WordPress ist das beliebteste CMS der Welt – und genau deshalb auch das beliebteste Ziel von Angreifern. Rund 40 Prozent aller Websites weltweit laufen auf WordPress. Wer eine WordPress-Seite betreibt, ohne sie aktiv abzusichern, nimmt ein reales Risiko in Kauf. Hier sind die sieben häufigsten Sicherheitslücken – und was du dagegen tun kannst.
1. Veraltete WordPress-Version, Plugins oder Themes
Die mit Abstand häufigste Angriffsfläche: Software, die nicht aktuell ist. Jedes Update schließt bekannte Sicherheitslücken. Wer Updates ignoriert, lässt Türen offen, die Angreifer bereits kennen. Das gilt nicht nur für WordPress selbst, sondern auch für jedes einzelne Plugin und Theme – aktive wie inaktive.
Fix: Automatische Updates aktivieren oder regelmäßige manuelle Update-Zyklen einrichten. Ungenutzte Plugins und Themes komplett löschen, nicht nur deaktivieren.
2. Schwache Passwörter und standard Admin-Zugänge
„admin“ als Benutzername, „123456″ als Passwort – klingt absurd, ist aber immer noch weit verbreitet. Brute-Force-Angriffe testen systematisch Millionen von Kombinationen. Standard-Zugangsdaten sind das erste, was Angreifer probieren.
Fix: Starke, einzigartige Passwörter (mindestens 16 Zeichen, zufällig generiert). Den Benutzernamen „admin“ umbenennen. Zwei-Faktor-Authentifizierung einrichten. Login-Versuche begrenzen.
3. Fehlende SSL-Verschlüsselung
Websites ohne HTTPS übertragen Daten unverschlüsselt – Login-Daten, Formulareingaben, alles. Browser markieren solche Seiten als „nicht sicher“, Google stuft sie im Ranking ab, und Nutzer vertrauen ihnen zu Recht nicht.
Fix: SSL-Zertifikat einrichten (kostenlos über Let’s Encrypt oder beim Hoster inklusive). HTTPS erzwingen, HTTP-Anfragen automatisch umleiten. Mixed-Content-Probleme prüfen und beheben.
4. Keine Begrenzung von Login-Versuchen
Standardmäßig erlaubt WordPress unbegrenzt viele Login-Versuche. Das macht Brute-Force-Angriffe trivial: Ein Script probiert einfach so lange Passwörter aus, bis es trifft. Ohne Gegenmaßnahmen merkt man das oft erst, wenn es zu spät ist.
Fix: Plugin wie Limit Login Attempts Reloaded oder Wordfence einsetzen. Fehlgeschlagene Logins loggen und IP-Sperren automatisch auslösen. Login-URL umbenennen (wp-login.php durch einen eigenen Pfad ersetzen).
5. Unsichere Plugins aus dubiosen Quellen
Nulled Plugins – also raubkopierte Premium-Plugins – sind ein Klassiker unter Angreifern. Sie werden kostenlos angeboten, enthalten aber oft Backdoors, Malware oder Tracking-Code. Wer spart, zahlt später drauf.
Fix: Plugins ausschließlich aus dem offiziellen WordPress-Repository oder direkt vom Entwickler beziehen. Bewertungen, Aktualität und Download-Zahlen prüfen. Auf Plugins mit wenigen Nutzern und alten Updates verzichten.
6. Fehlende Datei- und Ordnerberechtigungen
Falsch gesetzte Dateiberechtigungen ermöglichen es Angreifern, Dateien zu lesen, zu schreiben oder auszuführen, die sie niemals anfassen sollten. Besonders wp-config.php – die zentrale Konfigurationsdatei mit Datenbankzugangsdaten – ist ein häufiges Angriffsziel.
Fix: Verzeichnisse auf 755, Dateien auf 644 setzen. wp-config.php auf 400 oder 440. Zugriff auf wp-config.php und .htaccess über die Server-Konfiguration sperren.
7. Kein Backup-System
Kein Backup ist keine Sicherheitslücke im klassischen Sinne – aber es ist die häufigste Ursache dafür, dass ein Angriff zur Katastrophe wird. Ransomware, defekte Updates, versehentlich gelöschte Inhalte: Wer kein Backup hat, verliert alles.
Fix: Tägliche automatische Backups einrichten. Daten an einem vom Server getrennten Ort speichern (Cloud, externes System). Backup-Wiederherstellung regelmäßig testen – ein Backup, das nicht wiederhergestellt werden kann, ist wertlos.
Fazit: Sicherheit ist kein einmaliges Projekt
WordPress-Sicherheit ist kein Zustand, den man einmal erreicht und dann abhakt. Es ist ein laufender Prozess: Updates, Monitoring, Backups, Zugangsverwaltung. Wer das intern nicht leisten kann oder will, ist gut beraten, das an Profis abzugeben.
Bei MediaBees übernehmen wir genau das im Rahmen unserer Website-Wartung: Updates, Backups, Sicherheitsmonitoring und schnelle Reaktion bei Problemen. Kein Stress, keine bösen Überraschungen.
