Website-Sicherheit
WordPress Sicherheitscheck erklärt
WordPress ist das beliebteste CMS der Welt — und ein häufiges Angriffsziel. Wir zeigen, welche sichtbaren Signale auf Sicherheitslücken hinweisen und was Sie sofort prüfen können.
WordPress ist hervorragende Software — sicher, regelmäßig aktualisiert und von Millionen Websites genutzt. Das Problem ist nicht WordPress selbst. Das Problem sind veraltete Versionen, ungepflegte Plugins und fehlende Sicherheitskonfigurationen. Dieser Artikel zeigt Ihnen, was Sie von außen prüfen können — ohne technisches Vorwissen.
Die 8 wichtigsten Sicherheitschecks für WordPress
Diese Prüfungen können Sie selbst durchführen oder von Ihrer Agentur durchführen lassen. Alle basieren auf öffentlich sichtbaren Signalen — Sie müssen sich nicht in Ihr System einloggen, um die ersten vier Checks zu machen.
WordPress-Version sichtbar?
Viele WordPress-Seiten verraten im Quelltext, welche Version sie nutzen. Das ist eine Einladung für Angreifer: Sie scannen automatisch nach bekannten Lücken in dieser Version. Prüfen: Sehen Sie im Quelltext (Rechtsklick → Seitenquelltext anzeigen) nach generator oder wp-embed. Wenn eine Versionsnummer sichtbar ist, sollten Sie diese ausblenden lassen.
Login-Seite unter /wp-admin erreichbar?
Unter ihre-website.de/wp-admin ist die Standard-Login-Seite von WordPress erreichbar. Angreifer kennen diese Adresse und probieren dort automatisch tausende Passwörter aus. Eine einfache Schutzmaßnahme: Ändern Sie die Login-Adresse oder schützen Sie sie mit einem zusätzlichen Passwort (HTTP Basic Auth).
htaccess schützt sensible Dateien?
WordPress speichert Konfigurationsdaten in Dateien wie wp-config.php. Wenn Ihr Webserver richtig konfiguriert ist, sind diese Dateien von außen nicht lesbar. Prüfen: Rufen Sie ihre-website.de/wp-config.php auf. Wenn Sie mehr als eine leere Seite sehen, ist das ein kritisches Problem.
XML-RPC aktiviert?
Die XML-RPC-Schnittstelle (/xmlrpc.php) wird für Brute-Force-Angriffe auf Passwörter missbraucht. Wenn Sie keine mobile App für WordPress nutzen, brauchen Sie diese Schnittstelle in der Regel nicht. Sie sollte deaktiviert oder durch eine Firewall geschützt sein.
WordPress und Plugins aktuell?
Loggen Sie sich ins WordPress-Dashboard ein und prüfen Sie unter „Updates", ob neue Versionen verfügbar sind. Veraltete Plugins sind die häufigste Angriffsquelle. Entfernen Sie auch alle Plugins und Themes, die Sie nicht aktiv nutzen.
Unbenutzte Benutzerkonten?
Prüfen Sie unter „Benutzer" alle Konten. Gibt es noch Zugänge für ehemalige Mitarbeiter? Für die Agentur, die vor drei Jahren die Website gebaut hat? Standard-Benutzernamen wie „admin"? Löschen oder deaktivieren Sie alle nicht benötigten Konten.
Zwei-Faktor-Authentifizierung aktiviert?
Für Administrator-Konten sollte zwingend 2FA eingerichtet sein. Es gibt kostenlose Plugins wie „Wordfence Login Security" oder „Two Factor", die das in wenigen Minuten ermöglichen.
Regelmäßige Backups?
Was passiert, wenn die Website heute kompromittiert wird? Können Sie sie morgen wiederherstellen? Prüfen Sie, ob automatische Backups eingerichtet sind und ob diese auch funktionieren (einmal testen!).
Typische Warnsignale, die wir bei Sicherheitschecks finden
- WordPress-Version 4.x oder 5.0-5.3: Diese älteren Versionen haben mehrere bekannte Sicherheitslücken. Ein Update auf die aktuelle Version ist überfällig.
- Plugin „Really Simple SSL" veraltet: Ein beliebtes aber oft vernachlässigtes Plugin mit über 5 Millionen Installationen. Veraltete Versionen können Sicherheitslücken aufweisen.
- Theme mit bekanntem Exploit: Besonders bei kostenlosen Themes von unbekannten Quellen, die nicht mehr aktualisiert werden.
- Keine Security-Header: Fehlende HTTP-Sicherheits-Header wie
X-Content-Type-OptionsoderX-Frame-Optionssind ein Zeichen, dass das Hosting-Setup nicht gehärtet wurde.
Gut zu wissen: Keine dieser Prüfungen greift in Ihr System ein oder verändert etwas. Es sind rein äußere Beobachtungen — vergleichbar damit, dass jemand prüft, ob Ihre Haustür von außen sichtbare Schwächen zeigt. Für einen vollständigen Sicherheitscheck schauen wir uns auch das Innere an — aber immer nur mit Ihrer schriftlichen Freigabe.
Was tun, wenn Sie unsicher sind?
Wenn Sie sich bei einem dieser Punkte unsicher sind, lassen Sie einen professionellen Sicherheitscheck durchführen. Ein guter Check zeigt Ihnen genau, welche Maßnahmen sofort nötig sind und welche Zeit haben.
Nutzen Sie zuerst unseren kostenlosen Scanner — er zeigt Ihnen in 10 Sekunden, ob grundlegende Sicherheitsmerkmale vorhanden sind. Für eine detaillierte Analyse mit schriftlichem Bericht können Sie uns kontaktieren.