Du bist online. Mehr Einladung brauchen Hacker nicht.

„Wird schon nix passieren.“

Das denken viele – bis es passiert.

Die Website ist plötzlich offline.
Das Kontaktformular spuckt Spam wie ein kaputter Drucker.
Oder Google schmeißt die Seite raus, weil sie als „unsicher“ gilt.
Und du stehst da mit Fragezeichen im Kopf und Bauchweh in der Brust.

Ganz ehrlich:
Du musst kein großer Online-Shop sein, kein Tech-Start-up, keine Politikerin.
Es reicht, dass du online bist.

Denn Hacker suchen nicht gezielt nach dir.
Sie suchen nach offenen Türen.
Und je kleiner dein Business, desto eher hast du die Sicherheit irgendwann mal eingeplant – zwischen Kundenprojekt und Steuerkram.
Verständlich. Aber eben riskant.

Die gute Nachricht:
Du musst kein Technik-Profi sein, um deine Website sicherer zu machen.
Was du brauchst:
→ eine klare Anleitung
→ realistische Maßnahmen
→ und das gute Gefühl, endlich den Anfang gemacht zu haben.

Genau dafür ist dieser Artikel da.
Wir schauen uns gemeinsam an:

• Was du ganz grundsätzlich tun kannst, um dich besser aufzustellen
• Welche Sicherheitsschritte du direkt im WordPress-Backend umsetzen kannst
• Und was du auf Server-Ebene noch verbessern solltest

Ohne Fachchinesisch. Ohne Panikmache. Ohne Kokolores.
Nur du, deine Website – und ein Plan, der funktioniert.

Extra für dich: 11 Schritte für eine sichere Website

Oder: Was du tun kannst, ohne gleich die ganze Seite umzubauen.

Grundsätzliche Sicherheitsschritte (außerhalb von WordPress)

Bevor wir uns ins WordPress-Backend stürzen oder am Server rumfummeln:
Ein paar der wichtigsten Stellschrauben für mehr Sicherheit liegen woanders – in deinem Alltag, deinem Umgang mit Logins und der Art, wie du Zugänge verwaltest.

1. Starke Passwörter verwenden – richtig starke!
   „Sonne123“ ist kein Passwort, sondern ein offenes Scheunentor.
   Nimm mindestens 12 Zeichen, gern mehr – und ja, ein Passwortmanager darf dein neuer BFF werden.
   Lies auch: 7 +2 Tipps für sichere Passwörter und Passwort-Manager – warum du unbedingt einen nutzen solltest
2. Zwei-Faktor-Authentifizierung aktivieren
   Der zweite Schlüssel zur Sicherheit.
   Selbst wenn jemand dein Passwort erwischt, kommt er ohne den zweiten Faktor nicht weiter.
3. Nutze für deinen Admin-Zugang eine E-Mail-Adresse, die nichts mit deinem Business zu tun hat und die nirgends auf deiner Website steht.
   Das macht es Angreifern richtig schwer – erst mal die Adresse erraten und dann noch das Passwort knacken? Viel Spaß dabei.

Sicherheitsschritte, die du im WordPress-Adminbereich umsetzen kannst

Jetzt wird’s konkret:
Hier kommen Maßnahmen, die du direkt in deinem WordPress-Dashboard erledigen kannst – ohne Programmierkenntnisse, aber mit großer Wirkung.
Mach’s dir einfach: Schritt für Schritt WordPress absichern.

4. Backup machen, bevor du irgendwas änderst.
   Backup first, Mut später. Ohne Netz kein Sprung.
   Lies auch: Backups mit UpdraftPlus – Die knackige Anleitung
5. Updates, Updates, Updates – Baby!
   Ja, ich weiß, ich wiederhole mich wie eine tibetische Gebetsmühle, aber: Plugins, Themes und WordPress selbst immer aktuell halten – und ja, bitte erst ein Backup machen, dann updaten.
   Lies auch: Warum du Updates für WordPress, Themes und Plugins machen solltest und So deaktivierst du die Auto-Updates in WordPress
6. Nur geprüfte und gepflegte Plugins & Themes installieren.
   Lieber ein bisschen weniger Spielkram, dafür keine offenen Scheunentore.
   Regelmäßige Updates = ein gutes Zeichen.
   Lies auch: 5 Tipps, wie du Plugin-Sparsamkeit umsetzt
7. Ein richtig gutes Sicherheits-Plugin installieren – konkret: NinjaFirewall.
   Schlank, DSGVO-freundlich und eine echte Firewall – keine Blender-Software mit Klingelchen dran.
8. Login-Versuche begrenzen (z. B. mit NinjaFirewall oder Limit Login Attempts Reloaded)
   Brute-Force-Attacken? Sperr sie nach dem dritten Klopfversuch einfach aus.
9. Spam-Schutz fürs Kontaktformular aktivieren
   Honeypots oder ReCaptcha helfen, dein Postfach sauber zu halten.
10. Sicherheits-Scans regelmäßig durchführen (manuell oder automatisiert via NinjaFirewall)
    Nicht warten, bis’s raucht – lieber frühzeitig merken, wenn was komisch läuft.

Sicherheitsschritte, die du serverseitig umsetzen kannst

Letzte Ebene: dein Webserver.
Hier schlummern Maßnahmen, die etwas technischer klingen – aber große Wirkung haben.
Wenn du Zugriff auf deine .htaccess-Datei oder dein Hosting-Panel hast, ist alles halb so wild.

11. Verzeichnislisten deaktivieren
    Sonst können neugierige Bots direkt auflisten, was auf deinem Server liegt.
12. Dateiberechtigungen prüfen & absichern (CHMOD)
    Nicht jeder darf alles – 644 und 755 sind gute Startwerte.
13. SSL-Zertifikat aktivieren (HTTPS)
    Sichere Verbindung = Pflicht. Ohne Schloss kein Vertrauen.
14. Admin-Benutzername unauffällig wählen
    „admin“ ist wie ein Namensschild mit Pfeil für Angreifer.
15. Datei-Editor im Backend deaktivieren
    Sonst kann Schadcode direkt per Browser eingebaut werden – keine gute Idee.
16. wp-config.php absichern (per .htaccess oder Hosting-Panel)
    Diese Datei ist Herz & Hirn deiner WordPress-Installation. Nur für deine Augen.

Abschluss: Sicherheit ist kein Projekt – sie ist ein Prozess

Wenn du gerade denkst:
„Puh. Ganz schön viel. Wo fang ich denn da an?“
Dann atme kurz durch – und erinnere dich dran:
Du musst nicht alles auf einmal umsetzen.

Es reicht, wenn du zunächst einen Schritt gehst. Heute.
Vielleicht den Spam-Schutz. Oder endlich dieses Admin-Passwort, das du seit 2017 versprichst zu ändern.

Und dann?
Dann bleib dran.

Nicht perfekt. Nicht jeden Tag.
Aber regelmäßig – mit einem kleinen Check-in, der sich nach Sicherheit anfühlt, nicht nach Stress.
Ich nenn das liebevoll den WÜV (meine Wortkreation) – dein persönliches Website-Überprüfungs-Verfahren.
Einmal im Monat, 20 Minuten.
Ohne Technikkram, einfach nur: kurz hinschauen, nachjustieren, durchatmen.

Die Haltung dazu – vom Wegducken hin zum Dranbleiben – hab ich auch in Folge 4 im Podcast thematisiert.
Vielleicht ist das dein nächster kleiner Schritt: zuhören, mitnicken, loslegen.
Ganz ohne Druck.

Denn am Ende geht’s nicht um Panik oder Perfektion.
Es geht um Haltung.
Um digitale Selbstsicherheit – Schritt für Schritt.