Seit 2007 · 32 langfristige Kundenpartnerschaften · WAF + Virtual Patching · Ab 11 CHF/Monat · Code-Rescue bei Notfall

WordPress-Sicherheit: Schutz vor Hackern, Malware, Datenverlust

Mehrschichtiger Schutz: WAF, 2FA, Virtual Patching, tägliche Backups. Bei akutem Hack: Code-Rescue unter 30 Minuten, auch nachts.

WordPress ist das meistgenutzte CMS der Welt und laut Sucuri das häufigste Ziel von Angriffen — über 80 % aller gehackten CMS-Websites laufen auf WordPress. Nicht weil WordPress unsicher ist, sondern weil die meisten Installationen nicht gepflegt werden. Veraltete Plugins, schwache Passwörter, fehlende Updates — das sind die Einfallstore.

Wir machen dein WordPress sicher. Präventiv, systematisch und mit laufender Überwachung.

Seit 2007 · 18+ Jahre WordPress 32 langfristige Kundenpartnerschaften WAF + Virtual Patching ab Business 99,9 % Uptime · 4-h-Recovery bei Hack Code-Rescue < 30 min bei Notfall
Sicherheits-Check anfragen WordPress gehackt? Code-Rescue

Härtungs-Pipeline

Unsere Härtungs-Pipeline im Überblick

WordPress-Sicherheit ist kein einmaliges Plugin-Install. Wir setzen auf Defense-in-Depth: mehrere Schutzschichten, die sich gegenseitig ergänzen.

// wp-hardening.yaml 
# Härtungs-Pipeline
waf:         Brute-Force + SQL-Injection blockiert
patching:    Virtual Patching vor offiziellem Update
auth:        2FA · Login-Limit · XML-RPC deaktiviert

# Monitoring
scan:        Schwachstellen-Check alle 6 Stunden
malware:     Regelmässige Schadcode-Prüfung
Pipeline · dokumentiert STATUS · AKTIV

Angriffswege

Fünf häufigste Einfallstore

Was wir präventiv schliessen — und was bei jedem WordPress-Hack als Erstes geprüft wird.

  1. Einfallstor 01

    Veraltete Plugins und Themes

    Über 50 % aller WordPress-Hacks laut Sucuri. Sobald eine Sicherheitslücke öffentlich wird, wird sie innerhalb von Stunden ausgenutzt. Lösung: Regelmässige Updates, Schwachstellen-Scan alle 6 h, Virtual Patching auf Firewall-Ebene.

  2. Einfallstor 02

    Brute-Force-Angriffe

    Tausende Login-Kombinationen pro Minute, besonders über XML-RPC. Lösung: XML-RPC deaktivieren, Login-Versuche limitieren, 2FA aktivieren, WAF vorschalten.

  3. Einfallstor 03

    Schwache Zugänge

    Einfache Passwörter, kein 2FA, unbegrenzte Login-Versuche, zu viele Admin-Accounts. Lösung: Passwort-Policy, 2FA für alle Admin-Accounts, Rollen-Review (minimale Rechte), automatische Logout-Regeln.

  4. Einfallstor 04

    Offener Code-Editor im Admin

    Standardmässig kann jeder Admin-Nutzer Theme- und Plugin-Editor aufrufen. Bei kompromittiertem Zugang: direkter Quellcode-Zugriff. Lösung: Code-Editor sperren, Admin-Zugänge härten, Benutzerrechte regelmässig prüfen.

  5. Einfallstor 05

    Fehlendes oder falsches HTTPS

    Login-Daten im Klartext, Mixed-Content-Warnungen, abgelaufene Zertifikate. Rund 40 % der KMU-Sites ohne durchgehende SSL-Verschlüsselung. Lösung: SSL-Zertifikat einrichten, HTTPS erzwingen, HSTS-Header setzen.

Zwei-Faktor-Authentifizierung (WordPress 2FA)

2FA ist die einfachste und wirksamste Massnahme gegen Account-Übernahmen. Selbst wenn dein Passwort geleakt oder erraten wird, kommt der Angreifer ohne den zweiten Faktor nicht rein.

Was wir einrichten:

  • TOTP-basierte 2FA (Google Authenticator, Authy, 1Password) — bester Kompromiss aus Sicherheit und Bedienbarkeit
  • Backup-Codes für den Fall, dass der zweite Faktor nicht verfügbar ist
  • Rollen-basierte Pflicht — mindestens für alle Admin- und Editor-Accounts
  • Magic-Link-Login als Alternative (für sehr geringe Frequenz-Zugänge)
  • Hardware-Tokens (YubiKey) auf Wunsch für kritische Accounts

WordPress 2FA kostet dich drei Minuten Einrichtung pro Account und einen Zustimmungsprozess mit deinem Team. Danach ist dein grösstes Einfallstor geschlossen.

Massnahmen-Stack

Acht Sicherheits-Bausteine

Defense-in-depth: mehrere Schutzschichten, nicht ein einzelnes Plugin.

  1. Baustein 01

    Web Application Firewall (WAF)

    Filtert bösartige Anfragen bevor sie WordPress erreichen. Brute-Force, SQL-Injections, bekannte Exploits.

  2. Baustein 02

    Schwachstellen-Scanning

    Alle 6 Stunden automatisch auf neue Plugin- und Theme-Schwachstellen.

  3. Baustein 03

    Virtual Patching

    Exploits auf Firewall-Ebene blockiert bevor offizielles Update da ist.

  4. Baustein 04

    Tägliche Backups

    Datenbank, Dateien, Medien — getestet und wiederherstellbar.

  5. Baustein 05

    Zugangs-Härtung

    2FA, sichere Passwörter, limitierte Login-Versuche, XML-RPC deaktiviert.

  6. Baustein 06

    Uptime-Monitoring

    24/7 Überwachung mit Sofort-Benachrichtigung.

  7. Baustein 07

    Security-Headers

    Content Security Policy, X-Frame-Options, Referrer-Policy, HSTS.

  8. Baustein 08

    Malware-Scans

    Regelmässige Prüfung auf versteckte Schadcode-Injektionen.

Deine WordPress-Website wurde gehackt? Sofortmassnahmen

Standardisierter Prozess in 5 Schritten:

  1. Analyse — Was ist passiert, wie sind die Angreifer reingekommen?
  2. Bereinigung — Malware entfernen, infizierten Code identifizieren und löschen
  3. Absicherung — Einfallstor schliessen, WAF aktivieren, Zugänge härten
  4. Wiederherstellung — Sauberes Backup einspielen, Funktionsprüfung
  5. Monitoring — 30 Tage erhöhte Überwachung nach dem Vorfall

Kein Raten, keine Panik. Melde dich, wir kümmern uns.

Bei akutem Notfall (Seite down, Malware aktiv, Endkunde ruft stündlich an): Code-Rescue — Reaktion < 30 Minuten, auch nachts und am Wochenende, ab 300 CHF/h.

Projektbeispiel: Malware-Rescue Handwerksbetrieb

Handwerksbetrieb · 12 MA
4,5 h Werktag-Einsatz
anonymisiert

Ausgangslage

  • Montag 7:30 Uhr: „Website zeigt fremde Inhalte"
  • Veraltetes Kontaktformular-Plugin ausgenutzt
  • Malware im Theme
  • Admin-Zugang kompromittiert
  • 400+ Spam-Seiten in der Sitemap

Was wir gemacht haben (4,5 h)

  • Notfall-Server-Zugang in 20 Min
  • Sauberes Backup vom Freitag eingespielt (2 h)
  • Alle Plugins entfernt + neu installiert (4 ohne aktuelle Version komplett raus)
  • WAF, 2FA, XML-RPC deaktiviert
  • Google Search Console „möglicherweise gehackt" geprüft + Re-Review beantragt
  • Schulung Inhaber (30 Min): Passwort-Manager, 2FA, Update-Routine
  • Übernahme in Business-Wartung (33 CHF/Monat)

Ergebnis

4,5 h
Bis sauber online
48 h
Google-Warnung weg
14 Mo.
Kein Vorfall mehr
33 CHF
Monatlich Business-Wartung

Volle Namen und Firmen nennen wir nicht (Diskretions-Versprechen).

Sicherheit als Service

Vier Wartungs-Pakete mit Security

Sicherheit ist kein Einmal-Projekt. Neue Schwachstellen wöchentlich. Unsere WordPress-Wartungspakete decken Sicherheit, Updates und Monitoring ab.

Paket 01
Starter
Basis-Schutz

Core/Plugin-Updates, monatliche Backups, Uptime-Monitoring. Basis-Härtung.

11 CHF/Monat
NETTO · MONATLICH KÜNDBAR
  • Core + Plugin + Theme Updates
  • Monatliches Backup
  • Uptime-Monitoring
  • Basis-Härtung (XML-RPC, Login-Limits)
Kleine Sites · Basis-Schutz
Starter wählen →
Paket 02
Business
Meistgewählt

Starter + WAF + Sicherheits-Scan alle 6 h + wöchentliche Backups. Erster vollständiger Schutz.

33 CHF/Monat
NETTO · MONATLICH KÜNDBAR
  • Alles aus Starter
  • Wöchentliche Backups
  • Sicherheits-Scan alle 6 h
  • Web Application Firewall
  • Performance-Check (quartalsweise)
Standard-Firmen-Websites
Business wählen →
Paket 03
Professional
Geschäftskritisch

Business + Virtual Patching + tägliche Backups + 4 h Reaktion. Für Sites bei denen Ausfallzeit Umsatz kostet.

55 CHF/Monat
NETTO · MONATLICH KÜNDBAR
  • Alles aus Business
  • Tägliche Backups
  • Virtual Patching
  • Monatlicher Performance-Report
  • Reaktion < 4 h
Lead-Gen + E-Commerce
Professional wählen →
Paket 04
Enterprise
Enterprise

Professional + Staging-Umgebung für Test-Updates + monatliche Sicherheits-Audits + Dennis direkt.

89 CHF/Monat
NETTO · MONATLICH KÜNDBAR
  • Alles aus Professional
  • Staging-Umgebung für Test-Updates
  • Monatliche Sicherheits-Audits
  • Dedizierter Ansprechpartner (Dennis direkt)
Enterprise · Multi-Site
Enterprise wählen →
Bei Notfall ausserhalb Wartung Code-Rescue als Premium-Service mit < 30 Min Reaktion auch nachts/Wochenende, 300 CHF/h pauschal. Für Wartungs-Bestandskunden ist das die Notfall-Route ausserhalb der SLA.
Code-Rescue Details →

Sorgenfrei-Zusage

99,9 % Uptime + 4-h-Recovery

Wir garantieren 99,9 % Uptime auf Wartungspaketen ab Business. Sollte deine Seite trotz unserer Betreuung durch ein Update offline gehen oder gehackt werden, stellen wir sie innerhalb von vier Arbeitsstunden kostenlos wieder her — ohne Wenn und Aber.

Keine Garantien auf Ranking, Traffic oder Besucherzahlen. Garantie gilt nur für Verfügbarkeit und Recovery-Zeit.

// SORGENFREI_ZUSAGE
4 hRecovery
bei Hack oder Update-Ausfall — kostenlos
Ab Business · 99,9 % Uptime

Über Dennis

Dennis Hüttner verantwortet WordPress-Sicherheit persönlich

Dennis Hüttner leitet Waterproof Web Wizard GmbH. Seit 2007 mit WordPress-Sicherheit befasst — von ersten Brute-Force-Wellen der 2010er bis zu heutigen automatisierten Plugin-Exploits. Reagiert auf kritische Sicherheitslücken auch ausserhalb der Geschäftszeiten.

FAQ

Häufige Fragen zur WordPress-Sicherheit

Vier direkte Antworten zu Plugins, Erkennung, 2FA, Ablauf.

Reicht ein Sicherheits-Plugin wie Wordfence?

Ein Plugin allein reicht nicht. Wordfence und ähnliche Tools sind ein Baustein, aber ohne regelmässige Updates, gehärtete Zugänge und eine externe WAF bleiben Lücken. Wir setzen auf einen mehrschichtigen Ansatz (Defense in Depth).

Wie erkenne ich, dass meine Website gehackt wurde?

Typische Anzeichen: unbekannte Dateien im Verzeichnis, ungewöhnliche Weiterleitungen, Spam-Links im Quellcode, Warnungen von Google („möglicherweise gehackt"), plötzlicher Traffic-Einbruch, fremder Content in den Google-Ergebnissen, E-Mails kommen nicht raus (Server auf Spam-Blacklist). Im Zweifel: Lass uns prüfen.

Ist 2FA wirklich notwendig?

Ja. Nahezu jeder Account-Hijack lässt sich durch 2FA verhindern. Drei Minuten Einrichtung pro Account, danach ist das grösste Einfallstor zu. Bei Wartungspaketen ab Business richten wir 2FA für alle Admin-Accounts standardmässig ein.

Wie schnell reagiert ihr bei einem Notfall?

Innerhalb der Wartungspaket-SLA (Business 24 h, Professional 4 h). Ausserhalb der SLA: Code-Rescue mit Reaktion < 30 Minuten, auch nachts und am Wochenende.

Sicherheits-Check

Kostenfreies Erstgespräch

Im Erstgespräch klären wir, ob Quick-Fixes reichen oder ein Wartungs-Retainer Sinn macht. Bei akutem Hack: direkt Code-Rescue.

Termin vereinbaren Notfall: anrufen
Ab 11 CHF/Monat WAF + 2FA + Backup Code-Rescue < 30 min