WordPress ist das meistgenutzte CMS der Welt – und damit auch das meistangegriffene. Automatisierte Bots scannen rund um die Uhr nach veralteten Plugins, schwachen Passwörtern und bekannten Sicherheitslücken. Wer seine WordPress-Website nicht aktiv schützt, ist ein leichtes Ziel.
Die häufigsten Angriffsvektoren
Veraltete Plugins und Themes
Die überwiegende Mehrheit erfolgreicher WordPress-Hacks geht auf veraltete Erweiterungen zurück. Sicherheitslücken in Plugins werden oft innerhalb von Stunden nach Bekanntwerden aktiv ausgenutzt. Regelmäßige Updates sind daher keine Option, sondern Pflicht.
Schwache Anmeldedaten
Brute-Force-Angriffe auf wp-login.php sind nach wie vor weit verbreitet. Einfache Passwörter und der Standard-Benutzername "admin" werden automatisiert durchprobiert.
XML-RPC-Missbrauch
Die XML-RPC-Schnittstelle wird von vielen Websites nicht gebraucht, ist aber standardmäßig aktiv. Angreifer nutzen sie für Brute-Force-Angriffe und DDoS-Amplification. Wer sie nicht benötigt, sollte sie deaktivieren.
Unsichere Dateiuploads
Fehler in der Validierung von Upload-Formularen ermöglichen es Angreifern, schädliche Dateien auf den Server zu laden und dort auszuführen.
Maßnahmen, die wirklich helfen
1. Zwei-Faktor-Authentifizierung (2FA)
2FA ist eine der effektivsten Maßnahmen gegen Kontomissbrauch. Selbst wenn Passwörter gestohlen werden, schützt ein zweiter Faktor (z.B. TOTP-App) das Login zuverlässig. Plugins wie "Two Factor" oder "WP 2FA" sind schnell eingerichtet.
2. Login-URL ändern und Zugriff einschränken
Die Standard-Login-URL /wp-login.php ist Bots bekannt. Eine Änderung der URL oder eine IP-basierte Zugangsbeschränkung reduziert das Angriffsvolumen erheblich.
3. Web Application Firewall (WAF)
Eine WAF filtert bösartige Anfragen, bevor sie WordPress erreichen. Dienste wie Cloudflare oder Plugins wie Wordfence bieten regelbasierte Filterung für bekannte Angriffsmuster.
4. Regelmäßige Backups mit Offsite-Speicherung
Kein Sicherheitskonzept ist vollständig ohne Backups. Im Ernstfall – etwa nach einem erfolgreichen Angriff – ist ein aktuelles Backup der schnellste Weg zurück zur funktionierenden Website. Backups sollten außerhalb des Servers gespeichert werden.
5. Dateirechte und wp-config.php absichern
Die wp-config.php enthält Datenbankzugangsdaten und sollte entsprechend restriktiv konfiguriert sein (Dateiberechtigungen 400 oder 440). Schreibrechte auf wichtige Verzeichnisse sollten auf das Minimum reduziert werden.
Managed Hosting als Sicherheitsnetz
Bei unseren Managed-Hosting-Paketen kümmern wir uns um serverseitige Sicherheitsmaßnahmen: Firewall-Konfiguration, automatische Updates, Malware-Scanning und tägliche Backups. Das entlastet Sie als Website-Betreiber und sorgt für eine solide Grundsicherheit.
WordPress-Sicherheit ist keine einmalige Aufgabe. Wer kontinuierlich updatet, starke Zugangsdaten verwendet und grundlegende Härtungsmaßnahmen umsetzt, macht es Angreifern deutlich schwerer.