WordPress absichern: 7 Härtungsmaßnahmen mit hohem Effekt

WordPress ist von Haus aus solide, wird aber sehr häufig angegriffen — vor allem automatisiert. Diese sieben Maßnahmen bringen ein hohes Sicherheitsniveau, ohne die Administration unnötig zu erschweren.

1. Admin nicht „admin“

Der Benutzername admin ist das erste, was Brute-Force-Skripte probieren. Ein individueller Admin-Name ist Minimum.

2. Starke, individuelle Passwörter + 2FA

Passwort-Manager verwenden, für Admins Zwei-Faktor-Authentifizierung aktivieren.

3. Login-Seite schützen

Rate-Limiting auf wp-login.php, optional Umbenennen der Login-URL, xmlrpc.php blockieren, falls nicht benötigt.

4. Dateirechte

Verzeichnisse 755, Dateien 644, wp-config.php auf 640 oder 600. Schreibrechte nur dort, wo wirklich nötig.

5. DISALLOW_FILE_EDIT

In wp-config.php das Editieren von Theme- und Plugin-Dateien über das Backend deaktivieren. Dadurch kann ein kompromittierter Account nicht direkt Code ändern.

6. Weniger Plugins

Jedes Plugin ist Angriffsfläche. Veraltete oder ungenutzte Plugins vollständig entfernen — nicht nur deaktivieren.

7. Monitoring

Änderungen an Core-/Plugin-Dateien überwachen, fehlgeschlagene Logins loggen, Malware-Scanner laufen lassen. Je früher ein Angriff auffällt, desto besser.