Impressum

Kontakt

Datenschutz

Cookie-Richtlinie (EU)

Illustration mit WordPress-Logo und Schutzschild – Beitrag WordPress absichern 2025

WordPress kostenlos absichern – schnell und zuverlässig

Geschrieben am 10. Oktober 2021 von Der Webfuchs

Akualisiert am 6. November 2025
Voraussichtliche Lesezeit 5 min

Kurzfassung:
In diesem Guide (2025) zeige ich Dir, wie Du Deine WordPress-Website kostenlos und zuverlässig absicherst – mit einfachen Plugins wie Wordfence, Two-Factor Authentication und Country Blocker.
So schützt Du Dein Backend effektiv vor Angriffen – ganz ohne technisches Vorwissen und völlig kostenlos.

Warum WordPress-Sicherheit so wichtig ist

WordPress ist ein großartiges Content-Management-System (CMS), das von Millionen Websites weltweit genutzt wird.
Diese Popularität hat jedoch auch eine Kehrseite: WordPress ist ein beliebtes Ziel für Hackerangriffe.

Zum Glück kannst Du Deine Website mit wenigen Schritten deutlich sicherer machenauch ohne Premium-Plugins oder Programmierkenntnisse.

Ist WordPress sicher?

Ja – grundsätzlich ist WordPress sicher.
Aber: Du bist selbst dafür verantwortlich, es aktuell und geschützt zu halten.
Die meisten Sicherheitslücken entstehen durch veraltete Plugins oder Themes.

👉 Wichtig:
Aktualisiere regelmäßig WordPress, Themes und Plugins – oder aktiviere automatische Updates.

Methode 1: WordPress automatisch aktualisieren

Regelmäßige Updates sind der einfachste Weg, um Sicherheitslücken zu schließen.

So aktivierst Du automatische Updates:

  1. Gehe zu Plugins → Installierte Plugins
  2. Klicke bei jedem Plugin auf „Automatische Aktualisierungen aktivieren“
  3. Wiederhole das Gleiche unter Design → Themes

💡 Tipp:
Das WordPress-Core-System führt kleinere (Wartungs- und Sicherheits-)Updates standardmäßig automatisch durch. Für große Core-Versionen (z. B. von 6.0 auf 7.0) wird die Aktivierung der automatischen Updates in der Regel über Code in der wp-config.php gesteuert. Die Ansicht unter Dashboard → Aktualisierungen zeigt Dir lediglich den aktuellen Status an.

💻 So aktivierst Du automatische Plugin-Updates:

Plugins in wordpress aktualisieren

Im Screenshot siehst Du, wo Du alle Plugins auf einmal auf automatische Updates umstellen kannst.

Methode 2: WordPress absichern mit Wordfence (kostenlos)

Das kostenlose Plugin Wordfence Security bietet einen Rundumschutz für Deine Website – inklusive Firewall, Login-Schutz und Zwei-Faktor-Authentifizierung.

Wordfence suchen, installieren und aktivieren

Firewall konfigurieren

Nach der Installation findest Du im Menü den neuen Punkt Wordfence. Beim ersten Start hilft Dir ein Assistent bei der Einrichtung.

Wordfence installieren

Nach der Installation und Aktivierung arbeitet die Wordfence-Firewall zunächst im Lernmodus (ca. 7–10 Tage).
Danach wechselt sie automatisch in den Modus „Enabled and Protecting“ – erkennbar am grünen Statusbalken.

Wordfence-Firewall im Lernmodus
Nach etwa einer Woche schaltet Wordfence automatisch auf den Schutzmodus um („Enabled and Protecting“).


💡 Während dieser Lernphase merkt sich Wordfence, wie Dein Server funktioniert, und passt die Schutzregeln an.
Du musst nichts weiter tun – die Firewall schützt Dich von Anfang an.

Brute-Force-Schutz aktivieren

Unter Wordfence → Firewall → All Firewall Options findest Du die Brute Force Protection.
Damit kannst Du festlegen, nach wie vielen falschen Login-Versuchen ein Benutzer blockiert wird.

Brute-Force-Protection konfigurieren
Hier siehst Du meine empfohlenen Werte. Diese schützen Dein Login-Formular effektiv vor automatisierten Login-Versuchen.

Empfohlene Einstellungen:

  • Lock out after how many login failures: 3
  • Lock out after how many forgot password attempts: 3
  • Immediately block IPs that try invalid usernames: aktivieren
  • Immediately block IPs that try these usernames: z. B. „admin“, „test“

Diese Einstellung schützt Dein Login-Formular zuverlässig vor automatisierten Angriffen.

Zwei-Faktor-Authentifizierung (2FA)

Die Two-Factor Authentication ist einer der wichtigsten Schutzmechanismen gegen unbefugte Zugriffe.
Du findest sie unter Wordfence → Login Security.

Zwei-Faktor-Authentifizierung aktivieren
Scanne den QR-Code mit einer Authenticator-App wie Google Authenticator oder Authy.
Danach gibst Du den 6-stelligen Code ein und speicherst Deine Recovery-Codes.

So aktivierst Du sie:

  1. Scanne den QR-Code mit einer App wie Google Authenticator oder Authy
  2. Gib den angezeigten Code ein
  3. Lade Deine Recovery-Codes herunter und bewahre sie sicher auf


💡 Tipp:
Unter Settings kannst Du zusätzlich reCAPTCHA aktivieren, um Spam-Logins zu verhindern. Beachte aber hierbei die datenschutzrechtliche Problematik.

Methode 3: IP-Adressen blockieren mit Country Blocker

Wenn Du nur Besucher aus bestimmten Ländern zulassen möchtest (z. B. aus der EU oder DACH-Region), kannst Du mit einem Plugin wie IP2Location Country Blocker gezielt Länder sperren.

Country Blocker

⚙️ So funktioniert’s:

  1. Installiere und aktiviere IP2Location Country Blocker Lite
  2. Lege einen kostenlosen Account bei IP2Location an, um einen Download-Token zu erhalten
  3. Trage diesen Token in den Plugin-Einstellungen ein
  4. Wähle die Länder aus, die Du blockieren möchtest
  5. Aktiviere die Blockierung für das Frontend und das Backend (Adminbereich)
  6. Speichere Deine Einstellungen

Länder blockieren: Wähle die Länder aus, die Du blockieren möchtest. Für rein deutschsprachige Blogs empfiehlt sich die Freigabe nur für EU-Länder.

block countries listed below

Statistik der geblockten Zugriffe: Hier siehst Du, wie viele unerwünschte Zugriffe bereits automatisch blockiert wurden.

IP2LOCATION Statistik

💡 Tipp:
Aktualisiere einmal im Monat die IP-Datenbank über Settings → Update Database, um neue IPs zu blockieren.

Bonus-Tipp: Regelmäßig prüfen & testen

  • Führe regelmäßig einen Sicherheits-Scan in Wordfence durch
  • Überprüfe, ob automatische Updates aktiv sind
  • Erneuere Deine 2FA-Codes und überprüfe Deine IP-Blocklisten
  • Erstelle regelmäßig ein Backup, bevor Du größere Änderungen vornimmst

Bonus-Tipp: Login-URL ändern (gegen Bots)

Die Login-Seite ist standardmäßig immer unter /wp-admin oder /wp-login.php erreichbar. Da Bots gezielt diesen Pfad scannen, kannst Du Brute-Force-Angriffe schlagartig auf null reduzieren, indem Du die Standard-URL änderst.

  • Tool: Das kostenlose Plugin WPS Hide Login ist die einfachste Lösung.
  • Anwendung: Installiere und aktiviere das Plugin. Gehe anschließend in die Einstellungen und definiere einen neuen, individuellen Login-Pfad (z. B. /mein-geheimer-login).

Sehr Wichtig: Merke Dir Deinen neuen Pfad gut und verwende ihn, um Dich zukünftig anzumelden!

FAQ – Häufige Fragen

Ist WordPress wirklich sicher?

Ja, wenn Du es regelmäßig aktualisierst und Sicherheitsplugins wie Wordfence nutzt.

Was kostet Wordfence?

Die kostenlose Version reicht für die meisten Websites völlig aus.

Wie verhindere ich unbefugte Logins?

Mit Brute-Force-Protection und Zwei-Faktor-Authentifizierung (2FA).

Sollte ich IP-Adressen blockieren?

Ja, besonders wenn Deine Website nur für bestimmte Regionen relevant ist. Das reduziert Spam und Bot-Zugriffe.

Was passiert, wenn ich meinen neuen Login-Pfad vergesse?

Wenn Du den neuen Pfad vergisst, wird der Standard-Login-Pfad (/wp-login.php) gesperrt. Der einfachste Weg zur Wiederherstellung ist der Zugriff per FTP auf Deine Website. Du musst dann im Ordner wp-content/plugins/ den Ordner wps-hide-login umbenennen oder löschen. Dadurch wird das Plugin deaktiviert und Du kannst Dich wieder über den Standardpfad anmelden. Alternativ kannst Du den Pfad auch direkt in der Datenbank via phpMyAdmin auslesen (Feld whl_page in der Tabelle wp_options).

Fazit: WordPress sicher halten – einfach & kostenlos

Wenn Du regelmäßig Updates installierst, Wordfence aktiv nutzt und die 2FA einrichtest, ist Deine Website bereits sehr gut geschützt – und das komplett kostenlos.
Kein System ist zu 100 % sicher, aber mit diesen einfachen Maßnahmen bist Du den meisten Angriffen immer einen Schritt voraus.

DerWebfuchs-Logo

„Der Webfuchs“ ist das Pseudonym von Stephan Bloemers. Ich baue seit den späten 90ern Websites und teile hier praxisnahe WordPress-, GeneratePress- und SEO-Tipps – ohne Blabla, dafür mit klaren Schritten und Snippets.

GeneratePress Breadcrumbs einfügen (2025) – So geht’s einfach & sicher

So änderst Du den Weiterlesen Tag in WordPress GeneratePress (2025 Guide)

Kategorien

Beliebte Artikel

WordPress lokal installieren auf Windows 10/11

25 Snippets für WordPress

Voice Search Optimierung: Tipps für sprachgesteuerte Suchanfragen auf WordPress-Seite

Bannervorlagen für lau

Wordfence Firewall-Einstellungen für Website-Sicherheit

Aktuelle Artikel

Der Webfuchs arbeitet mit

webgo
Bei Anmeldung mit folgendem Code erhältst Du einmalig 10 Euro Rabatt: IGVTAJ

RankMath

GeneratePress

seobility

WP Rocket

GenerateBlocks

Schreibe einen Kommentar