WordPress für Sicherheit und DSGVO-Konformität härten
Ein praktischer Leitfaden zur Absicherung Ihrer WordPress-Website und zur Herstellung der DSGVO-Konformität. Behandelt Server-Härtung, Plugin-Sicherheit, Datenbankverschlüsselung, Cookie-Einwilligung und europäische Hosting-Anforderungen.
WordPress betreibt über 40 % des Webs und ist damit das Ziel Nummer eins für automatisierte Angriffe. Wenn Ihre WordPress-Website europäische Nutzerdaten verarbeitet — Kontaktformulare, E-Commerce-Bestellungen, Newsletter-Anmeldungen oder Analytics — haben Sie auch DSGVO-Pflichten, die die meisten Standard-WordPress-Installationen nicht erfüllen.
Dieser Leitfaden behandelt beide Seiten: die Absicherung Ihrer WordPress-Installation gegen reale Bedrohungen und die Sicherstellung, dass sie die Anforderungen des EU-Datenschutzrechts erfüllt.
Die zwei Probleme mit der WordPress-Standardinstallation
WordPress hat im Auslieferungszustand zwei kritische Lücken:
Die Sicherheitsstandards sind schwach. Automatische Updates decken nur Minor-Releases ab, die Login-Seite ist öffentlich unter einer bekannten URL erreichbar, Dateiberechtigungen sind oft zu offen, und die meisten Hosting-Stacks überspringen grundlegende Header wie Content-Security-Policy.
DSGVO-Konformität fehlt. WordPress Core setzt Cookies, erfasst IP-Adressen in Kommentaren und bietet keinen Einwilligungsmechanismus. Plugins verschlimmern die Situation — jedes Analytics-Snippet, jeder Formular-Builder oder jedes Social Widget kann Datenübermittlungen an Dritte einführen, für die Sie rechtlich verantwortlich sind.
Die Behebung beider Probleme erfordert Änderungen auf Server-Ebene, Anwendungsebene und Plugin-Ebene.
Härtung auf Server-Ebene
Bevor Sie WordPress selbst anfassen, sichern Sie den Server ab, auf dem es läuft.
Verwenden Sie einen in Europa gehosteten Server
Wenn Ihre Zielgruppe in der EU ist, sollte Ihr Server es auch sein. Das Hosting bei einem europäischen Anbieter in einem EU-Rechenzentrum bedeutet, dass personenbezogene Daten niemals die europäische Rechtshoheit verlassen. Dies ist der einfachste Weg, komplexe internationale Datenübermittlungsmechanismen zu umgehen.
HTTPS überall erzwingen
Installieren Sie ein SSL-Zertifikat (Let's Encrypt ist kostenlos) und erzwingen Sie den gesamten Datenverkehr über HTTPS:
# .htaccess
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Security-Header hinzufügen
Fügen Sie diese zu Ihrer Nginx- oder Apache-Konfiguration hinzu:
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';" always;
Dateiberechtigungen einschränken
WordPress-Dateien sollten dem Webserver-Benutzer gehören, aber nicht weltweit beschreibbar sein:
find /var/www/wordpress -type d -exec chmod 755 {} \;
find /var/www/wordpress -type f -exec chmod 644 {} \;
chmod 600 /var/www/wordpress/wp-config.php
Die Datei wp-config.php enthält Datenbank-Zugangsdaten — sie sollte niemals von anderen Benutzern auf dem System lesbar sein.
WordPress-Anwendungshärtung
wp-config.php über das Web-Root verschieben
WordPress sucht automatisch ein Verzeichnis höher nach wp-config.php. Das Verschieben dorthin verhindert direkten Webzugriff:
mv /var/www/wordpress/wp-config.php /var/www/wp-config.php
Dateibearbeitung im Dashboard deaktivieren
Verhindern Sie, dass Angreifer, die ein Admin-Konto kompromittiert haben, Theme-/Plugin-Dateien bearbeiten:
// wp-config.php
define('DISALLOW_FILE_EDIT', true);
Die Login-URL ändern
Die Standard-Pfade /wp-admin und /wp-login.php werden von jedem Bot im Internet angegriffen. Verwenden Sie ein Plugin wie WPS Hide Login, um die URL in etwas Einzigartiges zu ändern.
Anmeldeversuche begrenzen
Installieren Sie ein Plugin wie Limit Login Attempts Reloaded oder konfigurieren Sie fail2ban auf Server-Ebene, um Brute-Force-Angriffe zu blockieren:
# /etc/fail2ban/jail.local
[wordpress]
enabled = true
filter = wordpress-auth
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600
Alles aktuell halten
Aktivieren Sie automatische Updates für Minor-Releases, Plugins und Themes:
// wp-config.php
define('WP_AUTO_UPDATE_CORE', 'minor');
add_filter('auto_update_plugin', '__return_true');
add_filter('auto_update_theme', '__return_true');
Für Major-Releases testen Sie zuerst auf einer Staging-Umgebung.
Starke Datenbank-Präfixe verwenden
Ändern Sie das Standard-Tabellenpräfix wp_ während der Installation. Wenn die Website bereits live ist, ist die Änderung schwieriger, reduziert aber die Wirksamkeit von SQL-Injection-Angriffen, die Standard-Tabellennamen voraussetzen.
DSGVO-Compliance-Checkliste
Technische Sicherheit ist nur die halbe Miete. Hier ist, was Sie für die DSGVO-Konformität benötigen:
1. Cookie-Einwilligung
Sie müssen eine ausdrückliche Einwilligung einholen, bevor nicht-essentielle Cookies gesetzt werden. Dazu gehören Analytics (Google Analytics, Matomo), Marketing-Pixel (Facebook, LinkedIn) und eingebettete Inhalte (YouTube, Google Maps).
Verwenden Sie eine Consent Management Platform (CMP), die:
- Skripte blockiert, bis eine Einwilligung erteilt wird (nicht nur ein Banner, das nichts bewirkt)
- Granulare Einwilligung pro Kategorie ermöglicht
- Einen Nachweis der Einwilligung aufzeichnet
- Eine einfache Möglichkeit bietet, die Einwilligung zu widerrufen
2. Datenschutzerklärung
Ihre Datenschutzerklärung muss auflisten:
- Welche personenbezogenen Daten Sie sammeln und warum
- Die Rechtsgrundlage für jede Verarbeitungstätigkeit
- Wer die Daten erhält (Hosting-Anbieter, E-Mail-Dienst, Analytics)
- Wie lange Sie Daten aufbewahren
- Wie Nutzer ihre Rechte ausüben können (Auskunft, Löschung, Datenübertragbarkeit)
3. Kontaktformulare und Kommentare
Jedes Formular, das personenbezogene Daten erhebt, benötigt:
- Einen Link zu Ihrer Datenschutzerklärung
- Eine Einwilligungs-Checkbox (für Marketing-Kommunikation)
- Datenminimierung — erheben Sie nur, was Sie tatsächlich benötigen
Für WordPress-Kommentare sollten Sie erwägen, sie zu deaktivieren oder eine selbst gehostete Lösung anstelle von Disqus zu verwenden (welches Daten in die USA überträgt).
4. Analytics ohne Drittanbieter-Übermittlungen
Google Analytics überträgt Daten an US-Server, was nach dem Schrems-II-Urteil DSGVO-Komplikationen erzeugt. Alternativen:
- Matomo (selbst gehostet) — vollständige Analytics, Daten bleiben auf Ihrem Server
- Plausible (EU-gehostet) — leichtgewichtig, datenschutzfreundlich
- Fathom — einfache Analytics mit EU-Datenresidenz-Option
5. E-Mail- und Newsletter-Compliance
Wenn Sie Mailchimp oder ähnliche US-basierte Dienste nutzen, übermitteln Sie Abonnentendaten außerhalb der EU. Erwägen Sie europäische Alternativen wie Brevo (ehemals Sendinblue) oder selbst gehostete Lösungen wie Listmonk.
6. Recht auf Löschung
WordPress 4.9.6+ enthält ein eingebautes Tool zum Datenexport und zur Datenlöschung unter Werkzeuge > Persönliche Daten exportieren/löschen. Stellen Sie sicher, dass es funktioniert und alle Plugins abdeckt, die Nutzerdaten speichern.
Plugin-Sicherheitsaudit
Plugins sind die größte Angriffsfläche in WordPress. Befolgen Sie diese Regeln:
- Entfernen Sie ungenutzte Plugins — selbst deaktivierte Plugins können ausgenutzt werden
- Prüfen Sie den Ruf des Plugins — achten Sie auf das Datum des letzten Updates, aktive Installationen und die Aktivität im Support-Forum
- Prüfen Sie die Datenflüsse des Plugins — sendet das Plugin Daten an externe Server? Prüfen Sie die Datenschutzerklärung des Plugins
- Minimieren Sie Plugins — jedes Plugin ist eine potenzielle Schwachstelle. Wenn Sie dasselbe Ergebnis mit ein paar Zeilen in
functions.phperreichen können, tun Sie das stattdessen
Datenbank-Backups und Disaster Recovery
Sichern Sie Ihre Datenbank täglich und speichern Sie Backups an einem separaten EU-Standort:
mysqldump -u wp_user -p wordpress_db | gzip > \
/backups/wp_$(date +%F).sql.gz
Testen Sie Ihren Wiederherstellungsprozess regelmäßig. Ein Backup, das Sie nie getestet haben, ist kein Backup.
Wenn WordPress-Sicherheit zum Vollzeitjob wird
WordPress sicher und DSGVO-konform zu halten ist keine einmalige Aufgabe. Es erfordert laufende Überwachung, Patching, Plugin-Audits, Zertifikatserneuerungen und Backup-Überprüfung. Für viele Unternehmen ist dieser betriebliche Aufwand nicht tragbar — besonders wenn ein einziges verpasstes Update zu einer Sicherheitslücke oder einem Compliance-Verstoß führen kann.
Alplink bietet vollständig verwaltetes WordPress-Hosting auf souveräner europäischer Infrastruktur. Wir kümmern uns um Sicherheitshärtung, automatische Updates, tägliche Backups, DSGVO-konforme Server-Konfigurationen und 24/7-Monitoring — alles auf NixOS für reproduzierbare, auditierbare Deployments. Ihre Daten bleiben in Europa, Ihre Website bleibt sicher, und Sie bleiben auf Ihr Geschäft fokussiert. Mehr erfahren auf alplink.eu.