WordPress-Fehler & Wartung9 Min. Lesezeit04. Juli 2026
WordPress-Wartung · Tag 4: WordPress härten & Login-Schutz
Kurz gesagt
WordPress härten heißt, die Angriffsfläche zu verkleinern, bevor etwas passiert: starke Logins mit Zwei-Faktor, minimale Benutzerrechte, aktuelle Software, korrekte Dateirechte und eine Web Application Firewall. Die meisten gehackten WordPress-Seiten fallen nicht durch geniale Angriffe, sondern durch bekannte, vermeidbare Lücken.
Willkommen zu Tag 4 unserer Serie WordPress-Wartung & Betrieb. Die letzten Tage haben repariert und abgesichert — heute geht es ums Vorbeugen. Härten bedeutet, die Angriffsfläche einer WordPress-Seite bewusst zu verkleinern, damit die üblichen automatisierten Angriffe ins Leere laufen. Die gute Nachricht dabei: Die allermeisten Einbrüche gelingen nicht durch raffinierte Tricks, sondern durch bekannte, längst vermeidbare Lücken. Genau die schließen wir hier.
Wie werden WordPress-Seiten wirklich gehackt?
Es hilft, den Gegner realistisch einzuschätzen. Der typische Angreifer ist kein Mensch, der sich gezielt für deine Seite interessiert, sondern ein automatisiertes Skript, das das Netz in großem Stil nach leichten Zielen absucht. Es probiert massenhaft Standard-Zugangsdaten am Login, es scannt nach veralteten Plugins mit bekannten Lücken, es testet, ob eine Konfiguration schludrig ist. Wer sich dagegen wappnet, verschwindet aus dem Raster dieser Massenangriffe — und die machen den Großteil aus. Härtung ist damit weniger Hochsicherheit als konsequente Hygiene.
Der Login: das am häufigsten angegriffene Tor
Zwei-Faktor-Authentifizierung
Die wirksamste einzelne Maßnahme am Login ist Zwei-Faktor-Authentifizierung. Selbst wenn ein Passwort irgendwo geleakt oder erraten wird, kommt niemand ohne den zweiten Faktor hinein. Für alle Konten mit Verwaltungsrechten sollte das nicht verhandelbar sein. Der Aufwand ist gering, der Sicherheitsgewinn enorm — kaum eine andere Maßnahme hat ein besseres Verhältnis.
Starke, einzigartige Passwörter
So banal es klingt: schwache und wiederverwendete Passwörter sind weiterhin eine der Hauptursachen für Einbrüche. Jedes Konto braucht ein langes, einzigartiges Passwort, idealerweise aus einem Passwort-Manager. Für den Einstieg haben wir ein kostenloses Werkzeug gebaut: unseren WordPress-Passwort-Generator. Und der Benutzername „admin" gehört abgeschafft — er erspart dem Angreifer die Hälfte der Rätselei.
Brute-Force ausbremsen
Automatisierte Skripte probieren Passwörter in hoher Zahl durch. Eine Begrenzung der Anmeldeversuche macht das unwirtschaftlich: Nach wenigen Fehlversuchen wird die Quelle ausgesperrt. Das stoppt zwar keinen gezielten Angreifer, aber es entwertet genau die massenhaften Rateversuche, die den Alltag ausmachen.
Rechte, Software und Dateien: die stille Härtung
Minimale Benutzerrechte
Nicht jeder braucht Administratorrechte. Ein Redakteur, der Texte schreibt, braucht keine Möglichkeit, Plugins zu installieren. Jedes Konto mit zu vielen Rechten ist ein größeres Risiko, falls es übernommen wird. Das Prinzip der minimalen Rechte — jeder bekommt genau so viel, wie er für seine Aufgabe braucht — verkleinert den Schaden, den ein einzelnes kompromittiertes Konto anrichten kann.
Aktuelle Software als Fundament
Härtung baut auf dem auf, was wir an Tag 2 besprochen haben: Eine Seite mit veralteten Plugins lässt sich nicht sinnvoll absichern, weil die Löcher schneller aufgehen, als man sie stopfen kann. Aktuelle Versionen von Core, Plugins, Theme — und auch eine unterstützte PHP-Version auf dem Server — sind die Grundlage, auf der alles Weitere ruht.
Korrekte Dateirechte und Konfiguration
Auf Server-Ebene entscheiden Dateirechte darüber, was ein Angreifer anrichten kann, falls er doch einen Fuß in die Tür bekommt. Zu großzügig gesetzte Schreibrechte erlauben ihm, eigene Dateien abzulegen; korrekt gesetzte Rechte begrenzen den Schaden. Dazu gehört auch, Verzeichnisse gegen das ungewollte Ausführen von Skripten abzusichern und die zentrale Konfigurationsdatei besonders zu schützen. Diese Maßnahmen sind unsichtbar und undankbar — und genau deshalb werden sie oft vergessen. Wir gehen sie in unserem Leitfaden WordPress härten ausführlicher durch.
Eine Firewall als vorgelagerte Verteidigung
Eine Web Application Firewall (WAF) sitzt vor der Seite und filtert bösartige Anfragen heraus, bevor sie WordPress überhaupt erreichen. Sie blockt bekannte Angriffsmuster, bremst auffälligen Verkehr und kauft im Fall einer frisch bekannt gewordenen Lücke wertvolle Zeit, bis das Update eingespielt ist. Eine WAF ersetzt keine Updates und keinen Login-Schutz, aber sie ist eine wirksame zusätzliche Schicht — und Sicherheit entsteht immer aus mehreren Schichten, nie aus einer einzigen Maßnahme.
So gehst du vor
- Zwei-Faktor für alle Konten mit Verwaltungsrechten — die wirksamste Einzelmaßnahme.
- Starke, einzigartige Passwörter und weg mit dem Benutzernamen „admin".
- Anmeldeversuche begrenzen, um Rateangriffe unwirtschaftlich zu machen.
- Rechte minimieren — jeder nur so viel, wie die Aufgabe verlangt.
- Alles aktuell halten, denn Härtung ohne Updates ist ein Fass ohne Boden.
- Dateirechte prüfen und eine Firewall vorschalten als zusätzliche Schicht.
Fazit
Härtung schützt nicht vor dem einen genialen Angriff, den es fast nie gibt, sondern vor den tausend automatisierten, die täglich stattfinden. Sie besteht aus lauter unspektakulären Maßnahmen: Zwei-Faktor am Login, starke Passwörter, begrenzte Anmeldeversuche, minimale Rechte, aktuelle Software, saubere Dateirechte und eine Firewall davor. Jede für sich ist klein, zusammen bilden sie die Schichten, an denen die üblichen Angriffe scheitern. Das ist die günstigste Sicherheit, die es gibt — weil sie den Ernstfall verhindert, statt ihn zu reparieren.
Das war Tag 4 und der Abschluss der ersten Hälfte dieser Serie. In den kommenden Folgen wird es ernst: Wir schauen uns an, wie man einen Einbruch erkennt und bereinigt, wie Performance und Core Web Vitals im laufenden Betrieb bleiben, und was beim sicheren Betrieb eines WooCommerce-Shops dazukommt. Alle Folgen findest du in der Serien-Übersicht. Wenn Härtung und laufender Schutz in verlässliche Hände sollen, sieh dir unsere WordPress-Wartung & Security an oder sprich uns direkt an.