Domain-Aktion: .ch-Domains jetzt nur CHF 4.90!

Gilt für Neubestellungen und Transfers im 1. Jahr

Jetzt bestellen
hosttech Startseite
Status
Kontakt und Support
Login
Login
hosttech Startseite
Blog

/

/

WordPress Security Checkliste

WordPress Security Checkliste

Veröffentlicht am 13. Dezember 2022
  8 Min. Lesezeit
  Aktualisiert am 18. Dezember 2024

Ist deine WordPress Website sicher? Die Antwort auf diese Frage ist nicht ganz einfach, denn die Angriffe auf WordPress Websites werden immer häufiger und komplexer. Deshalb ist es wichtig, die notwendigen Sicherheitsmassnahmen vorzunehmen. In unserer WordPress Security Checkliste zeigen wir dir, wie du diese Massnahmen umsetzen kannst.

Titelbild WordPress Security Checkliste

Inhalt

Ausgangslage: Warum ist die WordPress-Sicherheit wichtig?

2021 gab es schätzungsweise 1,4 Milliarden Websites im Internet, von denen mehr als 400 Millionen WordPress verwenden. Deshalb ist WordPress ein beliebtes Ziel für Hacker, Schadcodeverteiler und Datendiebe. Schätzungen zufolge werden im Durchschnitt täglich 30‘000 Websites gehackt – wir erleben derzeit also eine grosse Anzahl an Cyber-Angriffen.

Dieses Problem kann Unternehmen jeder Grösse treffen. Statistiken zufolge zielen 44% der Online-Angriffe auf kleine Unternehmen ab, doch nur 15% dieser Unternehmen sind darauf vorbereitet, sich zu verteidigen. Kleine und mittlere Unternehmen sind tendenziell ein leichteres Ziel für Hacker, da es ihnen oftmals an Ressourcen und Sicherheitsexpertisen fehlt.

Viele Hacker haben es jedoch auf die grossen Unternehmen abgesehen, weil sie sich mehr davon versprechen.

(Quelle: Forbes)

Damit du deine WordPress Website schützen kannst, haben wir dir nachfolgende Checkliste zusammengestellt.

WordPress Security Checkliste

1. SSL-Zertifikate verwenden

Ein SSL-Zertifikat (Secure Sockets Layer) verschlüsselt die Daten, die zwischen dem Nutzer und deiner Website übermittelt werden.

Browser blockieren zunehmend den Zugriff auf Websites ohne SSL-Zertifikat. Deshalb ist dies ein Muss für jede WordPress-Website. Unterstützung dabei erhältst du mit dem Plugin Really Simple SSL. Es sorgt dafür, dass dein SSL-Zertifikat problemlos funktioniert.

Tipp: hosttech bietet dir automatisch bei jedem Webhosting kostenlose SSL-Zertifikate von Let’s Encrypt an.

2. Sicherheits-Plugin installieren

WordPress-Plugins sind eine grossartige Möglichkeit, deiner Website schnell nützliche Funktionen hinzuzufügen. WordPress bietet gleich mehrere gute Sicherheits-Plugins an.

Wir empfehlen:

Durch die Installation eines Sicherheits-Plugins kannst du deiner Website ohne grossen Aufwand einige zusätzliche Schutzebenen hinzufügen.

3. Web Application Firewall (WAF) verwenden

Durch WAF geschützte Websites werden in der Regel nicht mehr gehackt.

Eine gute WAF bietet eine starke Verteidigung gegen Angriffe und bösartige Aktivitäten auf deiner Website. Wenn ein Hacker versucht, sich Zugang zu deiner Website zu verschaffen oder Befehle ausführen möchte, wird dies die WAF erkennen, blockieren und dich davor warnen.

Wir empfehlen die Installation von NinjaFirewall auf deiner WordPress-Seite. Hier wird die Konfiguration des Plugins beschrieben.

Das Plugin stellt automatisch eine Web Application Firewall auf, die Hackern den Zugriff auf sensible Dateien deiner Website verwehrt. Mit nur wenigen Klicks kannst du ausserdem die empfohlenen WordPress-Härtungsmassnahmen auf deiner Website implementieren. Diese Massnahmen werden die Sicherheit deiner Website stark erhöhen.

4. WordPress Updates durchführen

Um die Sicherheit und Stabilität deiner Website aufrechtzuerhalten, ist es wichtig, dass WordPress stets auf dem neuesten Stand ist.

Immer, wenn eine WordPress-Sicherheitslücke gemeldet wird, arbeitet das Kernteam von WordPress an der Veröffentlichung eines Updates, welches das Problem behebt.

Wenn du deine WordPress-Website nicht laufend aktualisierst, besteht die Möglichkeit, dass du eine Version von WordPress verwendest, die bekannte Sicherheitslücken aufweist.

Also: Lass dich nicht angreifbar machen, indem du eine alte WordPress-Version verwendest.

Tipp: In unserem Blogbeitrag findest du weitere Informationen zu Website-Updates.

5. Aktuelle PHP-Version verwenden

Ebenso wie alte WordPress-Versionen sind auch veraltete PHP-Versionen nicht mehr sicher.

Wenn du nicht die neueste Version von PHP verwendest, solltest du die PHP-Version aktualisieren, um dich vor Angriffen zu schützen.

Tipp: In unseren FAQ findest du eine Übersicht der aktuell unterstützten PHP-Versionen und eine Anleitung zur Änderung der PHP-Version.

6. Vertrauenswürdige Plugins und Themes

Installiere nur Plugins und Themes von vertrauenswürdigen Entwicklern. Wenn ein Plugin oder Theme nicht von einer vertrauenswürdigen Quelle stammt, ist es wahrscheinlich sicherer, es nicht zu verwenden.

Ausserdem solltest du sicherstellen, dass du die WordPress-Plugins und -Themes regelmässig aktualisierst.

Ebenso wie eine veraltete WordPress-Version wird deine Website durch die Verwendung veralteter Plugins und Themes anfälliger für Angriffe.

7. Regelmässige Backups durchführen

Bevor du mit der Entwicklung deiner Website beginnst, solltest du als allererstes deine Backups einrichten. Damit bist du im schlimmsten Fall abgesichert und verlierst keine Daten. Selbst wenn deine Website gehackt wird und der Schaden nicht zu beheben ist, musst du sie so nicht noch einmal von Grund auf neu aufbauen.

hosttech bietet zwar die Möglichkeit, tägliche Backups von Dateien und Datenbanken wieder einzuspielen, doch eine eigene Backup-Lösung bringt dir mehr Unabhängigkeit und Kontrolle.

Wir empfehlen dazu die Freemium Lösung „UpdraftPlus“. Dieses Plugin bietet sehr umfangreiche Funktionen, automatische Sicherungen gemäss persönlichem Zeitplan und Speicherung der Backups auf verschiedenen Clouds (Dropbox, Google Drive etc.).

Nimm dir eine Stunde Zeit, um deine Backups und Sicherheitssysteme einzurichten und erspare dir damit Monate, vielleicht sogar Jahre an Arbeit.

8. Benutzername „admin“ nicht verwenden

Der Benutzername „admin“ wird oft verwendet und ist leicht zu erraten. Verwende deshalb niemals den Benutzernamen „admin“. Denn damit ist deine Website anfälliger für Brute-Force-Angriffe.

9. Sichere Passwörter verwenden

Neben der Beschaffung eines SSL-Zertifikats besteht eine der ersten Massnahmen zum Schutz deiner Website darin, sichere Passwörter für alle Anmeldungen zu verwenden und zu verlangen.

Es mag verlockend sein, ein vertrautes oder leicht zu merkendes Passwort zu verwenden oder wiederzuverwenden, aber damit sind du, deine Benutzer und deine Website einem Risiko ausgesetzt.

Wenn du die Stärke und Sicherheit deiner Passwörter verbesserst, sinkt die Wahrscheinlichkeit, dass deine Website gehackt wird.

10. Login-URL ändern

Standardmässig können die meisten WordPress-Login-Seiten durch Hinzufügen von «/wp-admin» oder «/wp-login.php» am Ende einer URL aufgerufen werden. Somit gibst du die Anmeldeseite für Angriffe frei.

Sobald ein Angreifer deine Anmeldeseite gefunden hat, kann er versuchen, deinen Benutzernamen und dein Passwort zu erraten, um auf das Admin-Dashboard zuzugreifen.

Das Verstecken der WordPress-Anmeldeseite bietet einen zusätzlichen Schutzfaktor.

Schütze deine Anmeldedaten, indem du die URL der WordPress-Admin-Anmeldeseite mit einem Plugin wie WPS Hide Login veränderst.

11. XML-RPC und REST API deaktivieren

WordPress verwendet eine Implementierung des XML-RPC-Protokolls, um die Funktionalität von Software-Clients zu erweitern.

Dieses Remote Procedure Calling-Protokoll ermöglicht die Ausführung von Befehlen, wobei die Daten in XML formatiert zurückgegeben werden.

Die meisten Benutzer benötigen die XML-RPC-Funktionalität von WordPress nicht. Dabei ist sie eine der häufigsten Schwachstellen, die Webseiten für Angriffe anfällig macht. Deshalb ist es eine gute Idee, sie zu deaktivieren. Dank des Wordfence-Sicherheits-Plugins ist dies ganz einfach möglich.

Das Gleiche gilt auch für die REST API. Die REST API ist eine sehr gute Sache, erzeugt aber einige zusätzliche Schwachstellen. Bei Nichtverwendung ist es daher ratsam, diese Schnittstelle zu deaktivieren. Das kann über ein Plugin geschehen oder über den eigenen Code in der functions.php.

12. Konfigurationsdatei schützen

Die WordPress-Datei wp-config.php enthält sehr sensible Informationen über deine WordPress-Installation, einschliesslich dem WordPress-Sicherheitsschlüssel und den Verbindungsdaten zur WordPress-Datenbank und sollte daher gut geschützt sein.

Du kannst deine Website absichern, indem du die wp-config.php-Datei über deine .htaccess-Datei schützt.

Öffne dazu die „.htaccess“-Datei (nur für Apache Webserver möglich) im Wurzelverzeichnis deiner WordPress Installation und füge folgendes ein:

<files wp-config.php>
order allow, deny
deny from all
</files>

Diese Zeilen blockieren den Zugriff zur wp-config.php Datei von ausserhalb. Die Dateiberechtigungen für die wp-config.php sollten 400 sein.

Hier befindet sich die .htaccess im Wurzelverzeichnis:

WordPress Security Checkliste: htaccess im Wurzelverzeichnis

13. Dateiberechtigungen festlegen

Hacker können versuchen, Zugriff auf deine WordPress-Dateien zu erhalten. Das kannst du verhindern, indem du die richtigen Dateiberechtigungen festlegst, damit nur du als Eigentümer/in der Website darauf zugreifen kannst.

Um die Dateiberechtigungen zu ändern, musst du auf das Plesk Panel deines Hosting-Accounts zugreifen:

WordPress Security Checkliste: Dateiberechtigung in Plesk festlegen

Im Allgemeinen sollten die WordPress-Verzeichnisrechte 755 und die WordPress Dateirechte 644 betragen. Einige wichtige Ausnahmen sind die wp-config.php Datei deiner Website und die .htaccess Datei deines Servers.

  • wp-admin: 755
  • wp-includes: 755
  • wp-content: 755
  • wp-content/themes: 755
  • wp-content/plugins: 755
  • wp-content/uploads: 755
  • .htaccess: 644
  • index.php: 644
  • wp-config.php: 400

14. PHP-Ausführung in unbekannten Ordnern blockieren

Meistens haben gehackte WordPress-Seiten Backdoor-Dateien. Diese Backdoor-Dateien sind oft als WordPress-Kerndateien getarnt und befinden sich in den Verzeichnissen /wp-includes/ oder /wp-content/uploads/.

Normalerweise führen sie den Code in einer Programmiersprache namens PHP aus. Die Ausführung von PHP ist zwar auf deiner Website erforderlich, wird aber nur in bestimmten Ordnern verwendet. Du kannst Hacker daran hindern, ihre Aktivitäten durchzuführen, indem du die PHP-Ausführung in nicht vertrauenswürdigen Ordnern blockierst. Eine einfache Möglichkeit, die Sicherheit von WordPress zu verbessern, besteht darin, die PHP-Ausführung für einige WordPress-Verzeichnisse zu deaktivieren.

So deaktivierst du die PHP-Ausführung in WordPress-Verzeichnissen:

Erstelle eine leere .htaccess-Datei und füge diesen Code darin ein:

<Files *.php>
deny from all
</Files>

Lade diese Datei dann in die Verzeichnisse /wp-content/uploads/ und /wp-includes/ hoch.

Wenn du in deinem Startverzeichnis den Ordner /wp-content oder /wp-includes nicht siehst, dann verwendest du kein WordPress und musst die .htaccess-Datei nicht erstellen. Falls du die Ordner siehst, dann sollte es nach der Anpassung wie folgt aussehen:

WordPress Security Checkliste: Übersicht File Manager
WordPress Security Checkliste: File Manager .htaccess

Fazit

Mit den vorgestellten Massnahmen kannst du die Sicherheit deiner Website erheblich steigern.

Aber keine Umgebung ist zu 100% sicher vor Cyberbedrohungen. Hacker finden alle möglichen Wege, um in deine Website einzubrechen. Wir empfehlen dir deshalb dringend, immer ein zuverlässiges Sicherheits-Plugin wie NinjaFirewall auf deiner Website zu verwenden. Damit wird sichergestellt, dass deine Website über eine Firewall verfügt, die schädlichen Datenverkehr blockiert, sowie über einen Scanner, der sie auf Malware überprüft.

Wenn dein Unternehmen jedoch wächst und deine Website grösser wird, solltest du einen dedizierten Server in Betracht ziehen. Ob du dich für ein Managed Hosting, einen Cloud Server oder einen Rootserver entscheidest, ist dabei dir überlassen. Ein dediziertes Hosting verbessert auf jeden Fall die Sicherheit und Leistung deiner Website, denn du kannst auch auf Betriebssystemebene eingreifen und hast mehr Möglichkeiten zur Verfügung.

Inhalt

Artikel teilen

Link kopieren

Artikel teilen

Link kopieren
Picture of Cédric Juan

Developer & UX    17 Artikel

  • Cédric ist seit 2021 als Frontend-Entwickler bei hosttech tätig und spezialisiert auf CMS Projektumsetzungen aller Art. Durch seine Ausbildung als Applikationsentwickler und abgeschlossene Weiterbildung zum Interaction Designer, ist er stets motiviert eine positive Benutzererfahrung in den Entwicklungsprozess der Webseiten mitzubringen. Die hosttech Homepage, sowie auch diverse Kundenprojekte zählen zu seinen Hauptaufgaben.
541
Kategorie
  • Weitere Beiträge zum Thema WordPress
Tamara Oechslin, IT-Supporterin bei hosttech, an ihrem Arbeitsplatz. Vor ihr mehrere Computer-Bildschirme. Auf einem Bildschirm ist gross die Meldung "503 Service nicht verfügbar" zu sehen.

Webhosting-Limits erreicht: Was steckt dahinter und was kannst du tun?

Deine Website zeigt plötzlich einen Fehler 503, obwohl du nichts geändert hast? Das liegt oft an den Ressourcen-Limits deines Webhostings. Dieser Beitrag erklärt, warum solche Limits beim Shared Hosting notwendig sind, wie du sie im Plesk Control Panel erkennst und welche Optionen du hast, wenn deine Website regelmässig ans Limit stösst.

Domain-Trends 2026: Was den Markt dieses Jahr bewegt

Fast 400 Millionen Domains sind weltweit registriert, und der Markt wächst weiter. Was sich 2025 verändert hat und worauf du als Website-Betreiber, KMU oder Domain-Investor 2026 achten solltest, zeigt der Global Domain Report 2026 von InterNetX und Sedo. Die wichtigsten Erkenntnisse haben wir hier für euch im Überblick zusammengestellt.

Symbolbild für den digitalen Start von Gründern mit Laptop, Website-Erstellung und Online-Business-Aufbau.

Digitaler Start für Gründerinnen und Gründer: Was dein Unternehmen online braucht

Wer ein Unternehmen gründet, hat viele Baustellen gleichzeitig, und der digitale Auftritt rutscht schnell nach hinten. Dabei ist eine solide Online-Präsenz vom ersten Tag an entscheidend: für Glaubwürdigkeit, Sichtbarkeit und das Vertrauen potenzieller Kundinnen und Kunden. Dieser Leitfaden zeigt dir, was wirklich zählt. Inklusive praktischer Checkliste zum Abhaken.

Foto einer Frau, welche am Laptop ein Webhosting-Vergleichsportal anschaut. Blick über ihre rechte Schulter auf den Computer-Bildschirm.

Webhosting-Vergleichsportale Schweiz: Welche taugen wirklich?

Wer in der Schweiz einen Webhosting-Anbieter sucht, landet früher oder später auf einem Vergleichsportal. Das Angebot an solchen Portalen ist inzwischen fast so gross wie die Zahl der Anbieter selbst. Doch wie verlässlich sind diese Rankings wirklich – und woran erkennst du, ob ein Portal echte Orientierung bietet oder vor allem Klickprovisionen generiert?

Portrait von Claudio Diaz, Head of Support & Services, vor einer Wand mit hosttech Logo

«Das Menschliche ist mir extrem wichtig»

Claudio Diaz ist neuer Head of Support und Services bei hosttech. Im Willkommens-Interview blickt er auf seine ersten drei Monate im Team zurück, erklärt, wo er die grössten Herausforderungen sieht, und worauf er sich am Feierabend am meisten freut.

Illustration zur NIS2-Richtlinie EU, zeigt Schild mit Schloss-Symbol vor EU-Flagge. Zur Cybersicherheit für Domains und Registrare in der DACH-Region

NIS-2 und Domains: Was Inhaber und Registrare in der DACH-Region jetzt wissen müssen

Cyberangriffe auf Unternehmen, Behörden und kritische Infrastrukturen nehmen weltweit zu. Die Europäische Union reagierte darauf mit einem umfassenden Regelwerk: der NIS-2-Richtlinie. Was zunächst wie ein rein technisches Thema für grosse Konzerne klingt, hat auch handfeste Konsequenzen für Domaininhaber und Registrare in Deutschland, Österreich und der Schweiz. Dieser Beitrag gibt einen Überblick.

Headerbild zum Blogbeitrag über Cloud-Alternativen. Aufnahme aus dem unterirdischen Datacenter DATAROCK von hosttech. Ein langer Gang mit verschlossenen Server-Racks auf beiden Seiten.

Die besten europäischen Cloud-Alternativen zu AWS und Azure

AWS und Azure dominieren den Cloud-Markt. Doch wer seine Daten einem US-amerikanischen Hyperscaler anvertraut, geht ein oft unterschätztes Risiko ein. Echte Datensouveränität lässt sich aufgrund des CLOUD Acts nicht garantieren. Zum Glück hat sich in den letzten Jahren ein starkes europäisches Cloud-Ökosystem entwickelt, das den Vergleich mit den grossen Hyperscalern nicht scheuen muss. Wir zeigen, worauf es bei der Wahl eines Cloud-Providers wirklich ankommt, und stellen die überzeugendsten europäischen Alternativen zu AWS und Azure vor.

myhosttech Kundencenter

Jetzt testen