Ist der DSGVO-Scan kostenlos?

Ja, 100% kostenlos. Keine Anmeldung, keine Kreditkarte, keine versteckten Kosten.

Was kostet ein DSGVO-Audit?

Das Komplett-Audit kostet €149 einmalig. Das Komplett-Paket mit Umsetzung aller Fixes kostet €399.

Was kostet eine professionelle Website?

Landingpages ab €990, Business-Websites ab €2.490, Web-Apps ab €4.990. Transparente Festpreise.

Ersetzt der Scanner einen Anwalt?

Nein. Der Scanner prüft technische Aspekte. Für rechtliche Bewertung empfehlen wir einen Fachanwalt.

Was sind die wichtigsten WordPress-Sicherheitsmaßnahmen?

Die wichtigsten Maßnahmen: regelmäßige Updates (WordPress, Themes, Plugins), starke Passwörter und 2-Faktor-Authentifizierung, Sicherheits-Plugin installieren, regelmäßige Backups, SSL-Verschlüsselung, Login-URL ändern und Dateirechte korrekt setzen.

Was tun bei einem WordPress-Hack?

Sofort: Website offline nehmen, alle Passwörter ändern, Malware-Scan durchführen, infizierte Dateien bereinigen oder aus Backup wiederherstellen, alle Plugins und Themes aktualisieren, Sicherheitslücke identifizieren und schließen.

Sicherheit16. Februar 2026· 9 Min. Lesezeit

WordPress Sicherheit 2026: 12 Maßnahmen gegen Hacker

WordPress ist mit 43% Marktanteil das beliebteste CMS der Welt — und damit auch das bevorzugte Ziel für Hacker. Über 70% aller kompromittierten Websites laufen auf WordPress. Die gute Nachricht: Mit den richtigen Maßnahmen machen Sie Ihre Website zu einer unbezwingbaren Festung.

Warum WordPress so oft gehackt wird

Nicht WordPress selbst ist unsicher — sondern veraltete Themes, Plugins und schwache Passwörter. 90% aller Hacks hätten mit den folgenden 12 Maßnahmen verhindert werden können.

Die 12 wichtigsten Sicherheitsmaßnahmen

1. Updates sofort installieren

80% aller WordPress-Hacks nutzen bekannte Sicherheitslücken in veralteter Software. Aktivieren Sie automatische Updates für WordPress Core, Themes und Plugins:

// In wp-config.php hinzufügen:
define('WP_AUTO_UPDATE_CORE', true);
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');

Wichtig: Testen Sie Updates zuerst auf einer Staging-Umgebung, um Kompatibilitätsprobleme zu vermeiden.

2. Starke Passwörter + 2FA aktivieren

Passwörter wie admin123 oderIhreFirma2026 werden in Sekunden geknackt. Nutzen Sie einen Passwort-Manager (1Password, Bitwarden) und generieren Sie Passwörter mit mindestens 20 Zeichen.

Zwei-Faktor-Authentifizierung (2FA) macht Brute-Force-Angriffe praktisch unmöglich. Empfohlene Plugins: WP 2FA oder Two Factor Authentication.

3. Admin-Benutzername ändern

Der Standard-Benutzername admin ist die erste Wahl für Brute-Force-Angriffe. Erstellen Sie einen neuen Admin-Account mit eindeutigem Namen, übertragen Sie die Rechte und löschen Sie den alten admin-Account.

4. Web Application Firewall (WAF) einrichten

Eine WAF filtert bösartigen Traffic, bevor er Ihre Website erreicht. Top-Lösungen:

• Cloudflare (kostenlos) — Schutz vor DDoS, Bot-Traffic, SQL-Injection
• Wordfence (Plugin) — Firewall + Malware-Scanner + Login-Schutz
• Sucuri (Premium) — Professionelle Firewall + DDoS-Schutz

5. Login-Versuche limitieren

Standardmäßig erlaubt WordPress unbegrenzte Login-Versuche — ein Paradies für Brute-Force-Bots. Plugin "Limit Login Attempts Reloaded": Blockiert IP-Adressen nach 3–5 Fehlversuchen für 20 Minuten.

6. wp-config.php absichern

Die wp-config.php enthält Ihre Datenbank-Zugangsdaten — eine goldene Zielscheibe. Fügen Sie in Ihre.htaccess ein:

<Files wp-config.php>
  order allow,deny
  deny from all
</Files>

Noch besser: Verschieben Sie die wp-config.php ein Verzeichnis über das WordPress-Root-Verzeichnis.

7. Datenbank-Präfix ändern

Das Standard-Präfix wp_ erleichtert SQL-Injection-Angriffe. Ändern Sie es auf etwas Zufälliges wiewp_k7m2_. Plugin "Change Table Prefix" macht das mit einem Klick.

8. Datei-Bearbeitungsrechte deaktivieren

WordPress erlaubt standardmäßig das Bearbeiten von Theme- und Plugin-Dateien direkt im Dashboard. Wenn ein Hacker Zugriff erhält, kann er damit beliebigen PHP-Code ausführen. Deaktivieren Sie es:

// In wp-config.php hinzufügen:
define('DISALLOW_FILE_EDIT', true);

9. SSL-Zertifikat aktivieren (HTTPS)

Ohne HTTPS werden Login-Daten im Klartext übertragen. Installieren Sie ein kostenloses Let's Encrypt SSL-Zertifikat und erzwingen Sie HTTPS:

// In wp-config.php vor "That's all":
define('FORCE_SSL_ADMIN', true);

10. Regelmäßige Backups

Selbst die beste Sicherheit ist kein 100%-Schutz. Automatische Backups sind Ihre letzte Verteidigungslinie. Empfohlene Plugins:

• UpdraftPlus — Backup zu Google Drive, Dropbox, S3
• BackWPup — Kostenlos, flexibel, zuverlässig
• BlogVault — Premium, Echtzeit-Backups

Backup-Strategie: Täglich inkrementell, wöchentlich vollständig, 30 Tage Aufbewahrung. Speichern Sie Backups außerhalb des Webservers.

11. Security-Monitoring aktivieren

Ohne Monitoring bemerken Sie einen Hack oft erst Tage später. Installieren Sie ein Sicherheits-Plugin mit Echtzeit-Monitoring:

• Wordfence — Live-Traffic-Monitor, Malware-Scanner
• iThemes Security — 404-Monitoring, File-Change-Detection
• Sucuri Security — Post-Hack-Analyse, Security-Hardening

12. Ungenutzte Plugins & Themes löschen

Jedes installierte Plugin ist ein potenzielles Einfallstor — auch wenn es deaktiviert ist. Löschen Sie alles, was Sie nicht aktiv nutzen. Prüfen Sie aktive Plugins auf:

• Letzte Aktualisierung (älter als 1 Jahr = Warnsignal)
• Bewertungen & Downloads (wenige Downloads = höheres Risiko)
• Bekannte Sicherheitslücken (WPScan Vulnerability Database)

Checkliste abarbeiten = 90% sicherer

Diese 12 Maßnahmen verhindern die allermeisten Hack-Versuche. Planen Sie 2–3 Stunden ein, um alles einmalig einzurichten. Danach läuft es automatisch.

Was tun bei einem Hack?

Wenn Ihre Website bereits kompromittiert wurde:

1. Website offline nehmen (Wartungsmodus oder .htaccess)
2. Alle Passwörter ändern (WordPress, FTP, Datenbank, Hosting)
3. Malware-Scan mit Wordfence oder Sucuri durchführen
4. Infizierte Dateien löschen oder aus Backup wiederherstellen
5. Alle Plugins & Themes updaten
6. Security-Maßnahmen aus diesem Artikel implementieren
7. Website testen und wieder online bringen

Zu komplex? Wir übernehmen die komplette WordPress-Sicherheit für Sie — von Hardening über Monitoring bis Notfall-Support.

Weiterführende Artikel

WordPress absichern lassen?

Wir härten Ihre WordPress-Installation nach BSI-Standards — inkl. WAF, Monitoring & 24/7 Support.

WordPress-Security beauftragen