· Rexoma Team · IT-Sicherheit  · 5 min read

WordPress-Sicherheit für KMU: Website absichern und Angriffe abwehren

Über 40 Prozent aller Websites laufen auf WordPress – und sind damit im Visier von Angreifern. Wie KMU ihre WordPress-Website systematisch absichern.

Über 40 Prozent aller Websites laufen auf WordPress – und sind damit im Visier von Angreifern. Wie KMU ihre WordPress-Website systematisch absichern.

Über 40 Prozent aller Websites weltweit laufen auf WordPress – darunter unzählige KMU-Websites in Deutschland. Diese Verbreitung macht WordPress zu einem bevorzugten Ziel für Angreifer: Ein einziges kompromittiertes Plugin kann reichen, um eine Website vollständig zu übernehmen, Kundendaten zu stehlen oder das Google-Ranking dauerhaft zu ruinieren. Wer seine WordPress-Website nicht aktiv absichert, riskiert Bußgelder nach DSGVO, Betriebsunterbrechungen und nachhaltigen Reputationsschaden.

Warum WordPress-Websites von KMU besonders gefährdet sind

Der Hauptangriffspunkt liegt selten im WordPress-Kern selbst, sondern bei Plugins und Themes. Anfang Juni 2026 wurde bekannt, dass das weit verbreitete Analyse-Plugin “Burst Statistics” mit über 100.000 aktiven Installationen eine kritische Schwachstelle enthält – Angreifer konnten betroffene Websites vollständig übernehmen, ohne Zugangsdaten zu kennen.

Für KMU entstehen daraus drei konkrete Risiken:

  • Datenverlust: Kundendaten, Kontaktformular-Einträge und interne Dokumente können ausgelesen oder verschlüsselt werden.
  • DSGVO-Konsequenzen: Datenpannen müssen binnen 72 Stunden gemeldet werden – Unterlassen zieht empfindliche Bußgelder nach sich.
  • Reputationsschaden: Wird eine Website zur Schadcode-Verteilung missbraucht, zeigt Google eine Warnseite – das schreckt Besucher dauerhaft ab.

Die häufigsten Angriffsvektoren

Veraltete Plugins und Themes sind die Nummer eins. Angreifer scannen das Internet automatisiert nach bekannten CVEs – nicht in Tagen, sondern in Minuten nach Veröffentlichung einer Schwachstelle.

Schwache Passwörter und fehlendes MFA: Benutzernamen wie “admin” kombiniert mit einfachen Passwörtern sind das erste, was Brute-Force-Tools systematisch durchprobieren.

Unsichere Hosting-Umgebungen: Shared-Hosting ohne Isolation kann dazu führen, dass eine kompromittierte Website andere Kunden auf demselben Server angreift.

Offene XML-RPC-Schnittstelle: Diese oft unbekannte WordPress-Schnittstelle wird für Brute-Force-Angriffe und DDoS-Amplifikation ausgenutzt – obwohl sie für die meisten KMU-Websites überflüssig ist.

WordPress absichern: Schritt-für-Schritt für KMU

Schritt 1: Updates sofort und konsequent einspielen

WordPress, alle Plugins und alle Themes müssen lückenlos aktuell sein. Aktivieren Sie automatische Sicherheits-Updates für kleine Versionsnummern. Für größere Versions-Sprünge gilt: auf einer Staging-Umgebung testen, dann innerhalb von 24 Stunden produktiv einspielen.

Konfiguration in der wp-config.php:

define( 'WP_AUTO_UPDATE_CORE', true );

Schritt 2: Plugin-Inventur und Bereinigung

Jedes installierte Plugin – auch deaktivierte – ist eine potenzielle Angriffsfläche. Deinstallieren Sie alles, was Sie nicht aktiv verwenden. Kriterien für vertrauenswürdige Plugins:

  • Letztes Update: nicht älter als sechs Monate
  • Aktive Installationen: Je mehr Nutzer, desto schneller werden Lücken gemeldet und gepatcht
  • Bekannter Entwickler oder etabliertes Unternehmen hinter dem Plugin

Schritt 3: Login härten

  • Benutzernamen ändern: Legen Sie einen neuen Admin-Benutzer an, löschen Sie den alten Nutzer “admin” vollständig.
  • Starkes Passwort: Mindestens 16 Zeichen, zufällig generiert – am besten mit einem Passwortmanager wie Bitwarden.
  • Zwei-Faktor-Authentifizierung: Das Plugin “WP 2FA” ergänzt den Login um einen TOTP-Code aus einer Authenticator-App.
  • Login-Versuche begrenzen: “Limit Login Attempts Reloaded” sperrt IP-Adressen nach einer konfigurierbaren Anzahl von Fehlversuchen automatisch.

Schritt 4: XML-RPC deaktivieren

Sofern Sie keine externe App benötigen, die auf XML-RPC angewiesen ist, blockieren Sie die Schnittstelle in der .htaccess:

<Files xmlrpc.php>
  Order Deny,Allow
  Deny from all
</Files>

Den REST-API-Zugriff für nicht authentifizierte Besucher können Sie zusätzlich einschränken, wenn Ihre Website ihn nicht benötigt.

Schritt 5: Sicherheits-Plugin einsetzen

Ein dediziertes Sicherheits-Plugin übernimmt viele Aufgaben automatisiert. Bewährte Optionen für KMU:

  • Wordfence: Web Application Firewall, Malware-Scanner, Login-Schutz – die kostenfreie Version reicht für die meisten KMU aus.
  • Solid Security (ehemals iThemes Security): Umfangreich konfigurierbar, gut dokumentiert.
  • Sucuri Security: Stärken liegen bei Malware-Erkennung und Blacklist-Monitoring.

Wichtig: Ein Sicherheits-Plugin ersetzt keine konsequente Update-Strategie, ist aber eine wertvolle zusätzliche Schutzschicht.

Schritt 6: Backups einrichten

Kein Sicherheitskonzept ist vollständig ohne zuverlässige Datensicherung. Empfohlene Strategie:

  • Tägliche automatische Backups aller Dateien und der Datenbank
  • Speicherung auf einem externen Speicher – nie auf demselben Server
  • Monatliche Wiederherstellungstests: wer nie testet, merkt erst im Ernstfall, dass das Backup defekt ist

Geeignete Plugins: UpdraftPlus oder BackWPup mit Anbindung an SFTP, S3 oder eine Nextcloud-Instanz.

Schritt 7: HTTPS erzwingen und Security Headers setzen

TLS ist heute Pflicht. Ergänzend sollten folgende HTTP-Security-Header aktiv sein:

Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
Referrer-Policy: strict-origin-when-cross-origin

Diese Header lassen sich über die .htaccess, das Hosting-Panel oder das WordPress-Plugin “HTTP Headers” setzen. Mit dem kostenlosen Tool securityheaders.com prüfen Sie Ihre aktuelle Konfiguration in Sekunden.

Hosting-Wahl: Shared Hosting vs. eigener Server

Für KMU in Sachsen, die ihre Website professionell betreiben wollen, lohnt sich ein Blick auf die Hosting-Infrastruktur. Shared Hosting ist preiswert, bietet aber wenig Isolation. Ein eigener Linux-Server oder ein Managed VPS ermöglicht:

  • Vollständige Kontrolle über PHP-Version und Server-Konfiguration
  • Isolation gegenüber anderen Websites
  • Eigene Firewall-Regeln
  • DSGVO-konforme Datenspeicherung in deutschen Rechenzentren

Viele ostdeutsche KMU unterschätzen die Vorteile eines eigenen Servers. Die laufenden Kosten sind heute überschaubar – der Sicherheits- und Kontrollgewinn ist erheblich.

Wann ist ein professionelles Sicherheits-Audit sinnvoll?

Ein IT-Sicherheitsaudit deckt auf, was automatisierte Scans übersehen:

  • Custom-Code in Theme-Anpassungen und selbst entwickelten Plugins
  • Fehlkonfigurationen auf Server-Ebene
  • Datenschutz-Schwachstellen, die bei einer DSGVO-Prüfung teuer werden
  • Zugriffsrechte und Benutzerrollen, die über die Jahre angewachsen sind

Sie suchen Unterstützung in Dresden? Rexoma IT hilft KMU in Sachsen bei der systematischen Absicherung von WordPress-Websites, der Einrichtung sicherer Server-Infrastrukturen und der Durchführung professioneller IT-Sicherheitsaudits. Sprechen Sie uns an – wir analysieren Ihre Situation und empfehlen konkrete Maßnahmen ohne Umwege.


FAQ: WordPress-Sicherheit für KMU

Muss ich jedes Plugin-Update sofort einspielen? Ja – und zwar so schnell wie möglich. Die meisten Angriffe erfolgen innerhalb von Stunden nach Bekanntwerden einer Schwachstelle, weil Angreifer gezielt nach nicht gepatchten Installationen suchen. Auf einer Staging-Umgebung können Sie kritische Updates vorab testen.

Reicht ein Sicherheits-Plugin aus, um meine Website zu schützen? Nein. Ein Sicherheits-Plugin ist eine wichtige Schutzschicht, ersetzt aber keine konsequente Update-Strategie, keine starken Passwörter und kein Backup-Konzept. Sicherheit entsteht immer aus dem Zusammenspiel mehrerer Maßnahmen.

Was kostet mich eine gehackte WordPress-Website wirklich? Die direkten Kosten für Bereinigung und Wiederherstellung liegen oft bei mehreren hundert Euro. Hinzu kommen mögliche DSGVO-Bußgelder bei Datenverlust, Imageschäden durch Google-Warnhinweise und Betriebsunterbrechungen. Präventive Maßnahmen sind nahezu immer günstiger.

Ist WordPress für KMU überhaupt empfehlenswert? Ja – wenn es sorgfältig betrieben wird. WordPress bietet ein enormes Plugin-Ökosystem und eine aktive Community. Entscheidend ist nicht das CMS selbst, sondern wie diszipliniert Updates eingespielt, Plugins ausgewählt und der Zugang gesichert werden.

Wie oft sollte ich auf Malware scannen? Mindestens wöchentlich automatisiert. Wordfence bietet geplante Scans kostenlos an. Nach jedem Plugin-Update empfiehlt sich ein zusätzlicher manueller Scan – besonders bei Plugins mit breitem Funktionsumfang.

Back to Blog

Related Posts

View All Posts »