Alle Artikel
SecurityCompliance

WordPress-Sicherheits-Härtungs-Checkliste für 2026

e
erdincbulat
July 11, 2026
10 Min. Lesezeit
Erdo CRA Compliance

Die Kernaussage: WordPress-Härtung ist keine einzelne Korrektur, sondern eine mehrschichtige Checkliste über Zugriffskontrolle, Software-Hygiene, Serverkonfiguration, Netzwerkschutz und laufendes Monitoring — jede Schicht schließt eine andere Risikokategorie, und das Auslassen einer Schicht hinterlässt eine Lücke, die die anderen nicht abdecken.

Warum eine Checkliste, keine einzelne Korrektur

Die spezifischen Schwachstellen, die WordPress-Sites tatsächlich kompromittieren — veraltete Plugins, schwache Zugangsdaten, SQL-Injection, XSS, XML-RPC-Missbrauch — haben wir in unserem Leitfaden zu häufigen WordPress-Schwachstellen behandelt. Härtung ist das proaktive Gegenstück: eine strukturierte Reihe von Konfigurationsentscheidungen, die die Angriffsfläche reduziert, bevor eine bestimmte Schwachstelle überhaupt ins Spiel kommt, hier nach Schicht geordnet, damit nichts übersehen wird.

Zugriffskontrolle härten

  • Zwei-Faktor-Authentifizierung für jedes Konto mit Veröffentlichungs- oder Admin-Zugriff erzwingen, nicht nur für den primären Administrator.
  • Least-Privilege-Rollen anwenden — jedem Benutzer (und jedem Kunden, falls die Site agenturverwaltet ist) die niedrigste WordPress-Rolle geben, die die tatsächliche Arbeit ermöglicht, statt standardmäßig jeden zum Administrator zu machen.
  • Ungenutzte Konten sofort entfernen, wenn ein Teammitglied oder eine Kundenbeziehung endet, statt ein ruhendes Konto mit bestehendem Zugriff zu belassen.
  • Login-Versuche begrenzen, um automatisierte Brute-Force-Tools zu verlangsamen, die auf wp-login.php abzielen.
  • Den standardmäßigen "admin"-Benutzernamen umbenennen oder einschränken, falls er noch verwendet wird, da er der erste Benutzername ist, den automatisierte Angriffe ausprobieren.

Kern-, Plugin- und Theme-Hygiene

  • Automatische Updates aktivieren für WordPress-Kern, Plugins und Themes, wo immer das Update ein geringes Regressionsrisiko birgt, und den Rest auf einer Staging-Kopie testen, bevor er in Produktion geht.
  • Installierte Plugins vierteljährlich prüfen, alles entfernen, was nicht aktiv genutzt wird — ein inaktives Plugin mit bekannter Schwachstelle kann in manchen Angriffsketten selbst dann noch ausgenutzt werden, wenn es deaktiviert ist.
  • Die Schwachstellenhistorie und Wartungsaktivität eines Plugins prüfen, bevor es installiert wird, und aktiv gepflegte Plugins mit sauberer Offenlegungshistorie gegenüber verlassenen bevorzugen.

Server- und Dateiebenen-Härtung

  • Dateiberechtigungen auf 644 für Dateien und 755 für Verzeichnisse setzen, gemäß WordPress' eigener Härtungsdokumentation, wobei wp-config.php idealerweise noch stärker abgesichert werden sollte, da sie Datenbank-Zugangsdaten direkt enthält.
  • Dateibearbeitung im wp-admin deaktivieren, indem define('DISALLOW_FILE_EDIT', true); zur wp-config.php hinzugefügt wird, was den eingebauten Theme-/Plugin-Editor entfernt, der einem Angreifer mit Admin-Zugriff einen direkten Weg zur Codeausführung gibt.
  • Verzeichnisauflistung auf dem Server deaktivieren, damit ein falsch konfigurierter Ordner keine rohe Dateiliste an jeden preisgibt, der sie direkt anfordert.
  • Das standardmäßige Datenbank-Tabellenpräfix (wp_) ändern, während der Installation oder über ein Migrationstool, was eine Annahme entfernt, auf die manche automatisierten SQL-Injection-Versuche setzen.
  • XML-RPC deaktivieren, es sei denn, ein bestimmtes Plugin (meist Jetpack) oder eine App benötigt es aktiv.

Netzwerkebenen-Schutz

  • HTTPS sitenweit erzwingen, allen HTTP-Traffic umleiten, da eine unverschlüsselte Verbindung Login-Zugangsdaten und Sitzungs-Cookies für jeden im selben Netzwerk offenlegt.
  • Eine Web Application Firewall (WAF) hinzufügen, entweder über einen CDN-Dienst oder ein Sicherheits-Plugin, um bekannte Angriffsmuster zu blockieren, bevor sie WordPress selbst erreichen.
  • Sicherheits-Header setzen — Content-Security-Policy, X-Frame-Options und Strict-Transport-Security —, die die meisten CDNs und einige Sicherheits-Plugins anwenden können, ohne WordPress' eigenen Code zu berühren.

Monitoring, Protokollierung und Backups

  • Dateiintegritätsüberwachung aktivieren, sodass eine unerwartete Änderung an einer Kerndatei oder eine unbekannte Datei in wp-content einen Alarm auslöst, statt unbemerkt zu bleiben.
  • Regelmäßige Malware-Scans planen, mit einem Sicherheits-Plugin oder einem externen Scan-Dienst, statt erst zu prüfen, wenn etwas bereits verdächtig aussieht.
  • Automatisierte, externe Backups in einem Zeitplan führen, der zur tatsächlichen Änderungsfrequenz der Site passt, und regelmäßig testen, dass ein Backup tatsächlich wiederherstellt, statt es anzunehmen.
  • Einen Schwachstellen-Feed wie WPScan oder Patchstack abonnieren, sodass eine neu offengelegte Plugin-Schwachstelle innerhalb von Stunden bekannt ist, nicht erst nach der Ausnutzung entdeckt wird.

Vollständige Checkliste auf einen Blick

Kategorie Wichtigste Maßnahmen
Zugriffskontrolle 2FA, Least-Privilege-Rollen, ungenutzte Konten entfernen, Login-Versuche begrenzen
Software-Hygiene Auto-Updates, vierteljährliches Plugin-Audit, Schwachstellenhistorie vor Installation prüfen
Server-/Dateikonfiguration 644/755-Berechtigungen, Dateibearbeitung deaktivieren, Verzeichnisauflistung deaktivieren, Tabellenpräfix ändern, XML-RPC deaktivieren
Netzwerkschutz HTTPS erzwingen, eine WAF hinzufügen, Sicherheits-Header setzen
Monitoring & Backups Dateiintegritätsüberwachung, geplante Malware-Scans, getestete externe Backups, Schwachstellen-Feed-Abo

Die Compliance-Seite: Härtung ist nicht nur ein sicherheitliches Nice-to-have

Für Agenturen und Unternehmen, die in der EU tätig sind, überschneiden sich Härtungsmaßnahmen zunehmend mit regulatorischen Pflichten, statt reine optionale Best Practice zu sein. Der EU Cyber Resilience Act verlangt von Herstellern von Produkten mit digitalen Elementen — was unter bestimmten Bedingungen auch kommerzielle WordPress-Plugins und -Themes einschließt —, grundlegende Cybersicherheitsanforderungen zu erfüllen und die Offenlegung von Schwachstellen während der gesamten Produktlebensdauer verantwortungsvoll zu handhaben, nicht nur zum Launch.

Die oben genannten technischen Härtungsschritte (Updates, Zugriffskontrolle, Schwachstellenüberwachung) unterstützen direkt die Sicherheitsseite dieser Verpflichtung, wobei vollständige Compliance zusätzlich separate Dokumentation erfordert — eine Richtlinie zur Offenlegung von Schwachstellen, eine Software-Stückliste (SBOM) und Konformitätsaufzeichnungen —, die Härtung allein nicht erzeugt. Genau diese Lücke soll unser Erdo CRA Compliance-Plugin schließen helfen: eine Site gegen CRA-, DSGVO- und NIS2-Anforderungen scannen und die Dokumentation erstellen, die eine Härtungs-Checkliste allein nicht abdeckt.

Häufige Härtungsfehler

  • Härtung als einmalige Einrichtungsaufgabe behandeln statt als wiederkehrende Überprüfung, wodurch Benutzerkonten und Plugin-Listen über Monate aus einem sicheren Zustand abdriften.
  • Ein Sicherheits-Plugin installieren und die Checkliste für abgeschlossen halten, während serverseitige Dateiberechtigungen und Zugriffskontrollentscheidungen weiterhin unabhängig behandelt werden müssen.
  • Die Live-Site direkt härten für Änderungen wie das Deaktivieren der Dateibearbeitung oder das Einschränken von Berechtigungen, ohne zuerst auf Staging zu testen, falls ein Plugin von der deaktivierten Funktionalität abhängt.
  • Nie testen, dass Backups tatsächlich wiederherstellen, ein beschädigtes oder unvollständiges Backup erst während eines echten Vorfalls entdecken.
  • Alle Härtungsschritte außer Updates anwenden, während veraltete Software der mit Abstand am häufigsten ausgenutzte Einstiegspunkt bleibt, egal wie gehärtet alles andere ist.

Zusammenfassung

Kurz gesagt: WordPress-Härtung funktioniert als mehrschichtige Checkliste statt als einzelne Maßnahme — Zugriffskontrolle, Software-Hygiene, Serverkonfiguration, Netzwerkschutz und laufendes Monitoring schließen jeweils eine andere Risikokategorie, und bei EU-ausgerichteten Sites dienen mehrere dieser Schritte inzwischen als Grundlage für regulatorische Compliance statt als optionale Best Practice. Die vollständige Liste vierteljährlich zu überprüfen, statt sie einmal einzurichten und anzunehmen, dass sie hält, ist das, was eine gehärtete Site mit der Zeit tatsächlich gehärtet hält.

Kostenloses WordPress-Plugin

Erdo CRA Compliance

EU Cyber Resilience Act, DSGVO- & NIS2-Compliance-Scanner für WordPress.

Häufig gestellte Fragen

Weitere Artikel

SecurityCompliance

Häufigste WordPress-Sicherheitslücken und wie man sie schließt

9 Min. Lesezeit
SecurityCompliance

Was ist security.txt und wie fügt man es zu WordPress hinzu

5 Min. Lesezeit