Sicherheits-Plugins für WordPress: Welche wirklich helfen

Eine Systemadministratorin überprüft an einem Terminal die Sicherheitsbewertungen aktiver WordPress-Plugins.

Von Manuel Hack, ihp media · Aktualisiert am 20. Juni 2026

Das Wichtigste in 30 Sekunden

  • Ein Sicherheits-Plugin ist ein sinnvolles Werkzeug, aber kein Ersatz für aktuelle Software, ein funktionierendes Backup und sicheres Hosting.
  • Die vier Funktionen mit echtem Schutzwert: Login-Absicherung, Dateiintegritätsprüfung, Web Application Firewall und Malware-Scan.
  • Wordfence Free verzögert neue Firewall-Regeln und Malware-Signaturen gegenüber der Premium-Version um 30 Tage. Bei Shops oder sensiblen Daten ist das relevant.
  • 96 Prozent der 2024 entdeckten WordPress-Schwachstellen lagen in Plugins, nicht im Kern. Regelmäßige Updates bleiben die wirksamste Einzelmaßnahme.

Über fünf Millionen WordPress-Installationen nutzen allein Wordfence. Das zeigt, wie groß der Wunsch nach zusätzlichem Schutz ist. Und dieser Wunsch ist berechtigt: Laut dem Patchstack State of WordPress Security Report 2025 wurden 2024 rund 7.966 neue Schwachstellen im WordPress-Ökosystem gefunden, also durchschnittlich 22 pro Tag. Davon lagen 96 Prozent in Plugins und Themes, nur sieben im Kern selbst. Diese Zahlen machen klar, dass Sicherheits-Plugins einen Teil des Problems adressieren. Aber eben nur einen Teil.

Welche Funktionen wirklich schützen, welches Plugin für welchen Fall passt und wo die Grenze dieser Werkzeuge liegt, klären die folgenden Abschnitte.

Was ein Sicherheits-Plugin leisten kann und was nicht

Kurz gesagt: Ein Sicherheits-Plugin arbeitet auf der Anwendungsebene von WordPress. Es kann Anmeldeversuche begrenzen, Dateiveränderungen erkennen, bekannte Angriffsmuster abfangen und Malware-Signaturen prüfen. Was es nicht kann: eine unsichere Serverumgebung kompensieren, veraltetes PHP absichern oder ein fehlendes Backup ersetzen.

Eine einfache Analogie: Ein Schloss an der Wohnungstür schützt vor dem opportunistischen Einbrecher. Es hilft nicht, wenn die Hausverwaltung vergessen hat, das Kellerfenster zu verglasen. Sicherheits-Plugins sind das Schloss, keine komplette Alarmanlage.

Was konkret in den Schutzbereich fällt:

  • Angriffe auf die Anmeldeseite (Brute Force, Credential Stuffing) begrenzen
  • Bekannte Schadcode-Signaturen in Dateien erkennen
  • Häufige Angriffsklassen wie SQL-Injection und Cross-Site-Scripting auf Anwendungsebene filtern
  • Veränderungen an WordPress-Kerndateien feststellen
  • Sicherheitsereignisse protokollieren und melden

Was außerhalb des Schutzbereichs liegt:

  • Schwachstellen in der PHP-Version oder im Webserver selbst
  • Kompromittiertes Hosting (z. B. bei einem Angriff auf die Serverinfrastruktur)
  • Zero-Day-Exploits, für die noch keine Signaturen existieren
  • Datenverlust, den nur ein externes Backup rückgängig macht
  • Konfigurationsfehler im Theme oder in Plugins anderer Anbieter

Wer ein Sicherheits-Plugin installiert und danach keine Updates mehr einspielt, hat das Wichtigste immer noch nicht getan. Das Plugin kann eine bekannte Plugin-Lücke in sich selbst nicht schließen.

Die vier Funktionen mit echtem Schutzwert

Nicht jede Funktion in einem Sicherheits-Plugin hat denselben praktischen Wert. Vier Bereiche machen den Unterschied.

Login-Schutz

Die Anmeldeseite unter /wp-admin oder /wp-login.php ist das meistangegriffene Ziel. Automatisierte Skripte testen tausende Passwort-Kombinationen pro Stunde. Eine Begrenzung auf drei bis fünf Fehlversuche vor einer zeitlich befristeten Sperre unterbricht diesen Angriff effektiv. Noch wirkungsvoller ist eine Kombination mit Zwei-Faktor-Authentifizierung (2FA) per TOTP-App: Selbst wenn ein Angreifer das Passwort kennt, kommt er ohne den zweiten Faktor nicht rein.

Wie sich Login-Schutz sauber konfigurieren lässt, beschreibt der Ratgeber WordPress Login absichern: Passwörter, Zwei-Faktor und Benutzerrollen im Detail. Die spezifische Abwehr von Brute-Force-Angriffen erklärt WordPress Brute Force: den Login wirkungsvoll absichern.

Dateiintegritätsprüfung

WordPress-Kerndateien haben bekannte Prüfsummen, die öffentlich hinterlegt sind. Ein Plugin, das täglich oder nach Updates prüft, ob diese Dateien noch identisch mit der Originalversion sind, erkennt Manipulationen früh. Eine veränderte wp-includes/functions.php ist ein klassisches Zeichen einer kompromittierten Installation. Ohne diese Prüfung fällt das oft erst auf, wenn Google die Seite als schädlich kennzeichnet.

Web Application Firewall (WAF)

Eine WAF filtert eingehende HTTP-Anfragen nach bekannten Angriffsmustern, bevor der eigentliche WordPress-Code sie verarbeitet. Qualität und Aktualität der Regeln entscheiden über den Nutzen. An dieser Stelle unterscheiden sich die Ansätze grundlegend: Plugin-basierte WAFs wie Wordfence laufen innerhalb von WordPress auf dem Webserver. Cloud-basierte WAFs wie die von Sucuri sitzen davor und filtern den Traffic, bevor er den Server überhaupt erreicht. Letzteres ist technisch sauberer, kostet aber mehr.

Malware-Scan

Ein regelmäßiger Scan vergleicht installierte Dateien gegen bekannte Schadcode-Signaturen und prüft, ob Plugin- und Theme-Dateien mit den Originalen im WordPress-Verzeichnis übereinstimmen. Die Begrenzung: Frisch entdeckte Schwachstellen ohne veröffentlichte Signatur bleiben zunächst unsichtbar. Ein Scan ist deshalb kein Echtzeitschutz, sondern ein zuverlässiges Frühwarnsystem für bekannte Bedrohungen.

Funktionen wie ein farbiges Sicherheits-Dashboard oder eine Punkte-Anzeige signalisieren vor allem eins: Marketing. Sie geben kein vollständiges Bild und können Sicherheit suggerieren, die tatsächlich nicht besteht.

Wordfence, Solid Security, Sucuri: die Unterschiede

Für die meisten kleinen und mittelgroßen WordPress-Seiten kommen drei Plugins infrage. Sie unterscheiden sich in Schwerpunkt, Architektur und dem Verhältnis von kostenloser zu bezahlter Version.

Wordfence Security

Wordfence ist mit über fünf Millionen aktiven Installationen das meistgenutzte Sicherheits-Plugin im WordPress-Ökosystem. Die kostenlose Version deckt Firewall, Malware-Scanner und Login-Schutz ab. Das klingt vollständig, aber der entscheidende Haken steckt in den Details: Die kostenlose Version erhält neue Firewall-Regeln und Malware-Signaturen mit einer Verzögerung von 30 Tagen gegenüber der Premium-Version. Wer von einer frisch bekannt gewordenen Schwachstelle betroffen ist, trägt in diesem Zeitfenster ein erhöhtes Risiko.

Dazu kommt ein praktisches Problem auf preiswertem Shared-Hosting: Der Scan-Prozess ist ressourcenintensiv und kann bei schwach ausgestatteten Servern zu Timeouts führen. Den Scan-Lauf in die Nacht zu verlegen, entschärft das in den meisten Fällen.

Wordfence Premium kostet rund 119 US-Dollar pro Jahr. Es liefert Firewall-Regeln und Signaturen in Echtzeit, eine Real-Time-IP-Blockliste und Country-Blocking.

Passt zu: Websites, die einen vollständigen Funktionsumfang in einem Plugin wollen. Für einfache Firmenpräsentationen ohne sensible Daten reicht die kostenlose Version. Bei Shops oder Mitgliederbereichen sollte man die Premium-Version oder eine Cloud-Lösung in Betracht ziehen.

Solid Security (früher iThemes Security)

Solid Security hat über 700.000 aktive Installationen und einen anderen Schwerpunkt als Wordfence. Das Plugin führt bei der Einrichtung durch einen geführten Setup-Prozess und legt den Fokus weniger auf die Firewall als auf Härtungsmaßnahmen und Nutzerverwaltung: Benutzerrechte einschränken, Anmelde-Protokolle auswerten, Passwort-Anforderungen durchsetzen, Benutzerrollen sauber organisieren.

Wer eine Website hat, auf der mehrere Autoren oder Redakteure arbeiten, profitiert davon mehr als von einer starken Firewall. Wer primär eine WAF sucht, ist mit Wordfence oder Sucuri besser bedient.

Passt zu: Multi-Autor-Setups, Websites mit mehreren Benutzerrollen, Einsteiger, die eine strukturierte Einführung in die Härtung suchen.

Sucuri Security

Sucuri Security ist mit rund 600.000 aktiven Installationen das schlankste der drei Plugins. Die kostenlose Version konzentriert sich auf Sicherheits-Monitoring, Dateiintegritätsprüfung und Blocklisten-Überprüfung. Was sie nicht mitbringt: eine ausgewachsene WAF. Die eigentliche Stärke von Sucuri liegt im kostenpflichtigen Cloud-Dienst, dessen Firewall den Traffic bereits vor dem Webserver filtert. Das ist technisch sauberer als eine Plugin-WAF, weil bösartige Anfragen den WordPress-Code gar nicht erst erreichen. Die Pakete starten bei 199 US-Dollar pro Jahr.

Passt zu: Wer bereits eine gute Sicherheitsbasis hat und Monitoring und Dateiprüfung ergänzen will. Für vollständigen WAF-Schutz braucht es den kostenpflichtigen Cloud-Dienst.

Vergleichstabelle auf einen Blick

Plugin Firewall / WAF Malware-Scan Login-Schutz / 2FA Dateiintegritätsprüfung Besonderheit / Grenze
Wordfence Free Endpoint-WAF, 30 Tage Verzögerung bei neuen Regeln Ja, tägliche Signaturen mit 30 Tage Verzögerung Ja, inkl. 2FA per TOTP Ja Ressourcenintensiv; neuer Bedrohungsschutz verzögert
Wordfence Premium Endpoint-WAF, Echtzeit-Regeln Ja, Echtzeit-Signaturen Ja, inkl. 2FA per TOTP Ja Ca. 119 USD/Jahr; Real-Time-IP-Blockliste inklusive
Solid Security Einfach, kein WAF-Schwerpunkt Schwachstellen-Scan Ja, inkl. 2FA; Fokus auf Rollenverwaltung Ja Stärke: Härtung und Nutzerverwaltung, nicht WAF
Sucuri Free Keine WAF in Gratis-Version Ja, Dateivergleich und Blocklisten Grundlegend Ja Vollständige WAF nur im kostenpflichtigen Cloud-Dienst
Sucuri Firewall (kostenpfl.) Cloud-WAF vor dem Webserver Ja Ja Ja Ab 199 USD/Jahr; Traffic wird vor WordPress gefiltert

Drei Konfigurationsfehler, die mehr schaden als nutzen

Ein falsch eingestelltes Sicherheits-Plugin kann Schaden anrichten. In der Praxis treten drei Fehler besonders oft auf.

Zu strenge Firewall-Regeln ohne Testphase

Neue Firewall-Regeln direkt scharf zu schalten, ohne sie vorher im Lernmodus zu beobachten, blockiert schnell legitime Eingaben: Sonderzeichen in Kontaktformularen, bestimmte Produkt-URLs im Shop, ausländische Zeichen in Kundennamen. Das fällt dann auf, wenn ein Kunde meldet, dass seine Anfrage nie ankam. Neue Regeln zuerst im passiven Modus laufen lassen und die Logs eine Woche lang auswerten.

Geografische Sperren mit Kollateralschäden

Country-Blocking klingt nach einem klaren Schutzwert, hat aber regelmäßig unerwünschte Nebenwirkungen: Mitarbeiter im Ausland, Kunden mit VPN-Verbindung, Mobilfunknutzer mit wechselnden IP-Adressen. Die Sperre trifft oft die eigenen Nutzer genauso wie die Angreifer.

Benachrichtigungsflut, die echte Warnungen überlagert

Sicherheits-Plugins senden bei jeder Auffälligkeit eine E-Mail, wenn man das so konfiguriert. Im Dauerrauschen von 50 täglichen Benachrichtigungen über normale Crawling-Aktivitäten gehen die wenigen kritischen Meldungen unter. Sinnvoll ist, nur bei wirklich kritischen Ereignissen zu alarmieren: Dateiänderungen in Kerndateien, neue Administrator-Konten, wiederholte Fehlversuche von einer IP-Adresse.

Grundlagen zuerst: Was kein Plugin ersetzen kann

Die wirksamsten Sicherheitsmaßnahmen kosten kein zusätzliches Plugin. Sie sind Voraussetzung, nicht Ergänzung.

Aktuelle Software

Laut dem Patchstack-Bericht für 2025 lagen 96 Prozent aller Schwachstellen im WordPress-Ökosystem in Plugins und Themes. Bei 43 Prozent dieser Lücken brauchte ein Angreifer keine Anmeldung, um sie auszunutzen. Das wichtigste Gegenmittel: regelmäßige Updates. Das BSI empfiehlt Software-Updates zeitnah nach Veröffentlichung einzuspielen, weil Hersteller damit bekannte Lücken schließen, bevor Schaden im großen Maßstab entsteht. Warum Updates kein Risiko sind, das man aufschiebt, erklärt der Ratgeber WordPress-Updates ohne Risiko.

Aktuelle PHP-Version

PHP 8.0 und PHP 8.1 erhalten seit Ende 2023 bzw. Ende 2024 keine Sicherheitsupdates mehr. Wer noch auf diesen Versionen läuft, hat eine Angriffsfläche, die kein Plugin schließt. Aktuell mit Sicherheits-Support versorgt werden PHP 8.2, 8.3 und 8.4. Vor einem PHP-Upgrade lohnt ein Kompatibilitätstest in einer Staging-Umgebung, weil nicht alle älteren Themes und Plugins ohne Anpassung mitziehen.

Backups, die auch funktionieren

Ein Sicherheits-Plugin kann eine bereits kompromittierte Website nicht wiederherstellen. Tägliche Backups an einem vom Hosting getrennten Ort sind deshalb Grundausstattung, kein Luxus. Das Backup muss auch getestet sein: Ein nie wiederhergestelltes Backup hat im Ernstfall unbekannten Wert. Was eine vollständige Backup-Strategie ausmacht, erklärt der Ratgeber WordPress-Backup-Strategie: Der 3-2-1-Plan.

Sicheres Hosting

Ein Hoster, der PHP aktuell hält, mod_security und fail2ban betreibt und isolierte Hosting-Umgebungen anbietet, ist ein stärkerer Schutz als jedes Plugin. Shared-Hosting-Pakete ohne Isolation können dazu führen, dass eine kompromittierte Website auf demselben Server andere Sites gefährdet. Das ist keine hypothetische Bedrohung, sondern in der Praxis bekannt.

Ein Beispiel aus der Praxis

In einem Projekt sahen wir eine Unternehmenswebsite, auf der Wordfence seit zwei Jahren installiert war. Das Dashboard zeigte eine grüne Ampel. Bei näherer Analyse stellte sich heraus: Wordfence war installiert, aber seit Monaten nicht mehr aktualisiert worden. PHP lief noch auf Version 7.4. Drei Plugins hatten bekannte Schwachstellen, für die es Updates gab.

Das Sicherheits-Plugin hatte dem Betreiber das Gefühl vermittelt, geschützt zu sein. Tatsächlich war die wichtigste Schutzmaßnahme nicht gemacht worden: die Updates. Nach PHP-Upgrade, Plugin-Aktualisierungen und einer sauberen Konfiguration von Wordfence war das Schutzniveau deutlich höher als vorher mit dem installierten, aber vernachlässigten Plugin.

Die Lektion daraus: Ein Sicherheits-Plugin, das niemand wartet, gibt falsches Vertrauen. Besser kein Plugin als ein veraltetes, das suggeriert, es sei alles in Ordnung.

Was zu tun ist, wenn eine Website trotz allem kompromittiert wurde, beschreibt der Ratgeber Website gehackt: Der Notfallplan in fünf Schritten.

Checkliste: Plugin richtig auswählen und einrichten

  • WordPress-Kern, alle Plugins und das Theme sind aktuell, bevor ein Sicherheits-Plugin installiert wird.
  • PHP-Version ist 8.2 oder neuer (aktiver Sicherheits-Support).
  • Tägliche externe Backups existieren und wurden mindestens einmal testweise wiederhergestellt.
  • Nur ein Sicherheits-Plugin ist aktiv. Zwei konkurrierende WAFs oder Login-Schutzlösungen verursachen Konflikte.
  • Login-Schutz ist aktiviert: maximale Fehlversuche begrenzt, 2FA für alle Administrator-Konten eingerichtet.
  • Firewall im Lernmodus gestartet und mindestens eine Woche beobachtet, bevor Regeln scharf geschaltet werden.
  • Automatische Scans auf täglichen Rhythmus gestellt, Scan-Zeiten auf verkehrsarme Stunden verschoben.
  • Benachrichtigungen auf kritische Ereignisse begrenzt: Dateiänderungen in Kerndateien, neue Admin-Konten.
  • Country-Blocking nur nach Prüfung, ob eigene Nutzer oder der eigene Dienstleister betroffen sein könnten.
  • Das Sicherheits-Plugin selbst regelmäßig aktualisieren, nicht nur die anderen Plugins.
WordPress-Härtung: Direkt umsetzbar

Die folgenden Konstanten gehören in die wp-config.php, direkt vor der Zeile /* Das war's, hört auf zu editieren! */. Einmal gesetzt, gelten sie sofort ohne Plugin-Installation.

<?php
// Deaktiviert den Datei-Editor für Plugins und Themes im WordPress-Admin.
// Verhindert, dass ein Angreifer mit Admin-Zugang direkt Code einschleust.
define( 'DISALLOW_FILE_EDIT', true );

// Verhindert zusätzlich das Installieren und Aktualisieren von Plugins und Themes
// über das Backend. Für Produktiv-Seiten empfohlen, sobald die Konfiguration steht.
// define( 'DISALLOW_FILE_MODS', true ); // auskommentieren, bis keine Backend-Updates mehr nötig sind

// Erzwingt HTTPS für alle Admin-Seiten und Anmeldungen.
// Voraussetzung: SSL-Zertifikat muss aktiv sein.
define( 'FORCE_SSL_ADMIN', true );

// Begrenzt WordPress-Kern-Autoupdates auf Sicherheits- und Minor-Releases.
// 'minor' = 6.x.1 automatisch, Major-Updates (7.0) manuell.
define( 'WP_AUTO_UPDATE_CORE', 'minor' );

// Deaktiviert die XML-RPC-Schnittstelle, wenn sie nicht benötigt wird.
// Reduziert Angriffsfläche für Brute-Force über xmlrpc.php.
// Nur setzen, wenn kein Jetpack, keine App-Verbindungen oder
// keine externen XML-RPC-Clients genutzt werden.
add_filter( 'xmlrpc_enabled', '__return_false' );</php>

Für den Login-Schutz ohne Plugin: Wordfence Free oder Solid Security übernehmen das in der Praxis zuverlässiger, weil sie IP-Sperren persistieren und 2FA per TOTP einrichten. Wer komplett plugin-frei bleiben will, findet in unserem Ratgeber WordPress Brute Force absichern einen vollständigen mu-plugin-Ansatz mit wp_login_failed-Hook und Transient-basierter Sperre.

Diese Konstanten sind kostenfrei nutzbar. Wer die Härtung für seine Produktiv-Seite lieber in geprüfter Form umgesetzt haben möchte, begleiten wir das gern: WordPress-Wartung und Sicherheit.

Das Wichtigste zum Mitnehmen

  • Sicherheits-Plugins sind sinnvoll, aber kein Ersatz für aktuelle Software, ein getestetes Backup und sicheres Hosting. Grundlagen zuerst.
  • Wordfence Free hat eine 30-Tage-Verzögerung bei neuen Firewall-Regeln. Für einfache Firmenseiten akzeptabel, für Shops mit Kundendaten ein gutes Argument für die Premium-Version.
  • Solid Security eignet sich gut für Sites mit mehreren Nutzern. Sucuri Free ist schlank, aber ohne eigene WAF.
  • Ein Sicherheits-Plugin, das niemand wartet, gibt falsches Vertrauen. Regelmäßige Konfigurationspflege gehört dazu wie das Update selbst.

Häufige Fragen

Brauche ich ein bezahltes Sicherheits-Plugin?

Das hängt vom Risikoumfeld ab. Für eine einfache Firmenpräsentation ohne Kundendaten und Online-Transaktionen reicht die kostenlose Version von Wordfence oder Solid Security in aller Regel aus. Sobald ein Onlineshop, ein Mitgliederbereich oder regelmäßige Verarbeitung sensibler Formulardaten im Spiel sind, ist die 30-Tage-Verzögerung bei Wordfence Free ein konkretes Argument für die Premium-Version oder einen Cloud-WAF-Dienst wie Sucuri.

Kann ich mehrere Sicherheits-Plugins gleichzeitig nutzen?

Nein. Zwei Plugins mit Firewall- oder Login-Schutz geraten häufig in Konflikte, können sich gegenseitig außer Kraft setzen und verlangsamen die Website spürbar. Ein sauber konfiguriertes Plugin schützt besser als zwei schlecht aufeinander abgestimmte.

Wie erkenne ich, ob meine Website schon kompromittiert ist?

Typische Anzeichen: unbekannte Administrator-Konten in der Benutzerverwaltung, plötzliche Weiterleitungen auf fremde Seiten, Warnungen in der Google Search Console, Browser-Sicherheitswarnungen oder unerklärliche Dateiänderungen. Ein Scan mit Wordfence oder dem serverseitigen Tool des Hosters schafft Klarheit. Im Ernstfall hilft der Ratgeber Website gehackt: Der Notfallplan in fünf Schritten.

Wie oft sollte ein Sicherheits-Scan laufen?

Für die meisten Unternehmenswebsites ist ein täglicher automatischer Scan sinnvoll. Nach größeren Updates oder nach dem Hinzufügen neuer Plugins sollte zusätzlich ein manueller Scan laufen. Die Ergebnisse in einem Protokoll festzuhalten, hilft dabei, Veränderungen über die Zeit zu erkennen.

Kann ein Sicherheits-Plugin meine Website verlangsamen?

Ja, vor allem Wordfence mit aktivem Scan auf Shared-Hosting. Der Scan-Prozess ist ressourcenintensiv. Den Scan-Zeitplan auf Nachtzeiten zu setzen, entschärft das in der Praxis. Wer dauerhaft Performance-Probleme hat, sollte die Scan-Tiefe reduzieren oder auf ein schlankeres Plugin wie Sucuri wechseln.

Was ist der Unterschied zwischen einer Plugin-WAF und einer Cloud-WAF?

Eine Plugin-WAF wie bei Wordfence läuft innerhalb von WordPress auf dem Webserver. Bösartige Anfragen erreichen den Server und werden dort erst gefiltert. Eine Cloud-WAF wie bei Sucuri sitzt davor: Der Traffic wird auf einem externen System gefiltert, bevor er den Webserver überhaupt erreicht. Das ist technisch sauberer, weil weniger Last auf dem eigenen Server entsteht und eine Angriffswelle den Server nicht direkt trifft. Der Preis ist entsprechend höher.