WordPress treibt über 43 Prozent aller Websites weltweit — und ist damit das Lieblings-Ziel für automatisierte Hacker-Angriffe. Wer eine Website betreibt, ohne sich um WordPress-Sicherheit zu kümmern, spielt mit der eigenen Existenz: Datenverlust, Kundendaten-Diebstahl, Google-Sperrung wegen Malware-Verdacht, Abmahnung wegen DSGVO-Verstoß. Wir aus Landau in der Pfalz zeigen, welche Maßnahmen wirklich helfen — und welche bloß Plugin-Marketing sind.
Was bedroht WordPress-Sites 2026?
WordPress-Sites werden 2026 von drei Hauptkräften bedroht: automatisierte Bot-Netze, Drive-by-Schadcode in veralteten Plugins und gezielte Angriffe auf hochwertige Sites. Zusammen treffen diese Bedrohungen jedes Jahr Millionen Websites weltweit.
Die Statistik ist eindeutig: Über 90 Prozent aller erfolgreichen Hacks gehen auf veraltete Software zurück. Plugins, die seit einem halben Jahr nicht aktualisiert wurden, sind ein offenes Scheunentor. Themes mit Premium-Lizenzen ohne aktiven Update-Vertrag sind genauso angreifbar. Hinzu kommen die Klassiker: schwache Admin-Passwörter, Standard-Benutzernamen wie „admin“, fehlende 2-Faktor-Authentifizierung.
Das eigentliche Risiko ist dabei nicht der Hack selbst, sondern die Folgen: Google sperrt die Site bei Malware-Verdacht innerhalb von Stunden. Bei Datenschutz-Vorfällen droht eine DSGVO-Meldepflicht binnen 72 Stunden. Bei Kundendaten-Diebstahl kommen Vertrauensverlust und mögliche Schadensersatz-Forderungen dazu. Eine ungesicherte WordPress-Site kann einem KMU schnell fünfstelliger Schaden verursachen.
Die 7 häufigsten Angriffsvektoren
1. Brute-Force auf die Login-Seite
Bots versuchen tausende Passwort-Kombinationen auf /wp-login.php. Mit schwachen Passwörtern wie „passwort123“ oder „admin2024“ sind sie schnell erfolgreich. Verhinderbar durch starke Passwörter, Login-Limit-Plugins und 2-Faktor-Authentifizierung.
2. Veraltete Plugins
Ein nicht aktualisiertes Plugin mit bekannter Sicherheitslücke ist die Eintrittskarte für Angreifer. Besonders gefährlich: Premium-Plugins ohne aktive Lizenz, die keine Updates mehr bekommen. Verhinderbar durch wöchentliche Update-Routinen.
3. SQL-Injection über Formulare
Schlecht programmierte Plugins oder Custom-Formulare erlauben das Einschleusen von Datenbank-Befehlen. Folge: Auslesen oder Manipulation der gesamten Datenbank inklusive Passwort-Hashes.
4. Cross-Site-Scripting (XSS)
Eingeschleuster JavaScript-Code wird von Site-Besuchern ausgeführt. Folge: Diebstahl von Login-Sessions, Phishing-Weiterleitungen oder Crypto-Mining im Browser des Besuchers.
5. Schadcode in Themes
Kostenlose Themes aus dubiosen Quellen enthalten häufig versteckten Schadcode. Ein Klassiker: ein angeblich kostenfreies Premium-Theme aus einer russischen Download-Seite, das im Hintergrund Spam-Links auf die Site einschleust.
6. Datei-Upload-Schwachstellen
Wenn die Site Datei-Uploads erlaubt (Kontaktformulare, Mitgliederbereiche), können präparierte PHP-Dateien als angebliche Bilder hochgeladen und ausgeführt werden. Verhinderbar durch strikte Datei-Filter.
7. Schwache Datei-Berechtigungen
Wenn Dateien auf dem Server mit zu offenen Schreibrechten (777) liegen, kann ein Angreifer eigenen Code platzieren. Korrekte Werte sind 644 für Dateien und 755 für Verzeichnisse.
WordPress-Sicherheit in 5 Minuten prüfen
So machen Sie einen schnellen Selbst-Check Ihrer Site. Wenn auch nur eine Antwort „nein“ lautet, sollten Sie aktiv werden.
Die wichtigsten Härtungs-Maßnahmen
Aus einer durchschnittlichen WordPress-Site wird mit ein paar gezielten Schritten eine sehr schwer angreifbare Site. Drei Bereiche verdienen besondere Aufmerksamkeit: die Login-Härtung, die Daten-Sicherung und die System-Konfiguration. Jeder Bereich braucht wenige, dafür konsequent umgesetzte Maßnahmen.
Die Login-Härtung beginnt mit dem Offensichtlichen: ein nicht-standardisierter Admin-Benutzername (also nie „admin“), ein Passwort mit mindestens 14 Zeichen aus einem Passwort-Manager wie Bitwarden oder 1Password, und 2-Faktor-Authentifizierung per WP-2FA-Plugin oder Authy-App auf dem Smartphone. Ergänzend sorgt ein Login-Limit-Plugin wie „Limit Login Attempts Reloaded“ dafür, dass eine IP nach fünf Fehlversuchen temporär gesperrt wird. Schon allein diese vier Maßnahmen verhindern 95 Prozent aller Brute-Force-Angriffe.
Bei der Daten-Sicherung gilt eine einfache Regel: Backups gehören nicht auf den gleichen Server wie die Site. Tools wie UpdraftPlus oder Solid Backups (früher BackupBuddy) speichern automatisiert in Google Drive, Dropbox oder einem S3-Bucket. Ein Let’s-Encrypt-SSL-Zertifikat ist 2026 kostenlos und muss überall mit „Force HTTPS“ erzwungen werden. Updates schließlich sollten automatisiert laufen: Core, Themes und Plugins per WordPress-Auto-Update. Manuell nachgepflegte Sites sind in der Praxis nach drei bis sechs Monaten wieder veraltet.
Auf System-Ebene gehören die wp-config.php-Härtung (Datei-Berechtigung 600, Security-Keys halbjährlich erneuern über den WordPress.org-Generator) und die korrekten Datei-Rechte dazu — Verzeichnisse 755, Dateien 644, niemals 777. Den Rest erledigt ein zentrales Security-Plugin wie Wordfence, Solid Security oder die vorgelagerte Cloudflare-Lösung mit Web Application Firewall. Wichtig: nur eines, nie mehrere parallel.
Was kostet WordPress-Sicherheit 2026?
Die meisten Sicherheits-Maßnahmen sind 2026 kostenlos. Die Investition liegt eher in der Zeit und in der Sorgfalt der laufenden Pflege. Hier die realistische Kostenmatrix für KMU.
| Schutz-Maßnahme | Kostenfrei? | Premium-Tarif |
|---|---|---|
| SSL-Zertifikat | ja (Let’s Encrypt) | 10 – 80 €/Jahr (EV) |
| Backup-Plugin | ja (UpdraftPlus Free) | 70 – 200 €/Jahr |
| Security-Plugin | ja (Wordfence Free) | 99 – 490 €/Jahr |
| Cloudflare CDN/WAF | ja (Free-Plan) | 20 – 200 €/Monat |
| Wartungsvertrag bei Agentur | nein | 29,99 – 150 €/Monat |
Wer alle Maßnahmen selbst umsetzt, kommt mit reinen Software-Kosten von 0 bis 100 Euro im Jahr aus. Wer die laufende Pflege auslagert, zahlt 30 bis 150 Euro im Monat für einen Wartungsvertrag. Der Unterschied: Im Wartungsvertrag ist die Personalzeit für Updates, Backups und Notfall-Reaktion mit drin.
Sicherheits-Plugins im Vergleich
Wordfence
Marktführer mit über 4 Millionen aktiven Installationen. Free-Version bietet Firewall, Malware-Scanner und Login-Schutz. Premium ab 99 Dollar im Jahr bringt Echtzeit-Updates der Firewall-Regeln. Empfehlenswert für die meisten KMU.
Solid Security (früher iThemes Security)
Stärken in der Konfigurierbarkeit, gute Integration mit Solid Backups. Premium ab 99 Dollar im Jahr. Solide Alternative zu Wordfence, etwas weniger ressourcen-hungrig.
Cloudflare
Kein Plugin, sondern ein vorgelagerter Proxy mit eingebauter Web Application Firewall. Filtert schlechten Traffic, bevor er Ihr Hosting erreicht. Free-Plan ausreichend für KMU. Bezahlt-Pläne ab 20 Dollar im Monat mit erweiterten Bot-Schutz-Regeln.
Sucuri
Premium-Sicherheits-Service mit Cloud-WAF und Incident-Response. Ab 199 Dollar im Jahr. Sinnvoll für hochwertige Sites, die professionellen Notfall-Support brauchen.
Site gehackt? Der Notfall-Plan
Sie vermuten oder wissen, dass Ihre Site gehackt ist? So gehen Sie in den nächsten Stunden vor.
Im Hoster-Panel auf Wartungsmodus stellen oder eine .htaccess-Sperre einrichten. Verhindert weiteren Schaden und schützt Besucher.
Letztes sauberes Backup vom Hoster oder UpdraftPlus zurückspielen. Datum sollte vor dem Hack liegen.
Alle Passwörter neu setzen (WordPress, FTP, Datenbank, Hoster). Updates durchziehen. Schlecht gewartete Plugins entfernen.
Wordfence oder Sucuri starten, alle Funde säubern. Bei tiefem Befall hilft nur kompletter Neuaufbau aus einem sauberen Backup.
Wenn personenbezogene Daten betroffen sein könnten, binnen 72 Stunden an die Landesdatenschutzbehörde melden. Unterlassung kann teurer werden als der Hack selbst.
Wir aus Landau bieten Hack-Recovery als Notfall-Service ab 499 Euro Festpreis an. Inklusive sind: Site-Bereinigung, Backup-Wiederherstellung, vollständige Härtung, Malware-Scan, 30 Tage Beobachtung und ein kostenloser Wartungsvertrag-Anschluss.
Wartungsvertrag als WordPress-Versicherung
Die meisten Hacks passieren bei Sites, die monatelang ohne Updates blieben. Ein Wartungsvertrag bei einer professionellen Agentur kostet ab 29,99 Euro im Monat und ersetzt die laufende Pflege durch geschultes Personal.
Was im Wartungsvertrag idealerweise enthalten ist: WordPress-Core-Updates, Plugin- und Theme-Updates, wöchentliche Backups, Sicherheits-Scans, Uptime-Monitoring, garantierte Reaktionszeit bei Störungen und ein monatlicher Status-Report. Bei uns kommt eine SSL-Überwachung, Spam-Filter-Wartung und ein Notfall-Recovery-Anspruch dazu.
Wirtschaftlich gerechnet: Ein einziger Hack mit Datenwiederherstellung, Bereinigung und möglichen Bußgeldern kostet schnell 2.000 bis 10.000 Euro. Ein Wartungsvertrag kostet zwischen 360 und 1.800 Euro im Jahr. Die Versicherungs-Logik ist eindeutig.
Häufige Fragen zur WordPress-Sicherheit
Wie sicher ist WordPress 2026 wirklich?+
Welches Security-Plugin ist das beste für WordPress?+
Was tun, wenn meine WordPress-Site gehackt wurde?+
Wie oft sollten WordPress-Updates durchgeführt werden?+
Brauche ich 2-Faktor-Authentifizierung für meine Site?+
Was kostet ein Wartungsvertrag bei einer Agentur?+
Was kostet die Wiederherstellung einer gehackten Site?+
Fazit: WordPress-Sicherheit ist Pflicht, nicht Kür
Eine WordPress-Site ohne regelmäßige Sicherheits-Pflege ist eine offene Schatzkiste für automatisierte Bots. Mit fünf Standard-Maßnahmen — Updates, starkes Login, 2-Faktor-Authentifizierung, tägliche Backups und ein gutes Security-Plugin — reduzieren Sie das Risiko auf das, was man als „Restrisiko“ bezeichnet.
Wenn Sie die laufende Pflege nicht selbst übernehmen möchten oder können, übernehmen wir das aus Landau ab 29,99 Euro im Monat. Das Wartungspaket umfasst alle technischen Schutzmaßnahmen, monatliche Reports und einen garantierten Notfall-Service bei Sicherheits-Vorfällen.
Sichere WordPress-Site ab 29,99 €/Monat
Wartung, Updates, Backups, Sicherheits-Scans, Notfall-Recovery — alles aus einer Hand. Aus Landau in der Pfalz für deutsche KMU.