WordPress Sicherheitscheck: 12 Dinge, die du heute prüfen solltest

by | May 4, 2026 | WordPress Tipps

WordPress Sicherheitscheck mit Checkliste auf einem Laptop-Bildschirm

WordPress ist nicht unsicher, nur weil es WordPress ist. Aber WordPress ist beliebt. Und alles, was beliebt ist, wird automatisiert abgeklopft: veraltete Plugins, schwache Passwörter, offene Schnittstellen, vergessene Admin-Accounts, falsch gesetzte Rechte.

Die gute Nachricht: Du musst kein Security-Profi sein, um die häufigsten Risiken sichtbar zu machen.

Ein guter WordPress Sicherheitscheck beantwortet vor allem drei Fragen:

  • Gibt es offensichtliche Schwachstellen?
  • Gibt es alte oder unnötige Angriffsflächen?
  • Weißt du, was du im Ernstfall wiederherstellen kannst?

Hier ist eine praktische Checkliste, die du heute durchgehen kannst.

Der schnellste Einstieg: erst scannen, dann gezielt prüfen

Wenn du direkt starten willst, nutze zuerst einen automatischen Check. In der LetoToolbox findest du dafür unter anderem den WP Checkup und weitere kostenlose Tools für Security, SEO, DSGVO und Content.

Für WordPress-Installationen, die du regelmäßig prüfen willst, passt zusätzlich Leto SecureCheck. Das Plugin prüft typische Sicherheitsbereiche direkt in WordPress und hilft dir, Ergebnisse nicht nur zu sehen, sondern auch einzuordnen.

Illustration eines WordPress Sicherheitscheck Dashboards mit Score, Checkliste und Statuskarten

Wichtig: Ein Scan ist kein Zauberschild. Er ersetzt keine Updates, keine Backups und keine saubere Wartung. Aber er zeigt dir schnell, wo du anfangen solltest.

1. Sind WordPress, Themes und Plugins aktuell?

Der Klassiker, aber immer noch einer der wichtigsten Punkte.

Prüfe:

  • WordPress-Core aktuell?
  • Aktives Theme aktuell?
  • Installierte Plugins aktuell?
  • Gibt es Plugins, die seit langer Zeit nicht mehr gepflegt werden?

Updates schließen nicht nur Fehler, sondern oft auch bekannte Sicherheitslücken. Wenn du ein Update länger aufschiebst, wird aus einem kleinen Wartungspunkt schnell ein echtes Risiko.

Praktischer Ablauf: Backup prüfen, Updates durchführen, Seite testen.

2. Gibt es unnötige Plugins oder Themes?

Alles, was installiert ist, kann irgendwann zur Angriffsfläche werden. Auch deaktivierte Plugins und Themes liegen weiterhin auf dem Server.

Schau dir deine Installation ehrlich an:

  • Wird das Plugin wirklich noch genutzt?
  • Gibt es doppelte Funktionen?
  • Ist das Plugin noch gepflegt?
  • Liegt ein altes Theme herum, das niemand braucht?

Nicht genutzte Plugins und Themes solltest du löschen, nicht nur deaktivieren. Lass ein Standard-Theme als Fallback installiert, aber räume den Rest auf.

3. Gibt es zu viele Admin-Accounts?

Viele WordPress-Seiten haben über die Zeit mehr Administratoren, als sie brauchen. Früherer Freelancer, alte Agentur, Testnutzer, vergessener Zweitaccount.

Prüfe unter Benutzer, wer wirklich Admin-Rechte braucht.

Eine einfache Regel: So wenige Administratoren wie möglich, so viele wie nötig.

Für Redaktion, Support oder Content-Arbeit reichen oft Rollen wie Redakteur oder Autor. Adminrechte sollten die Ausnahme sein.

4. Sind Passwörter und Logins stark genug?

Schwache Passwörter sind langweilig. Genau deshalb werden sie unterschätzt.

Prüfe:

  • Nutzen Admins starke, einzigartige Passwörter?
  • Gibt es gemeinsame Accounts?
  • Wird ein Passwortmanager verwendet?
  • Ist Zwei-Faktor-Authentifizierung aktiv oder geplant?

Wenn mehrere Personen an der Seite arbeiten, sollte jede Person einen eigenen Account haben. Gemeinsame Admin-Logins sind bequem, aber später kaum nachvollziehbar.

5. Ist HTTPS sauber aktiv?

HTTPS sollte heute selbstverständlich sein. Trotzdem lohnt sich ein kurzer Blick.

Prüfe:

  • Lädt die Website vollständig über https://?
  • Werden Bilder, Skripte oder Fonts noch über http:// geladen?
  • Leitet http:// sauber auf https:// weiter?
  • Ist das Zertifikat gültig?

Mixed Content ist nicht nur unschön, sondern kann Vertrauen und Funktionalität beschädigen.

6. Funktionieren deine Backups wirklich?

Ein Backup ist erst dann ein Backup, wenn du weißt, dass du es wiederherstellen kannst.

Prüfe:

  • Gibt es automatische Backups?
  • Werden Dateien und Datenbank gesichert?
  • Liegen Backups außerhalb des Webservers?
  • Kennst du den Wiederherstellungsweg?
  • Wurde ein Restore schon einmal getestet?

Gerade bei gehackten Seiten oder fehlgeschlagenen Updates entscheidet ein gutes Backup darüber, ob du ruhig bleibst oder den Tag anders verbringst als geplant.

7. Ist der Datei-Editor deaktiviert?

WordPress hat einen eingebauten Editor für Theme- und Plugin-Dateien. In der Praxis brauchen ihn die meisten Seiten nicht.

Wenn ein Admin-Konto kompromittiert wird, kann dieser Editor zusätzlichen Schaden erleichtern. Deshalb ist es oft sinnvoll, ihn zu deaktivieren.

Typischer Eintrag in der wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Wenn du solche Einstellungen nicht von Hand schreiben möchtest, kann der wp-config Generator in der LetoToolbox helfen, passende Snippets sauber vorzubereiten.

8. Ist die wp-config.php sinnvoll geschützt?

Die wp-config.php enthält sensible Informationen, darunter Datenbankzugangsdaten und Sicherheitsschlüssel.

Prüfe:

  • Liegt die Datei nicht versehentlich öffentlich zugänglich?
  • Sind Debug-Ausgaben auf Live-Seiten deaktiviert?
  • Sind Sicherheitsschlüssel gesetzt?
  • Gibt es keine unnötigen Testwerte?

Du musst die Datei nicht ständig anfassen. Aber sie gehört zu den Stellen, die bei einem Sicherheitscheck nicht fehlen sollten.

9. Sind REST API und XML-RPC bewusst konfiguriert?

Nicht jede Schnittstelle ist automatisch ein Problem. Aber du solltest wissen, was aktiv ist.

Die REST API wird von WordPress, Plugins und modernen Funktionen genutzt. XML-RPC wird dagegen auf vielen Seiten gar nicht mehr gebraucht, kann aber für bestimmte Apps oder Integrationen noch relevant sein.

Prüfe:

  • Wird XML-RPC benötigt?
  • Gibt es auffällige Login- oder Bot-Aktivität?
  • Nutzt ein Plugin die REST API bewusst?
  • Sind sensible Informationen öffentlich sichtbar?

Nicht blind abschalten. Erst prüfen, dann entscheiden.

10. Sind Login-Seite und Benutzerinformationen unnötig sichtbar?

Viele Angriffe starten nicht besonders kreativ. Sie suchen nach bekannten Login-Pfaden, Benutzernamen und Standardmustern.

Prüfe:

  • Gibt es einen Benutzer namens admin?
  • Sind Autor-Archive öffentlich und verraten Loginnamen?
  • Gibt es Schutz gegen massenhafte Login-Versuche?
  • Werden Fehlermeldungen beim Login zu ausführlich?

Nicht jede Maßnahme muss spektakulär sein. Oft reicht es, einfache Informationen nicht unnötig zu verschenken.

11. Sind externe Dienste sauber eingebunden?

Security und Datenschutz berühren sich oft. Externe Skripte, Fonts, Tracking und Embeds können nicht nur rechtlich relevant sein, sondern auch technische Risiken schaffen.

Prüfe:

  • Werden Google Fonts lokal oder extern geladen?
  • Gibt es Tracking-Skripte, die niemand mehr nutzt?
  • Sind Cookie- und Consent-Einstellungen nachvollziehbar?
  • Laden alte Marketing- oder Chat-Tools noch im Hintergrund?

Für einen schnellen ersten Überblick kann der DSGVO Quick-Check in der Toolbox helfen. Das ersetzt keine Rechtsberatung, zeigt dir aber typische Baustellen.

12. Gibt es Monitoring oder zumindest einen festen Prüf-Rhythmus?

Ein Sicherheitscheck ist keine Einmalaktion. WordPress verändert sich: neue Plugins, neue Updates, neue Benutzer, neue Inhalte.

Lege einen einfachen Rhythmus fest:

  • wöchentlich: Updates und Backups prüfen
  • monatlich: Benutzer, Plugins und Themes prüfen
  • quartalsweise: Security-Check und größere Aufräumrunde
  • nach größeren Änderungen: extra prüfen

Das muss kein riesiger Prozess werden. Wichtig ist, dass es nicht nur passiert, wenn schon etwas kaputt ist.

Ergebnisse richtig priorisieren

Nicht jede Warnung ist gleich kritisch. Ein veraltetes Plugin mit bekannter Sicherheitslücke ist dringender als ein kosmetischer Hinweis. Ein fehlendes Backup ist gefährlicher als ein einzelner Optimierungstipp.

Arbeite in dieser Reihenfolge:

  1. Dinge beheben, die direkten Zugriff oder Datenverlust ermöglichen könnten.
  2. Updates und veraltete Komponenten erledigen.
  3. Benutzerrechte und Login-Schutz verbessern.
  4. Konfiguration und kleinere Härtungen nachziehen.
  5. Dokumentieren, was du geprüft hast.
Illustration eines WordPress Security Scores mit priorisierten Prüfergebnissen

Wenn du Leto SecureCheck nutzt, hilft dir der Security Score dabei, Ergebnisse einzuordnen. Mehr dazu findest du in der Dokumentation zu Security Score und Ergebnissen.

Kurze Checkliste zum Kopieren

Wenn du nur zehn Minuten hast, prüfe diese Punkte zuerst:

  • WordPress, Plugins und Themes aktuell?
  • Unnötige Plugins und Themes gelöscht?
  • Admin-Accounts reduziert?
  • Starke Passwörter genutzt?
  • HTTPS ohne Mixed Content aktiv?
  • Backup vorhanden und wiederherstellbar?
  • Datei-Editor deaktiviert?
  • wp-config.php sauber konfiguriert?
  • XML-RPC und REST API bewusst geprüft?
  • Login-Schutz vorhanden?
  • Externe Dienste bekannt?
  • Nächster Prüf-Termin festgelegt?

Fazit: Sicherheit beginnt mit Sichtbarkeit

Du musst deine WordPress-Seite nicht in eine Festung verwandeln. Aber du solltest wissen, wo sie offen ist, welche Teile veraltet sind und was du im Notfall wiederherstellen kannst.

Der beste Sicherheitscheck ist der, den du wirklich regelmäßig machst.

Starte deinen kostenlosen WordPress Sicherheitscheck in der LetoToolbox und erhalte nach der Registrierung Zugriff auf die Tools und Plugin-Downloads. ->