendung der Honeypot-Technik

Die effektivste Methode gegen Formular-Spam ist die Verwendung der sogenannten Honeypot-Technik. Falls du nicht weißt, was das ist, kannst du dir die Technik einfach vom Namen ableiten.

WordPress Sicherheitscheck Honeypot Methode gegen Formular Spam
Honeypot Methode gegen Formular Spam

Honeypot heißt Honigtopf. Es geht bei der Methode also darum, nervige Bots in den Honigtopf fassen zu lassen.

Auf technischer Ebene wird deinem Formular bei dieser Methode ein für den Menschen unsichtbares Feld hinzugefügt.

Weil Bots aber immer nur den Code betrachten, merken sie nicht, dass sie in die Falle getappt sind. Die Folge: Das Formular kann nicht gesendet werden.

19. Verstecke deine WordPress-Version

Du solltest sicherheitshalber die Version deiner WordPress Installation aus dem Quellcode entfernen, um es Angreifern zu erschweren, bekannte Schwachstellen auszunutzen.

Das geht über individuellen PHP Code oder ebenfalls über ein Sicherheitsplugin. Du solltest übrigens auch die Readme-Datei in deinem WordPress Stammverzeichnis löschen.

Falls du es über PHP machen möchtest, hier der Code zum Entfernen der WordPress Version, welchen du in die functions.php Datei deines Child Themes einfügen kannst:

function remove_wp_version_strings($src) {
    global $wp_version;
    parse_str(parse_url($src, PHP_URL_QUERY), $query);
    if (!empty($query['ver']) && $query['ver'] === $wp_version) {
        $src = remove_query_arg('ver', $src);
    }
    return $src;
}
add_filter('script_loader_src', 'remove_wp_version_strings');
add_filter('style_loader_src', 'remove_wp_version_strings');

function remove_wp_version() {
    return '';
}
add_filter('the_generator', 'remove_wp_version');

20. Benutzerberechtigungen einschränken und Admin-Bereich kontrollieren  

Vergib immer nur notwendige Berechtigungen für Benutzer und Administratoren auf deiner Seite.

Kontrolliere zudem in WordPress, wer alles Admin-Rechte hat. Findest du dort einen Account, der da nicht hingehört, wurdest du möglicherweise kompromittiert.

Sorge zudem dafür, dass entsprechende Mitarbeiter, die deine Seite betreuen, entsprechend geschult werden. Ich biete solche WordPress Schulungen übrigens auch an. Falls dich das interessiert, dann melde dich gerne über die obige Seite bei mir.

21: Änderungen an der .htaccess`-Datei

Nutze die .htaccess-Datei, um Sicherheitskonfigurationen wie das Verhindern des Auflistens von Verzeichnisinhalten zu steuern.

Diese Datei ermöglicht es dir, Servereinstellungen für den jeweiligen Ordner präzise anzupassen.

Übrigens: Auch die Wordfence Firewall nimmt Sicherheitsvorkehrungen über diese Datei vor!

22. XML-RPC deaktivieren 

Deaktiviere XML-RPC auf deiner Seite, wenn es nicht benötigt wird!

Die Hälfte aller Brute-Force-Angriffe erfolgen über XML-RPC (Quelle: Wordfence Blog). Alleine schon aus diesem Grund solltest diese Schnittstelle deaktivieren.

Im Allgemeinen wird XML-RPC selten benötigt und kann daher sicher ausgeschaltet werden.

Das geht übrigens auch mit der kostenlosen Version von Wordfence. Schau dir gerne mein Video zur Login Sicherheit an, falls dich das interessiert! (Link folgt)

23. Ändere deine Login-URL NICHT!  

Oft wird im Internet empfohlen die Login-URL zu ändern. In der Sicherheitsbranche spricht man bei einer solchen Maßnahme allerdings von security through obscurity.

Also der Annahme, dass eine potentielle Sicherheitslücke sicherer wird, wenn Angreifer diese nicht kennen.

Das Prinzip dahinter erkennt man auch schön anhand dieses Bildes:

WordPress Security thorugh obscurity
WordPress Security thorugh obscurity (Quelle: thecyberpatch.com)

Menschen, oder nur sehr unerfahrene Hacker, mögen durch deine Sicherheitsmaßnahme davon abgehalten werden, sich Zutritt zu deiner Seite zu verschaffen!

Wenn der Hacker jedoch erfahren – oder wie in diesem beispielhaften Bild eine Taube ist – dann kann er deine stümperhaften Sicherheitsmaßnahmen – in diesem Beispiel das Labyrinth – einfach umgehen.

Stattdessen behalte lieber die Standard-URL und sichere sie mit geeigneten Maßnahmen wie der 2-Faktor-Authentifizierung, Country Blocking, der Deaktivierung von XML RCP und Brute-Force-Einstellungen ab.

24. Spammer in Echtzeit blockieren

Durch das Blockieren von für Spam bekannten IP-Adressen kannst du Angreifer oder Spammer IN ECHZEIT aussperren, sobald sie als solche erkannt werden.

Das funktioniert mit Wordfence Pro*.

Wenn im gesamten Wordfence Netzwerk irgendwo eine IP Adresse negativ auffällt, profitierst du automatisch davon, dass diese IP auch auf deiner Seite gesperrt wird.

Das ist super hilfreich und befreit deinen Server von unnötiger Ressourcenverschwendung!

25. Rate Limiting zur Abwehr gegen Bots und Spamattacken  

Durch sogenanntes Rate Limiting wird die Anzahl der Anfragen, die eine IP in einer bestimmten Zeitspanne stellen kann, begrenzt. Das verhindert, dass Bots deine Website überlasten oder Brute-Force-Angriffe durchführen.

Auch das ist mit Wordfence möglich!

26. Zuverlässiger Webhost  

Wenn ich dir einen zuverlässigen Webhost empfehlen müsste, dann wäre es All-Inkl.

All Inkl bietet serverseitige Sicherheitsmaßnahmen, SSL-Zertifikate, die sich regelmäßig aktualisieren und 24/7 Support für den Ernstfall.

Außerdem erhält man sofort Benachrichtigungen, wenn etwas ungewöhnliches passiert.

All-Inkl besitzt ein eigenes Rechenzentrum in Deutschland sowie ein eigenes Sicherheitsteam. Die Uptime meiner Webseite liegt bei unschlagbaren 100%.

Außerdem gibt es super einfache Möglichkeiten, PHP zu aktualisieren oder per Web-FTP Änderungen an den WordPress-Dateien vorzunehmen und Berechtigungen zu checken.

All das sind beste Voraussetzungen für eine sichere WordPress Webseite. Wenn du übrigens zu All-Inkl wechseln möchtest, mach das gerne über meinen Link*. Dann erhältst du einen kostenlosen Webhosting Kurs von mir. Mehr Infos dazu findest du hier.

27. Dauerhaftes 24/7 Monitoring, Alarmierung und Ansprechpartner im Notfall  

Richte dir ein System ein, das dich über Sicherheitsvorfälle oder Serverausfälle immer sofort informiert.

Ich persönliche nutze dafür den sogenannten Uptime Robot und überwache so sämtliche Webseiten meiner Kunden.

Außerdem solltest du einen Notfallplan haben sowie einen Ansprechpartner, der dich unterstützt, wenn mal etwas vorfallen sollte. Falls du da noch jemanden suchst, darfst du dich gerne bei mir melden.

WordPress Sicherheitslösungen für deine Webseite

Wenn bei deinem WordPress Sicherheitscheck herausgekommen ist, dass du Nachholbedarf bezüglich deiner WordPress Sicherheit hast, dann nutze gerne eines meiner individuellen WordPress Sicherheitsangebote.

Ich biete WordPress Sicherheitsschulungen, WordPress Sicherheitsschulungen + aktive Umsetzung der empfohlenen Maßnahmen sowie ganzjährige Betreuung und Wartung von WordPress Webseiten an.

Die Optionen für eine Schulung bzw. einer Schulung + aktive Umsetzung liegen bei 140€ bzw. 190€ netto. Mehr Infos findest du über die obigen Links.

Gerne kannst du mir eine unverbindliche Nachricht schreiben, wenn du Interesse an einer solchen Dienstleistung hast!

Abschließend würde mich jetzt noch interessieren: Hast du den Test bestanden? Schreib mir dein Ergebnis gerne in die Kommentare!

Mit * gekennzeichnete Links sind Empfehlungslinks. Wenn du über diesen Link einen Kauf tätigst, erhalte ich ein bisschen Geld für meinen nächsten Kaffee ☕

Für dich verändert sich der Preis dadurch natürlich nicht und du unterstützt damit kostenlos meinen Blog/YouTube Kanal. Selbstverständlich empfehle ich nur Produkte, die ich selbst nutze und getestet habe.

Lukas Fischer

Hey, ich bin Lukas Fischer und auf meinem Blog schreibe ich über WordPress und das Divi Theme! Vielen Dank, dass du da bist!

13. Mai 2024

YouTube Kanal

Auf meinem YouTube Kanal findest du zu jedem meiner Artikel das entsprechende Video sowie zusätzliche Inhalte.

Borlabs Cookie Gutschein Code LUKASFISCHER

Spare 5% auf Borlabs Cookie – Das beste Cookie Consent Tool auf dem Markt

Top 11 Divi Plugins - E-Book von Lukas Fischer
Lukas Fischer Newsletter Anmeldung

Bleib in Kontakt und trage dich in meinen Newsletter ein:

Abonniere gerne meinen 0€ Newsletter und erhalte Tipps zu WordPress, Divi, Webdesign und der DSGVO.

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert