Alle BeiträgeWordPress

WordPress Sicherheit Schweiz 2026: Was Sie wirklich wissen müssen

HostBott Team09. März 2026 9 Min. Lesezeit

Stellen Sie sich vor, Sie öffnen morgens Ihren Browser und Ihre Website zeigt chinesische Werbung für Potenzmittel. Oder sie lädt gar nicht mehr. Oder schlimmer: Sie erfahren von einem Kunden, dass Ihre Kontaktseite seit Wochen ein Phishing-Formular enthält.

Das klingt extrem, passiert aber täglich, auch bei seriösen Schweizer KMU. Nicht weil diese leichtsinnig wären, sondern weil WordPress-Sicherheit ein Thema ist, das schnell komplex wird, wenn man nicht weiss, worauf es ankommt.

Dieser Artikel erklärt, wie Angriffe in der Praxis ablaufen, welche Massnahmen wirklich schützen und wann es sinnvoll ist, die technische Verantwortung abzugeben.

Warum WordPress so oft angegriffen wird

WordPress betreibt über 43% aller Websites weltweit. Das ist beeindruckend, hat aber eine Kehrseite: Wer ein Werkzeug entwickelt, das Millionen von WordPress-Installationen automatisch nach Schwachstellen absucht, hat sofort eine riesige Angriffsfläche.

Kriminelle entwickeln solche Werkzeuge. Rund um die Uhr scannen automatisierte Bots das Internet nach veralteten Plugin-Versionen, schwachen Passwörtern oder schlecht konfigurierten Servern. Das Ziel ist oft nicht einmal Ihre Website im Besonderen. Es geht darum, möglichst viele Installationen auf einmal zu kompromittieren: für Spam-Versand, Phishing, Crypto-Mining im Hintergrund oder als Sprungbrett für weitere Angriffe.

Das bedeutet für Sie: Kein Unternehmen ist zu klein, um angegriffen zu werden. Automatisierte Angriffe unterscheiden nicht zwischen einer Arztpraxis in Winterthur und einem Grosskonzern.

Wie Angriffe in der Praxis ablaufen

Bevor wir zu den Gegenmassnahmen kommen, lohnt sich ein kurzer Blick darauf, wie eine typische Kompromittierung abläuft. Das schärft das Verständnis dafür, warum bestimmte Massnahmen so wichtig sind.

Angriffsweg 1: Veraltete Plugins

Ein beliebtes Formular-Plugin hat eine Sicherheitslücke. Der Entwickler veröffentlicht ein Update. Kurz danach wird die Lücke in Sicherheitsforen dokumentiert. Innerhalb von Stunden suchen automatisierte Bots nach WordPress-Installationen, die noch die alte Version nutzen. Wer das Update nicht eingespielt hat, ist verwundbar.

Das Tückische: Es müssen nicht einmal Plugins sein, die Sie aktiv nutzen. Deaktivierte, aber nicht gelöschte Plugins sind genauso angreifbar.

Angriffsweg 2: Brute-Force auf den Login

Der Standard-Login von WordPress liegt unter /wp-login.php oder /wp-admin. Das ist allgemein bekannt. Bots probieren täglich Tausende von Passwort-Kombinationen durch, oft mit echten Datensätzen aus früheren Datenlecks.

Wenn jemand irgendwo das gleiche Passwort nutzt wie für das WordPress-Backend, ist eine erfolgreiche Anmeldung nur eine Frage der Zeit.

Angriffsweg 3: Kompromittiertes Hosting-Umfeld

Eine gut gesicherte WordPress-Installation kann trotzdem kompromittiert werden, wenn der Server selbst schlecht konfiguriert ist. Shared Hosting ohne saubere Isolation zwischen den Accounts ist ein bekanntes Problem: Ein infizierter Account kann andere Websites auf demselben Server beeinflussen.

Was 2026 neu ist: KI-gestützte Angriffe

In den letzten Jahren hat sich das Angriffsbild verändert. Kriminelle setzen zunehmend auf KI-gestützte Werkzeuge, die Schwachstellen schneller identifizieren und ausnutzen als je zuvor. Drei Entwicklungen, die Sie kennen sollten:

Supply-Chain-Angriffe auf Plugins: Statt eine Schwachstelle in einem Plugin zu suchen, kaufen oder übernehmen Angreifer beliebte, gut bewertete Plugins direkt. Der legitime Code wird mit Schadcode ergänzt. Nutzer spielen das Update ein, in der Überzeugung, ihre Sicherheit zu verbessern, und infizieren ihre Website dabei.

KI-generiertes Phishing: Ihre WordPress-Website kann als Plattform für täuschend echte Phishing-Seiten missbraucht werden. KI-generierte Inhalte machen es schwieriger, solche Seiten automatisch zu erkennen.

Credential Stuffing: Gestohlene Zugangsdaten aus Datenlecks anderer Dienste werden automatisiert gegen WordPress-Logins getestet. Wer überall das gleiche Passwort nutzt, ist besonders gefährdet.

Die Massnahmen, die wirklich schützen

Updates: Das Fundament jeder Sicherheitsstrategie

Es klingt banal, ist aber die effektivste Einzelmassnahme: Halten Sie WordPress Core, alle Plugins und Themes konsequent aktuell.

Richten Sie automatische Updates ein, wo immer möglich. Für sicherheitskritische Updates gilt: sofort. Für Feature-Updates ist es sinnvoll, sie zuerst auf einer Staging-Umgebung zu testen, um sicherzustellen, dass nichts bricht.

Regeln Sie ausserdem, welche Plugins und Themes Sie überhaupt installiert haben. Jede deaktivierte, aber nicht gelöschte Erweiterung ist ein potenzieller Angriffsvektor. Was Sie nicht brauchen, löschen Sie.

Zugangsdaten: Der zweite Schutzwall

Schwache Passwörter und der Standard-Benutzername "admin" sind die häufigsten Schwachstellen, die Brute-Force-Angriffe ausnutzen. Drei Massnahmen beheben das:

Erstens: Kein Benutzer im System sollte den Benutzernamen "admin" tragen. Legen Sie bei der nächsten Gelegenheit einen neuen Administrator-Account mit einem unverwechselbaren Benutzernamen an und löschen Sie den alten.

Zweitens: Nutzen Sie einen Passwort-Manager und generieren Sie lange, zufällige Passwörter. Ein gutes Passwort sieht in etwa so aus: f7#Kp!2nQx94m. Das kann sich niemand merken, muss es aber auch nicht.

Drittens: Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) für alle Administrator-Accounts. Selbst wenn ein Passwort kompromittiert wird, kann sich ein Angreifer ohne den zweiten Faktor (z.B. eine Authenticator-App) nicht einloggen. Plugins wie "WP 2FA" oder "Two Factor" erledigen das in wenigen Minuten.

Backups: Die letzte Verteidigungslinie

Kein Sicherheitssystem der Welt bietet hundertprozentige Garantien. Was tun, wenn es trotzdem passiert? Dann zählt ein aktuelles, funktionierendes Backup.

Ein gutes Backup-Konzept besteht aus drei Elementen:

Automatisch und täglich. Backups, die Sie manuell erstellen müssen, werden früher oder später vergessen. Richten Sie automatische tägliche Backups ein, die sowohl die Datenbank als auch alle Dateien umfassen.

Extern gespeichert. Ein Backup auf demselben Server wie die Website bietet wenig Schutz, wenn der Server selbst betroffen ist. Speichern Sie Backups extern, etwa in einem Cloud-Speicher oder bei Ihrem Hosting-Anbieter als separate Kopie.

Regelmässig getestet. Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos. Testen Sie die Wiederherstellung alle paar Monate in einer Testumgebung.

Die Login-Seite schützen

Da /wp-login.php allgemein bekannt ist, bietet es sich an, diesen Angriffspunkt zu erschweren. Zwei Massnahmen sind besonders wirksam:

Begrenzen Sie die Anzahl erlaubter Login-Versuche. Nach drei oder fünf Fehlversuchen wird die IP-Adresse temporär gesperrt. Das macht Brute-Force-Angriffe praktisch unmöglich. Das Plugin "Limit Login Attempts Reloaded" erledigt das kostenlos.

Alternativ können Sie die Login-URL komplett umbenennen. Statt /wp-admin gelangen nur Personen zum Login, die die neue URL kennen. Das Plugin "WPS Hide Login" ermöglicht das ohne technische Kenntnisse.

Sicherheits-Plugin als zentrale Schaltstelle

Ein gutes Sicherheits-Plugin fasst viele der genannten Massnahmen zusammen und fügt eine Firewall sowie kontinuierliches Monitoring hinzu.

Wordfence Security ist die meistgenutzte Lösung. Die kostenlose Version bietet eine Web Application Firewall (WAF), die bekannte Angriffsmuster blockiert, sowie einen Malware-Scanner, der Ihre Dateien regelmässig auf Schadcode prüft. Richten Sie E-Mail-Benachrichtigungen ein, damit Sie sofort informiert werden, wenn etwas Ungewöhnliches passiert.

Das Schweizer Datenschutzgesetz: Was eine gehackte Website bedeutet

In der Schweiz gilt seit September 2023 das revidierte Datenschutzgesetz (DSG). Für Unternehmen, deren Website gehackt wird, hat das direkte rechtliche Konsequenzen.

Wenn durch den Angriff Personendaten in falsche Hände geraten, handelt es sich um eine Datenpanne. Das DSG verpflichtet Sie, solche Vorfälle dem Eidgenössischen Datenschutzbeauftragten (EDÖB) zu melden, wenn ein hohes Risiko für die betroffenen Personen besteht. Die Frist beträgt 72 Stunden.

Bei vorsätzlichen Verstössen gegen das DSG drohen Bussen von bis zu CHF 250.000, gerichtet gegen verantwortliche natürliche Personen.

Das bedeutet in der Praxis: Eine gehackte Website ist nicht nur ein technisches Problem, sondern möglicherweise ein rechtliches und finanzielles. Investitionen in Sicherheit sind damit auch Investitionen in Rechtssicherheit.

Selbst umsetzen oder Managed Hosting?

Die beschriebenen Massnahmen sind alle umsetzbar, auch ohne tiefes technisches Wissen. Sie erfordern aber Zeit, Konsequenz und die Bereitschaft, sich regelmässig damit zu beschäftigen.

Für viele Schweizer KMU stellt sich die Frage: Ist das die richtige Nutzung meiner Zeit?

Managed WordPress Hosting bietet eine Alternative. Der Anbieter übernimmt die technische Verantwortung: Updates laufen automatisch, Backups werden täglich erstellt, Sicherheitsscans laufen im Hintergrund, und bei einem Problem gibt es einen direkten Ansprechpartner.

Das lohnt sich besonders dann, wenn:

  • Ihre Website geschäftskritisch ist und Ausfälle direkt Umsatz kosten
  • Sie oder Ihr Team wenig Zeit für technische Wartung haben
  • Ihr Unternehmen sensible Kundendaten verarbeitet (Arztpraxis, Anwaltskanzlei, Online-Shop)
  • Sie bereits einmal eine Sicherheitsverletzung erlebt haben und das nicht wieder möchten

Für kleinere, weniger kritische Websites ist der DIY-Ansatz mit konsequenter Umsetzung der beschriebenen Massnahmen völlig ausreichend.

Zusammenfassung: Die wichtigsten Massnahmen auf einen Blick

Wenn Sie heute nur drei Dinge tun können, dann diese:

  1. Updates aktivieren. Aktivieren Sie automatische Updates für WordPress Core, Plugins und Themes. Das ist die effektivste Einzelmassnahme.

  2. 2FA einschalten. Installieren Sie ein 2FA-Plugin und aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Administrator-Accounts.

  3. Backups einrichten. Konfigurieren Sie automatische tägliche Backups mit externer Speicherung. Das ist Ihre letzte Verteidigungslinie.

Wenn Sie darüber hinaus gehen möchten, ergänzen Sie diese Basis um ein Sicherheits-Plugin mit Firewall, Login-Schutz und regelmässige Überprüfung Ihrer installierten Plugins und Themes.

WordPress ist ein sicheres System, wenn es richtig gepflegt wird. Die meisten Angriffe sind kein Zeichen von Raffinesse, sondern das Ergebnis unterlassener Wartung. Mit den beschriebenen Massnahmen schliessen Sie die grössten Lücken und machen Ihre Website deutlich unattraktiver für automatisierte Angriffe.

Verwandte Hosting-Lösungen

Managed WordPress HostingWordPress Wartung SchweizDSG-konformes HostingWordPress Hosting Schweiz
Zurück zum Blog