WordPress-Sicherheitscheckliste 2026 — 12 Dinge, die jede Website haben sollte | Scanthra

Scanthra · 9 Min Lesezeit · Aktualisiert Mai 2026

1. Core, Themes und Plugins auf automatische Updates setzen

WordPress 6.5+ unterstützt automatische Updates für Core, Plugins und Themes. Aktiviere alle drei. Setze in wp-config.php:

define('WP_AUTO_UPDATE_CORE', true);

Klicke dann unter Plugins für jedes aktive Plugin auf „Automatische Updates aktivieren". Ja, auch für die Premium-Plugins. Eine Stunde Regressionsrisiko pro Quartal ist besser als eine Woche damit, eine eingeschleuste Weiterleitung zu bereinigen.

2. Jedes Theme und Plugin löschen, das du nicht verwendest

Inaktive Plugins liegen noch auf der Festplatte und werden von Angreifern beim Fingerprinting deiner Website noch geparst. Der klassische „TimThumb"-Angriffsvektor lebte jahrelang in deaktivierten Themes. Wenn du es nicht verwendest, entferne das Verzeichnis vollständig aus wp-content/plugins und wp-content/themes.

3. wp-admin hinter eine zusätzliche Schutzschicht legen

Zwei effektive Optionen:

• IP-Erlaubnisliste. Wenn du dich von einem festen Büro oder VPN aus einloggst, beschränke /wp-admin und /wp-login.php auf diese IPs auf Webserver-Ebene. Fünf Zeilen nginx-Konfiguration.
• URL umbenennen oder zweiten Faktor hinzufügen. Plugins wie WPS Hide Login ändern die URL; Two-Factor (vom WordPress- Core-Team) fügt TOTP hinzu. Beide sind kostenlos.

4. Starke Passwörter erzwingen und XML-RPC deaktivieren, wenn ungenutzt

WordPress erlaubt standardmäßig Passwortwiederverwendung. Installiere Password Policy Manager oder Ähnliches, um Länge und Rotation zu erzwingen. Deaktiviere dann xmlrpc.php, wenn du es nicht speziell benötigst (z. B. für die Jetpack-App):

location = /xmlrpc.php { deny all; return 403; }

5. Die sechs Standard-Sicherheits-Header hinzufügen

HSTS (HTTPS-Erzwingung), CSP (Content Security Policy), X-Frame-Options, X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Jeder Scanthra-Bericht markiert fehlende Header. Der schnellste Weg: ein kostenloser Cloudflare-Plan mit ihrer verwalteten Transform-Regel Security Headers, oder ein Plugin wie HTTP Headers.

6. Dateibearbeitung in wp-admin sperren

In wp-config.php:

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

Das verhindert, dass ein Angreifer, der einen Admin-Cookie gestohlen hat, eine Theme-Datei bearbeiten und eine Webshell hinterlegen kann.

7. PHP-Ausführung in uploads blockieren

Eine .htaccess-Datei in wp-content/uploads:

<FilesMatch "\.(php|phtml|phar)$">
  Require all denied
</FilesMatch>

Oder das nginx-Äquivalent. Die meisten „Foto hochladen"-Exploits platzieren eine PHP-Datei, die als Bild getarnt ist. Diese eine Regel tötet diese ganze Klasse von Angriffen.

8. Einen Malware-Scanner einsetzen, der regelmäßig läuft

Wordfence (kostenlos), Sucuri SiteCheck oder das Open-Source-Tool WPScan über WP-CLI. Richte einen wöchentlichen Scan ein und lass das Ergebnis an deine E-Mail schicken. Du möchtest von einer Backdoor erfahren, bevor Google es tut.

9. Externe, automatische Backups einrichten

Ein serverbasiertes Backup ist nach einem vollständigen Kompromiss wertlos. Nutze UpdraftPlus, BackWPup oder den Snapshot-Service deines Hosters, um Backups täglich auf S3, Google Drive oder BackBlaze zu schieben. Teste das Wiederherstellen mindestens einmal pro Quartal — die meisten „Ich hatte Backups"-Geschichten enden mit „aber ich habe das Wiederherstellen nie ausprobiert".

10. SPF, DKIM und DMARC auf deiner Domain konfigurieren

Wenn deine Domain kein SPF/DKIM/DMARC hat, können Betrüger E-Mails als buchhaltung@deineshop.de fälschen. Füge die drei DNS-Einträge hinzu (wir haben einen separaten Leitfaden dazu) und beobachte, wie Phishing-Beschwerden sinken und die Zustellbarkeit deiner transaktionalen E-Mails steigt.

11. Admins vierteljährlich überprüfen

Unter Benutzer → Alle Benutzer nach Rolle sortieren. Jedes Administrator-Konto, das sich seit 90 Tagen nicht eingeloggt hat, ist eine Schwachstelle — alter Auftragnehmer, Ex-Mitarbeiter, Demo-Konto. Auf Abonnent herabstufen oder löschen. Das ist die häufigste Ursache für „Wir wissen nicht, wie die reingekommen sind"-WordPress-Vorfälle.

12. NIS2 einplanen, wenn du EU-Kundendaten verarbeitest

Die NIS2 (EU-Cybersicherheits-Richtlinie) gilt jetzt in allen 27 EU-Mitgliedstaaten durch nationale Umsetzungen (Polens Änderung in Kraft seit 3. April 2026, Deutschlands NIS2UmsuCG, Frankreichs Umsetzungsgesetz usw.). Auch wenn du unterhalb der Schwelle der „wesentlichen Einrichtung" liegst, können größere Kunden NIS2-Pflichten vertraglich an dich weitergeben — und das gilt, ob du innerhalb der EU tätig bist oder aus dem Ausland in die EU verkaufst. WordPress-Websites, die EU-personenbezogene Daten verarbeiten, sollten ein Vorfallsprotokoll führen, das Patching dokumentieren und regelmäßige Sicherheitsprüfungen durchführen. Ein kostenloser monatlicher Scanthra-Scan ist ein vernünftiger Ausgangspunkt — unser NIS2-Bereitschaftsleitfaden erklärt den Rest.

Die „Sonntagnachmittag"-Version dieser Liste

Wenn du zwei Stunden hast und maximalen Effekt willst: Erledige Punkte 1, 2, 5, 7 und 10. Diese fünf allein heben deine Website von „leicht zu kompromittieren" auf „lästig genug, dass Angreifer weiterziehen".

Wie Scanthra bei dieser Checkliste hilft

Ein Scanthra-Scan prüft Punkte 2 (offengelegte Plugin-Reste), 5 (Sicherheits- Header), 7 (PHP-Dateien in uploads), 10 (SPF/DKIM/DMARC) und weitere automatisch. Der PDF-Bericht zeigt dir, welche Punkte du bereits erfüllst — und welche Aufmerksamkeit brauchen.