Wie Hacker WordPress-Websites angreifen

Als ich vor 5 Jahren meine erste WordPress-Website gebaut habe, war Sicherheit ehrlich gesagt kein großes Thema für mich. Ich dachte: „Warum sollte jemand meine kleine Seite überhaupt hacken wollen?“

Heute weiß ich: Genau solche Seiten sind ein beliebtes Ziel. Nicht, weil sie bekannt sind, sondern weil sie oft schlecht geschützt sind. In diesem Beitrag zeige ich dir, wie du deine WordPress-Seite in wenigen Schritten sicherer machst, ganz ohne technisches Vorwissen.

Tatsächlich arbeiten viele Angreifer mit automatisierten Skripten (sogenannten Bots), die das Internet nach WordPress-Seiten mit bekannten Schwachstellen durchsuchen. Sie kennen typische Muster, Fehler und Lücken – und nutzen sie gnadenlos aus.

• Automatisiertes Scannen nach Sicherheitslücken: Bots durchsuchen das Netz gezielt nach:
  • Standard-Login-URLs wie /wp-login.php oder /wp-admin/
  • Veralteten Plugins oder Themes mit bekannten Schwachstellen
  • Offen zugänglichen Dateien wie readme.txt oder debug.log
• Brute-Force-Angriffe auf das Login: Hier probieren Bots tausende Benutzernamen und Passwörter aus – automatisch. Ein Klassiker, wenn man z. B. „admin“ als Benutzernamen verwendet.
• Veraltete Plugins und Themes: Wer seine Website nicht regelmäßig aktualisiert, lässt potenziell offene Türen stehen. Hacker kennen bekannte Sicherheitslücken und nutzen diese gezielt aus.
• Cross-Site Scripting (XSS) & SQL-Injections: Dabei wird über Formulare oder URLs schädlicher Code eingeschleust, der im schlimmsten Fall Zugriff auf Datenbank oder Admin-Oberfläche erlaubt.
• Auslesen technischer Informationen: Viele Seiten verraten zu viel über sich selbst – z. B. welches Theme oder welche Plugins verwendet werden. Diese Infos helfen Angreifern bei gezielten Angriffen.

Im nächsten Abschnitt zeige ich dir, wie du genau solche Schwachstellen vermeidest und deine Website so sicher machst, dass Hacker lieber weiterziehen.

Wichtige Schutzmaßnahmen

WordPress ist zwar benutzerfreundlich, aber von Haus aus nicht komplett abgesichert. Hacker suchen oft gezielt nach typischen Schwachstellen – besonders bei Seiten, die noch mit den Standard-Einstellungen betrieben werden. Hier sind die wichtigsten Dinge, die du leicht umsetzen kannst:

• 1. Login-URL ändern: Standardmäßig ist dein Login über /wp-login.php oder /wp-admin erreichbar. Das wissen auch Bots – und sie versuchen dort massenhaft, sich einzuloggen.
  Mit dem kostenlosen Plugin WPS Hide Login kannst du die Login-Adresse deiner Website auf z. B. /meine-anmeldung ändern. Das schützt dich zuverlässig vor automatisierten Brute-Force-Angriffen.
• 2. Sichere Zugangsdaten: Verwende niemals „admin“ als Benutzernamen – das ist das erste, was Hacker ausprobieren. Wähle stattdessen einen individuellen Namen und ein starkes Passwort (mit Zahlen, Sonderzeichen, Groß-/Kleinschreibung).
  Entweder nutzt du dafür einen Passwort-Manager wie Bitwarden, oder – ganz klassisch – du notierst dir dein Passwort in einem physischen Notizbuch, das du sicher aufbewahrst.
• 3. WordPress & Plugins regelmäßig aktualisieren: Veraltete Plugins, Themes oder WordPress-Versionen sind eines der häufigsten Einfallstore. Halte dein System immer aktuell. Du kannst das im WP-Backend unter „Dashboard → Aktualisierungen“ machen oder automatische Updates mit einem Plugin wie Easy Updates Manager aktivieren.
• 4. Sicherheits-Plugins verwenden: Tools wie Wordfence oder iThemes Security bieten umfassenden Schutz – z. B. Firewall, Login-Sperre nach zu vielen Versuchen und Malware-Scanner.
• 5. Regelmäßige Backups machen: Falls deine Seite doch mal gehackt oder beschädigt wird, kannst du sie mit einem Backup sofort wiederherstellen. Das Plugin UpdraftPlus ist ideal: Du kannst tägliche oder wöchentliche Sicherungen einrichten, die automatisch in der Cloud (Dropbox, Google Drive, o. ä.) gespeichert werden.
• 6. Dateiberechtigungen korrekt setzen: Auch der Server-Zugriff ist eine wichtige Sicherheitskomponente. Dateien und Ordner sollten nur so viel „Berechtigung“ bekommen, wie nötig:
  
  🔧 So stellst du das ein:
  • 📁 Ordner: 755 (Lesen, Schreiben und Ausführen für dich, Lesen & Ausführen für andere)
  • 📄 Dateien: 644 (Lesen & Schreiben für dich, Lesen für andere)
  Du kannst diese Rechte mit einem FTP-Programm wie FileZilla setzen oder über dein Hosting-Panel (z. B. Plesk oder cPanel). Falls du dir unsicher bist: Dein Hosting-Anbieter hilft dir meist gerne weiter.
• 7. XML-RPC deaktivieren: XML-RPC ist eine Schnittstelle, über die externe Dienste (z. B. Mobil-Apps oder Pingbacks) auf deine Website zugreifen können. Wird sie nicht aktiv genutzt, ist sie eine unnötige Schwachstelle. Mit dem Plugin Disable XML-RPC kannst du sie einfach deaktivieren – ohne Nebenwirkungen, wenn du keine Drittanbieteranbindungen nutzt.
• 8. HTTPS aktivieren: HTTPS verschlüsselt die Datenübertragung zwischen Besuchern und deiner Website. Die meisten Hosting-Anbieter bieten kostenlose Zertifikate von Let’s Encrypt. In der Regel kannst du SSL ganz einfach in deinem Hosting-Dashboard aktivieren.

Diese Schutzmaßnahmen sind schnell umgesetzt und machen es Angreifern deutlich schwerer. Im nächsten Abschnitt schauen wir uns an, warum es sinnvoll ist, den Namen deines verwendeten Themes zu verstecken.

WordPress Theme-Name verstecken

Viele wissen gar nicht, dass man mit wenigen Klicks herausfinden kann, welches WordPress-Theme eine Website verwendet – und genau das nutzen Hacker aus. Denn: Wenn dein Theme bekannt ist, sind damit oft auch bekannte Schwachstellen öffentlich dokumentiert.

Ein Trick, um sich besser zu schützen: Du änderst den angezeigten Namen deines Themes – so erschwerst du es Angreifern, gezielt nach Lücken zu suchen.

Und so geht’s:

• Gehe in deinem WordPress-Backend links auf Design → Theme-Datei-Editor.
• Wähle rechts die Datei style.css aus.
• Oben siehst du jetzt den Block mit Theme-Infos wie Theme Name, Author usw.
• Ändere den Wert bei Theme Name auf etwas Individuelles, z. B. „mein-custom-theme“.
• Speichern – fertig!

Wichtig: Diese Änderung ändert nur den sichtbaren Namen des Themes – sie hat keinen Einfluss auf die Funktionalität. Du kannst zusätzlich Plugins wie WP Hide & Security Enhancer verwenden, um den Theme-Pfad komplett zu verschleiern.

Theme Privacy erhöhen

Bevor du irgendetwas an den Dateien deiner Website veränderst, mach bitte ein vollständiges Backup deiner Seite. Falls du dich vertippst oder etwas kaputt geht, kannst du so alles schnell wiederherstellen. Ich empfehle dir dafür das kostenlose Plugin UpdraftPlus.

Auch wenn du den Namen deines Themes angepasst hast, kann deine Website nach wie vor technische Informationen preisgeben – zum Beispiel, welches Theme oder welche Plugins du verwendest. Und genau diese Infos helfen Angreifern. Deshalb solltest du auch hier aufräumen.

• 1. Meta-Tags im Header entfernen:
  WordPress fügt von Haus aus kleine Infos im Seitenkopf ein – z. B. die WordPress-Version. Das ist unnötig und potenziell riskant.
  
  

  So geht's:
  Melde dich in deinem WordPress-Adminbereich an und gehe zu Design → Theme-Datei-Editor. Wähle dort dein aktives Theme aus und öffne die Datei functions.php im rechten Bereich.
  
  

  füge ganz unten folgenden Code ein:

  // WordPress-Version im Seitenkopf entfernen
  remove_action('wp_head', 'wp_generator');

• 2. Zugriff auf Theme-Verzeichnisse verhindern:
  Wenn jemand in deinem Browser /wp-content/themes/dein-theme eingibt, soll er keine Liste mit Dateien sehen.
  
  So geht’s:
  Öffne dein Theme-Verzeichnis per FTP (z. B. mit FileZilla) oder über dein Hosting-Panel. Lege dort eine leere Datei mit dem Namen index.html an – dadurch wird kein Inhalt angezeigt.
  Alternativ kannst du diese Zeile in deine .htaccess einfügen (im Hauptverzeichnis deiner Seite):

  Options -Indexes

• 3. Theme-Autor & URI ausblenden:
  In der Datei style.css steht meist öffentlich sichtbar, wie dein Theme heißt und woher es stammt – das macht es Hackern leicht.
  
  So geht’s:
  Wieder unter Design → Theme-Datei-Editor, klicke rechts auf style.css. Suche nach Zeilen wie:

  Theme URI: ...
  Author URI: ...

  Du kannst diese Zeilen einfach löschen oder neutral ersetzen (z. B. durch „Privat“).
• 4. Nutze ein Plugin für erweiterten Schutz:
  Wenn du nicht direkt im Code arbeiten willst, kannst du ein Plugin wie WP Hide & Security Enhancer verwenden. Damit kannst du Pfade wie /wp-content/themes umbenennen oder komplett verbergen – ganz ohne Code.

Je weniger technische Infos deine Website preisgibt, desto schwerer wird es für Angreifer, gezielt Schwachstellen zu finden. Mach es ihnen so schwer wie möglich – und denk immer daran: Erst sichern, dann basteln.

Zwei-Faktor-Authentifizierung (2FA)

Eine der einfachsten, aber gleichzeitig effektivsten Maßnahmen zur Sicherung deiner WordPress-Seite ist die Zwei-Faktor-Authentifizierung – kurz 2FA. Ich habe sie selbst erst spät eingerichtet, und ehrlich: Das hätte ich viel früher machen sollen.

Normalerweise loggt man sich ja mit Benutzername und Passwort ein. Doch was, wenn jemand dein Passwort kennt oder es geknackt hat? Genau hier kommt 2FA ins Spiel. Du brauchst zusätzlich einen zweiten Bestätigungscode – z. B. per App oder E-Mail.

• 1. Installiere ein 2FA-Plugin:
  Ich empfehle dir das kostenlose Plugin Two-Factor. Es ist schlank, zuverlässig und kommt ohne Schnickschnack aus.
• 2. So richtest du 2FA ein:
  Nach der Installation gehst du in deinem WordPress-Dashboard auf Benutzer → Dein Profil. Dort findest du einen neuen Bereich „Zwei-Faktor-Authentifizierung“.
  Aktiviere dort z. B. die Option Time Based One-Time Password (TOTP) und scanne den QR-Code mit einer Authenticator-App wie:
  • Google Authenticator
  • Authy
  • Microsoft Authenticator
  
  Beim nächsten Login wirst du dann zusätzlich nach einem 6-stelligen Code gefragt, der sich alle 30 Sekunden ändert und den nur du auf deinem Smartphone hast.
• 3. Backup-Codes speichern:
  Notiere dir die Backup-Codes, die dir angezeigt werden, falls du mal dein Smartphone verlierst oder es defekt ist. Am besten sicher in einem Notizbuch oder Passwort-Manager.

Seit ich 2FA aktiviert habe, schlafe ich deutlich ruhiger. Selbst wenn jemand mein Passwort errät oder klaut – ohne mein Handy kommt niemand rein. Eine kleine Umstellung, die riesigen Unterschied macht.

Bonus-Tipp: Versteck deinen echten Administrator

Viele wissen es nicht – aber bei einer neuen WordPress-Installation bekommt der erste angelegte Benutzer automatisch die ID 1 und ist damit Administrator mit allen Rechten. Genau das nutzen viele Hacker aus, denn sie wissen: Wenn es eine Schwachstelle gibt, dann wahrscheinlich über diesen ersten Account.

Deshalb empfehle ich dir: Lege dir einen neuen Administrator-Zugang an und entziehe dem alten Benutzer mit der ID 1 seine Rechte. So nimmst du Hackern ihr Lieblingsziel weg – und erhöhst deine Sicherheit enorm.

• 1. Neuen Administrator anlegen:
  Gehe in deinem WordPress-Backend zu Benutzer → Neu hinzufügen. Erstelle dort einen neuen Benutzer mit einem sicheren Benutzernamen (z. B. nicht „admin“, „wp-admin“, „superuser“ etc.) und einem starken Passwort.
  
  Wähle bei Rolle den Eintrag Administrator aus und speichere den neuen Benutzer.
• 2. Mit dem neuen Admin einloggen:
  Melde dich danach mit dem neuen Benutzer an und prüfe, ob du Zugriff auf alle Einstellungen hast.
• 3. Dem alten Admin die Rechte entziehen:
  Jetzt wird's etwas technischer: Logge dich in die Datenbank deiner Website ein (z. B. via phpMyAdmin, das findest du bei den meisten Hosting-Anbietern).
  
  Navigiere zur Tabelle wp_usermeta und suche nach einem Eintrag mit der user_id = 1 und dem Wert:
  a:1:{s:13:"administrator";b:1;}
  
  Ersetze diesen Wert durch:
  a:1:{s:10:"subscriber";b:1;}
  
  Dadurch wird der ehemalige Administrator auf die Rolle „Abonnent“ heruntergestuft und kann keinerlei Schaden mehr anrichten, falls jemand diesen Zugang in die Hände bekommt.
• 4. Änderungen rückgängig machen (optional):
  Möchtest du diesen Nutzer später doch wieder als Administrator nutzen, kannst du den Wert einfach wieder auf den ursprünglichen Code setzen:
  a:1:{s:13:"administrator";b:1;}

⚠ Wichtig: Mach unbedingt ein vollständiges Backup, bevor du an der Datenbank arbeitest! Ich nutze dafür z. B. das Plugin UpdraftPlus. Damit kannst du notfalls alles mit wenigen Klicks wiederherstellen.

Dieser kleine Schritt kann einen großen Unterschied machen und wird von vielen vernachlässigt. Wenn du wirklich auf Nummer sicher gehen willst, ist das ein Geheimtipp, der dich einen Schritt weiter bringt als die Masse.

Fazit: So machst du WordPress sicher

WordPress ist ein großartiges System aber wie bei einem Haus gilt auch hier: Es ist nur so sicher wie seine Türen und Fenster. Viele Angriffe passieren nicht, weil jemand gezielt dich treffen will, sondern weil deine Website einfach angreifbar ist. Automatisierte Bots scannen täglich hunderttausende Seiten – und schlagen dort zu, wo es am leichtesten ist.

Die gute Nachricht: Du kannst mit ein paar einfachen Maßnahmen schon sehr viel erreichen. Wenn du

• deine Zugangsdaten schützt,
• regelmäßig Updates durchführst,
• 2FA aktivierst und
• unnötige technische Infos verbirgst,

… bist du vielen anderen WordPress-Websites bereits einen großen Schritt voraus.

Wenn du dich aber lieber auf dein Business konzentrieren möchtest und die Technik Profis überlassen willst kein Problem. Genau dafür bin ich da.

Deine Website in sicheren Händen

Als WordPress-Agentur biete ich dir individuelle Sicherheits-Checks, regelmäßige Wartung, schnelle Hilfe bei Angriffen und eine persönliche Betreuung deiner Website, ganz ohne Technikstress.

→ Jetzt kostenlose Beratung anfragen

Wenn du Fragen hast oder dir bei etwas unsicher bist, schreib mir einfach – ich helfe dir ehrlich und unkompliziert weiter.

Wenn dir dieser Beitrag geholfen hat, empfiehl meinen Blog gerne weiter oder hinterlasse mir eine Google-Bewertung. Das würde mich wirklich freuen und unterstützt meine Arbeit als Ein-Mann-Unternehmen. 😊

Bleib sicher
– Dein Webmeon