+49-177-8507347

WordPress-Sicherheit ohne Overkill: Hardening-Basics, die fast nichts kosten (aber viel bringen)

Kunden

Sina Löschke
Guido Thal

Was ich gemacht habe

  • Webdesign
  • Editorial Content
  • Foto & Video
  • Social-Media
  • Digitale Kampagne

Webseiten

sina4halver.de
guido-thal.de
Du brauchst nicht unbedingt ein fettes Security-Suite-Plugin. Mit Rollen, 2FA, Login-Schutz und ein paar Hardening-Häkchen machst du WordPress deutlich robuster.

Bei WordPress-Sicherheit gibt’s zwei Extreme: „Ich installiere gar nichts“ oder „Ich installiere 3 schwere Security-Suiten mit Cloud-Dashboard“. Für die meisten Business-Websites ist beides nicht ideal. Besser ist: leicht wie möglich, so schwer wie nötig.

1) Rollen & Rechte: der unterschätzte Hebel

Das beste Hardening bringt wenig, wenn jeder Admin ist. Standard-Empfehlung für Kunden:

  • Kunde bekommt Redakteur, wenn er Inhalte pflegen soll
  • Admin-Rechte nur, wenn wirklich nötig
  • Wenn Admin nötig: möglichst nur 1–2 Admin-Konten, nicht „alle“

Warum? Weil viele „Hacks“ am Ende über schwache Zugangsdaten oder unnötige Admin-Rechte passieren.

2) 2FA für Admin-Konten (klein, aber stark)

Zwei-Faktor-Authentifizierung ist einer der größten Sicherheitshebel überhaupt.
Wichtig ist: nur für Admin(s) reicht oft schon. Für Redakteure optional.

Praxis-Tipp: Nimm ein schlankes 2FA-Plugin ohne „Security-Suite-Bauchladen“.

3) Login absichern: Rate-Limit / Lockouts

Brute-Force-Angriffe sind Alltag. Du willst:

  • Login-Versuche begrenzen
  • nach X Fehlversuchen sperren
  • ggf. IP temporär blocken
    Das kann ein kleines Plugin erledigen oder (je nach Setup) auch serverseitig.

4) XML-RPC aus (falls du’s nicht brauchst)

XML-RPC wird heute selten benötigt, kann aber eine Angriffsfläche sein. Wenn du keine alten Apps/Jetpack-Funktionen brauchst: deaktivieren.

5) WordPress File-Editor aus

Der Theme/Plugin-Editor im Backend ist praktisch, aber riskant. Ein kompromittiertes Admin-Konto kann darüber direkt Code ändern. Abschalten = sinnvoll.

6) Standard-Hardening: kleine Dinge, große Wirkung

  • Verzeichnislisting deaktivieren
  • sinnvolle Security-Header (wenn möglich)
  • saubere Passwortregeln / Passwortmanager empfehlen
  • Admin-User „admin“ vermeiden

7) Updates & Monitoring (Prozess statt Panik)

Security ist weniger ein Plugin-Thema als ein Prozess-Thema:

  • Updates in Jahr 1 inklusive
  • ab Jahr 2: Update-Service oder „ohne Updates auf eigenes Risiko“
  • regelmäßiger Check auf auffällige Logins/Fehler

Fazit

Du musst nicht mit Kanonen auf Spatzen schießen. Mit Rollen, 2FA, Login-Schutz und ein paar Hardening-Basics bist du für die meisten Business-Websites schon sehr gut aufgestellt – ohne Performance-Kater und ohne teure Cloud-Security-Abos.

Bock auf ein Projekt mit mir?

Dann melde dich!