Die 10 häufigsten WordPress Sicherheitsfehler 2026

WordPress betreibt über 40% aller Websites weltweit. Das macht es zum attraktivsten Ziel für automatisierte Angriffe. In unserer Analyse sehen wir bei fast jeder zweiten WordPress-Installation dieselben Sicherheitsfehler.

1. Keine Zwei-Faktor-Authentifizierung

Der WordPress-Login ist der am häufigsten angegriffene Zugangspunkt. Ohne 2FA reicht ein erratenes Passwort für die Übernahme der gesamten Website.

2. Veraltete Plugins und Themes

Jedes nicht aktualisierte Plugin ist eine potenzielle Einfallstür. Angreifer scannen automatisch nach bekannten Schwachstellen.

3. Standard-Benutzername "admin"

Damit haben Angreifer schon den Benutzernamen — sie müssen nur noch das Passwort knacken.

4. Fehlende oder schwache HTTPS-Konfiguration

HTTPS ist Pflicht. Ein Zertifikat allein reicht nicht — die HTTPS-Weiterleitung muss für alle Seiten erzwungen werden.

5. Ungeschützte wp-config.php

Die wp-config.php enthält Datenbank-Zugangsdaten. Ist sie von außen lesbar, haben Angreifer vollen Zugriff.

6. Keine Security Headers

CSP, HSTS, X-Frame-Options — die meisten WordPress-Installationen haben keine dieser kritischen HTTP-Header.

7. XML-RPC aktiviert und ungeschützt

Die XML-RPC-Schnittstelle verursacht viele Brute-Force- und DDoS-Angriffe. Deaktivieren oder mit IP-Whitelisting schützen.

8. Keine regelmäßigen Backups

Ohne Backup ist jeder Sicherheitsvorfall eine Katastrophe. Richten Sie automatische tägliche Backups ein.

9. Unnötige Admin-Konten

Jedes zusätzliche Admin-Konto vergrößert die Angriffsfläche. Berechtigungen nach dem Minimalprinzip vergeben.

10. Kein Vulnerability Monitoring

Ohne regelmäßige externe Prüfung wissen Sie nicht, was Angreifer sehen. Ein passiver Sicherheitscheck zeigt Ihre Angriffsfläche.

Mit unseren kostenlosen Tools prüfen Sie Ihre WordPress-Sicherheit in wenigen Sekunden.