Bei WordPress-Sicherheit gibt’s zwei Extreme: „Ich installiere gar nichts“ oder „Ich installiere 3 schwere Security-Suiten mit Cloud-Dashboard“. Für die meisten Business-Websites ist beides nicht ideal. Besser ist: leicht wie möglich, so schwer wie nötig.
1) Rollen & Rechte: der unterschätzte Hebel
Das beste Hardening bringt wenig, wenn jeder Admin ist. Standard-Empfehlung für Kunden:
- Kunde bekommt Redakteur, wenn er Inhalte pflegen soll
- Admin-Rechte nur, wenn wirklich nötig
- Wenn Admin nötig: möglichst nur 1–2 Admin-Konten, nicht „alle“
Warum? Weil viele „Hacks“ am Ende über schwache Zugangsdaten oder unnötige Admin-Rechte passieren.
2) 2FA für Admin-Konten (klein, aber stark)
Zwei-Faktor-Authentifizierung ist einer der größten Sicherheitshebel überhaupt.
Wichtig ist: nur für Admin(s) reicht oft schon. Für Redakteure optional.
Praxis-Tipp: Nimm ein schlankes 2FA-Plugin ohne „Security-Suite-Bauchladen“.
3) Login absichern: Rate-Limit / Lockouts
Brute-Force-Angriffe sind Alltag. Du willst:
- Login-Versuche begrenzen
- nach X Fehlversuchen sperren
- ggf. IP temporär blocken
Das kann ein kleines Plugin erledigen oder (je nach Setup) auch serverseitig.
4) XML-RPC aus (falls du’s nicht brauchst)
XML-RPC wird heute selten benötigt, kann aber eine Angriffsfläche sein. Wenn du keine alten Apps/Jetpack-Funktionen brauchst: deaktivieren.
5) WordPress File-Editor aus
Der Theme/Plugin-Editor im Backend ist praktisch, aber riskant. Ein kompromittiertes Admin-Konto kann darüber direkt Code ändern. Abschalten = sinnvoll.
6) Standard-Hardening: kleine Dinge, große Wirkung
- Verzeichnislisting deaktivieren
- sinnvolle Security-Header (wenn möglich)
- saubere Passwortregeln / Passwortmanager empfehlen
- Admin-User „admin“ vermeiden
7) Updates & Monitoring (Prozess statt Panik)
Security ist weniger ein Plugin-Thema als ein Prozess-Thema:
- Updates in Jahr 1 inklusive
- ab Jahr 2: Update-Service oder „ohne Updates auf eigenes Risiko“
- regelmäßiger Check auf auffällige Logins/Fehler
Fazit
Du musst nicht mit Kanonen auf Spatzen schießen. Mit Rollen, 2FA, Login-Schutz und ein paar Hardening-Basics bist du für die meisten Business-Websites schon sehr gut aufgestellt – ohne Performance-Kater und ohne teure Cloud-Security-Abos.