
WordPress Ladezeit verbessern: 10 Sofort-Massnahmen 2026 für Schweizer KMU
Mai 24, 2026
SPF DKIM DMARC einrichten: Komplette Anleitung für Schweizer KMU 2026
Mai 30, 2026WordPress Sicherheit ist 2026 nicht mehr verhandelbar: Über 11’000 neue Schwachstellen wurden 2025 im WordPress-Ökosystem entdeckt. Schweizer KMU haben zusätzlich die revDSG-Pflicht, angemessene technische Massnahmen zu treffen. Diese 12-Punkte-Checkliste deckt die kritischsten Bereiche ab – mit konkreten Schritten, die du heute umsetzen kannst.
Warum WordPress Sicherheit für Schweizer KMU besonders wichtig ist
WordPress betreibt rund 43 % aller Websites weltweit – inklusive vieler Schweizer KMU-Sites. Diese Verbreitung macht es zum lohnenden Ziel: Brute-Force-Bots, Plugin-Exploits und Phishing-Sites suchen automatisiert nach verwundbaren Installationen.
Für Schweizer Unternehmen kommt das revidierte Datenschutzgesetz (revDSG) hinzu: Wer Personendaten verarbeitet, muss «angemessene technische und organisatorische Massnahmen» treffen. WordPress Sicherheit ist damit auch eine Compliance-Frage.
Punkt 1 – Updates konsequent einspielen
WordPress-Core, Themes und Plugins aktuell halten. Statistik: Über 60 % aller gehackten WordPress-Sites hatten ein bekanntes Update ungenutzt. Im Plesk-WP-Toolkit lassen sich automatische Updates aktivieren – machen.
Punkt 2 – Standard-Benutzername «admin» vermeiden
Der Username «admin» ist das erste Ziel jedes Brute-Force-Bots. Bei bestehenden Installationen: neuen Admin anlegen, alten «admin» löschen (Inhalte werden auf den neuen Admin übertragen).
Punkt 3 – Starke Passwörter und 2FA
Für WordPress Sicherheit gilt: mindestens 16 Zeichen, gemischt, einzigartig pro Konto. Plus Zwei-Faktor-Authentifizierung – Plugin «Wordfence» oder «Two Factor Authentication» bringt das in 10 Minuten ein. Bei Admin-Accounts ist 2FA 2026 quasi Pflicht.
Punkt 4 – Anzahl Plugins reduzieren
Jedes installierte Plugin ist ein potenzielles Einfallstor – auch wenn es inaktiv ist. Faustregel: Wenn du ein Plugin in den letzten 3 Monaten nicht aktiv genutzt hast, deinstallieren. Plus: Plugins aus dem offiziellen Repository bevorzugen, keine «Nulled»-Versionen aus zweifelhaften Quellen.
Punkt 5 – Sicherheits-Plugin installieren
Drei bewährte Optionen für WordPress Sicherheit: Wordfence (Free oder Premium), Sucuri (Premium), iThemes Security (Free oder Pro). Eines reicht – mehrere kollidieren. Standardfunktionen, die alle bieten: Login-Versuche limitieren, Datei-Integritätsprüfung, Firewall-Regeln.
Punkt 6 – Login-URL ändern
Statt der Standard-URL /wp-admin einen individuellen Pfad nutzen, z. B. /eingang-2026. Plugin «WPS Hide Login» macht das mit einem Klick. Reduziert Bot-Traffic auf der Login-Seite um 95 %.
Punkt 7 – Backups, Backups, Backups
Tägliche automatische Backups, off-site gespeichert (also nicht auf demselben Server). Plugin UpdraftPlus mit Cloud-Storage (Dropbox, Google Drive, S3) ist der Standard. Test-Restore mindestens vierteljährlich – ein Backup, das du nie wiederherstellen konntest, ist kein Backup.
Punkt 8 – SSL-Zertifikat aktiv
Browser markieren HTTP-Sites als «nicht sicher». Let’s Encrypt liefert kostenloses SSL, in Plesk in 30 Sekunden installiert. Plus: HSTS-Header aktivieren, damit Browser HTTPS erzwingen.
Punkt 9 – Dateiberechtigungen härten
Standard-Berechtigungen für WordPress Sicherheit: Verzeichnisse 755, Dateien 644, wp-config.php 600. Im Plesk-Dateimanager unter «Berechtigungen» einstellbar. Verhindert, dass Angreifer Dateien überschreiben können.
Punkt 10 – wp-config.php absichern
Die wp-config.php enthält Datenbank-Zugangsdaten und Salt-Keys. Empfohlene Härtungen: Eine Zeile oberhalb des php-Open-Tags ein .htaccess-Block, der Zugriff komplett verweigert. Plus: Authentication Keys regelmässig erneuern (im WordPress-Generator).
Punkt 11 – XML-RPC und REST-API einschränken
XML-RPC wurde historisch für mobile WordPress-Clients genutzt – heute ein populäres DDoS-Vector. Wenn du es nicht brauchst: per Plugin oder .htaccess deaktivieren. REST-API auf authentifizierte Anfragen beschränken.
Punkt 12 – Hosting mit Server-seitiger Sicherheit
WordPress Sicherheit endet nicht bei WordPress – das Hosting muss mitspielen. Achte auf: Brute-Force-Schutz am Server (Fail2Ban), Web Application Firewall (WAF), Malware-Scanner (ImunifyAV), DDoS-Schutz. Schweizer Anbieter wie die Schweizer-Domains.ch GmbH liefern diese Features standardmässig.
Was tun, wenn die WordPress Sicherheit doch verletzt wurde?
Praxisbeispiel: Ein KMU-Kunde aus dem Aargau bemerkte plötzlich Weiterleitungen auf eine fremde Seite. Diagnose: kompromittiertes Plugin. Vorgehen: 1) Site offline schalten. 2) Vom letzten sauberen Backup wiederherstellen. 3) Alle Passwörter ändern. 4) Hosting-Anbieter informieren. 5) Forensik: Welches Plugin war Ursprung? 6) revDSG: bei Datenleck-Verdacht EDÖB melden.
Häufig gestellte Fragen zur WordPress Sicherheit
Wie oft sollte ich Updates einspielen?
Sicherheitsupdates innerhalb von 24-72 Stunden nach Veröffentlichung. Feature-Updates kannst du 1-2 Wochen abwarten und auf Staging testen.
Welches Sicherheits-Plugin ist das beste?
Für die meisten Schweizer KMU reicht Wordfence Free. Bei höherem Schutzbedarf: Sucuri Premium.
Brauche ich eine WAF?
Ab gewisser Sichtbarkeit ja. Cloudflare Free oder die Sucuri/Wordfence-WAF reichen für 90 % der Schweizer KMU.
Was muss ich nach einem Hack rechtlich tun?
Wenn personenbezogene Daten betroffen sein könnten, innert 72 Stunden Meldung an den EDÖB. Plus Information der Betroffenen, falls Risiko erheblich ist.
Verwandte Artikel aus der Wissensdatenbank
- revDSG Website-Pflichten 2026 – Rechtliche Compliance-Pflichten für KMU.
- SSL Zertifikat Schweiz – Welches SSL-Zertifikat du brauchst.
- WordPress Ladezeit verbessern – Performance und Sicherheit zusammen.
Weiterführende offizielle Quellen
WordPress-Sicherheit konkret umsetzen
Das Fundament jeder sicheren WordPress-Site ist ein gültiges SSL-Zertifikat. Die Schweizer-Domains.ch GmbH liefert Let’s-Encrypt-SSL kostenlos – plus optionale OV/EV-Zertifikate für sensible Bereiche.




