WordPress Login absichern: Passwörter, Zwei-Faktor und Benutzerrollen

Eine Frau am Schreibtisch bestätigt eine Anmeldung über ihr Smartphone, der Laptop steht aufgeklappt daneben.

Von Manuel Hack, ihp media · Aktualisiert am 21. Juni 2026

Das Wichtigste in 30 Sekunden

  • Ein gestohlenes Passwort allein genügt nicht, um ins Backend einzudringen, wenn Zwei-Faktor-Authentifizierung aktiv ist.
  • Das BSI empfiehlt Passwörter mit mindestens 12 Zeichen aus mehreren Zeichenarten oder Passphrasen ab 25 Zeichen; ein Passwort-Manager macht das in der Praxis umsetzbar.
  • Die häufigste Fehlkonfiguration: zu viele Nutzer als Administrator eingetragen. Wer nur Texte schreibt, braucht keine Admin-Rechte.
  • Den Benutzernamen „admin“ nicht verwenden; er ist bei Angriffen das erste, was Bots ausprobieren.

Wer eine WordPress-Website betreibt, verwaltet damit in der Regel auch sensible Kundendaten, Zugangsdaten zu Plugins, und im Fall eines Shops vielleicht direkt Bestelldaten. Der Login ist die Tür zu all dem. Dieser Ratgeber zeigt, wie Sie diese Tür zuverlässig sichern: mit starken Passwörtern, Zwei-Faktor-Authentifizierung, sauber vergeben Benutzerrollen und einem vernünftigen Admin-Benutzernamen.

Die Abwehr automatisierter Brute-Force-Angriffe durch IP-Sperren und Rate-Limiting ist ein eigenes Thema und wird im Ratgeber WordPress Brute Force behandelt. Dieser Artikel konzentriert sich auf die Grundabsicherung der Zugänge selbst.

Warum der Login das bevorzugte Angriffsziel ist

WordPress ist das meistgenutzte Content-Management-System der Welt; über 40 Prozent aller Websites laufen damit. Das macht die Plattform für Angreifer besonders attraktiv: Wer eine Methode kennt, kann sie millionenfach einsetzen. Die Anmeldeformulare unter /wp-admin und /wp-login.php liegen bei nahezu jeder Installation an derselben Adresse und sind vollautomatisch angreifbar.

Hinzu kommt Credential Stuffing. Dabei testen Skripte Zugangsdaten aus bekannten Datenlecks anderer Plattformen direkt gegen WordPress-Installationen. Die Datenbank von Have I Been Pwned führt Stand Juni 2026 über 17 Milliarden kompromittierte Konten. Wer dasselbe Passwort auf mehreren Diensten nutzt, ist damit unmittelbar gefährdet.

Ein kompromittiertes Backend hat handfeste Folgen: Schadcode im Theme, Spam-Versand über den eigenen Mailserver, Datendiebstahl, Lösegeldforderungen. Gerade mittelständische Unternehmenswebsites treffen solche Vorfälle hart, weil dort weder das Geld für schnelle Incident-Response noch ein internes Sicherheitsteam bereitsteht. Was nach einem Einbruch zu tun ist, beschreibt der Ratgeber Website gehackt: Notfallplan.

Starke Passwörter: Was wirklich zählt

Kurz gesagt: Das BSI empfiehlt mindestens 12 Zeichen aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, oder alternativ eine Passphrase mit mindestens 25 Zeichen aus zwei Zeichenarten. Entscheidender als die Länge allein ist die Einzigartigkeit: Kein Passwort darf auf mehr als einem Dienst verwendet werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet zwei Ansätze: ein kurzes, komplexes Passwort mit mindestens 12 Zeichen aus vier Zeichenarten, oder ein langes, weniger komplexes Passwort mit mindestens 25 Zeichen aus zwei Zeichenarten. Letzteres eignet sich gut als Passphrase, also eine Folge von vier bis sechs zufälligen Wörtern mit Trennzeichen.

Was nicht funktioniert, benennt das BSI klar: Namen von Familienmitgliedern oder Haustieren, Geburtsdaten, Tastaturmuster wie „asdfgh“ oder „123456″, und einfache Wörter aus dem Wörterbuch. Auch ein angehängtes „1!“ am Ende eines schwachen Wortes macht kein starkes Passwort daraus. Das OWASP Authentication Cheat Sheet ergänzt: Systeme sollten bekannte, bereits kompromittierte Passwörter aktiv sperren; Dienste wie Pwned Passwords ermöglichen das ohne gespeicherte Klartextprüfung.

WordPress selbst zeigt beim Anlegen eines Benutzers eine Passwort-Stärke-Anzeige und warnt bei schwachen Eingaben. Das ist ein guter Hinweis, aber keine Garantie: Die Anzeige beurteilt nur das aktuelle Passwort, nicht ob es anderswo bereits bekannt ist.

Passwort-Manager: Das Werkzeug, das Vorsätze umsetzbar macht

Kurz gesagt: Ein Passwort-Manager erzeugt und speichert beliebig komplexe, einzigartige Passwörter für jeden Dienst. Sie müssen sich nur noch ein starkes Masterpasswort merken.

Das BSI empfiehlt Passwort-Manager ausdrücklich. Ohne ein solches Werkzeug scheitern die besten Passwortregeln in der Praxis daran, dass Menschen sich zehn oder zwanzig verschiedene, komplexe Zeichenfolgen schlicht nicht merken können. Das Ergebnis: überall dasselbe Passwort mit kleinen Variationen.

Für Einzelpersonen und kleine Teams eignen sich Bitwarden (Open Source, kostenlose Basisversion), 1Password und KeePassXC (lokal, kein Cloud-Sync). Bitwarden und 1Password unterstützen Unternehmens-Vaults mit Freigabeverwaltung: Ein Mitarbeiterwechsel bedeutet dann nicht mehr „Passwort weitersagen und hoffen“, sondern sauberes Entziehen des Zugriffs.

Für Teams mit mehreren WordPress-Zugängen empfiehlt sich außerdem, die Masterpasswörter der Mitarbeiter nicht zentral zu speichern, sondern auf separaten Notfallzetteln in einem physisch gesicherten Ort.

Zwei-Faktor-Authentifizierung einrichten

Kurz gesagt: Zwei-Faktor-Authentifizierung macht ein gestohlenes Passwort allein wertlos. Für WordPress-Backends ist eine TOTP-Authenticator-App der beste Kompromiss aus Sicherheit und Bedienkomfort.

Microsoft hat analysiert, dass Mehrfaktor-Authentifizierung 99,9 Prozent der automatisierten Kontoangriffe verhindert hätte. Das BSI spricht klarer: „Wenden Sie eine Zwei-Faktor-Authentisierung an, sobald ein Online-Dienst dies ermöglicht.“ Auch das OWASP Authentication Cheat Sheet nennt MFA die wirksamste einzelne Maßnahme gegen passwortbasierte Angriffe.

Das BSI stuft die verschiedenen 2FA-Methoden nach Sicherheit ein:

  • Am sichersten: Hardware-Token (FIDO2/U2F, z. B. YubiKey). Der Token muss physisch vorhanden sein, ein Fernzugriff ist damit ausgeschlossen.
  • Gut: Authenticator-App (TOTP). Anwendungen wie Aegis (Android, Open Source) oder 2FAS (iOS und Android, Open Source) erzeugen alle 30 Sekunden einen sechsstelligen Einmalcode. Gut für WordPress: Plugins wie WP 2FA oder Two Factor richten TOTP serverseitig ein und können die Aktivierung je nach Benutzerrolle erzwingen.
  • Akzeptabel: SMS-Code. Der zweite Faktor per SMS ist besser als keiner, aber anfällig für SIM-Swapping-Angriffe. Das BSI empfiehlt SMS-basierte Verfahren nur auf separat genutzten Geräten.
  • Nicht mehr empfohlen: TAN-Listen auf Papier (iTAN). Das BSI stuft diese als nicht mehr ausreichend sicher ein.

Für die meisten WordPress-Websites ist eine Authenticator-App der richtige Einstieg. Hardware-Token rechtfertigen sich, wenn mehrere Personen mit Admin-Rechten auf dasselbe Backend zugreifen und der Aufwand vertretbar ist.

Backup-Codes nicht vergessen. Gute 2FA-Plugins bieten beim Einrichten Backup-Codes an, mit denen man sich auch ohne Smartphone anmelden kann. Diese sollten ausgedruckt und sicher verwahrt werden, nicht im Browser-Passwort-Speicher.

Benutzerrollen und das Prinzip der minimalen Rechte

Kurz gesagt: Jeder Benutzer erhält nur die Rechte, die seine Tätigkeit tatsächlich erfordert. Die meisten WordPress-Installationen vergeben zu viele Admin-Konten. Das erweitert unnötig die Angriffsfläche.

WordPress definiert laut der offiziellen Dokumentation fünf Standardrollen für normale Websites. Jede Rolle hat einen klar abgesteckten Umfang:

  • Administrator: Vollzugriff auf alle Einstellungen, kann Plugins und Themes installieren, Benutzer anlegen und löschen, Kerndateien bearbeiten. Diese Rechte sollten ausschließlich Personen haben, die für die technische Verwaltung der Website verantwortlich sind.
  • Redakteur (Editor): Kann alle Beiträge und Seiten veröffentlichen und bearbeiten, auch die anderer Nutzer, Kommentare moderieren und Medien hochladen. Keine Plugin- oder Theme-Verwaltung.
  • Autor: Kann eigene Beiträge schreiben, bearbeiten, veröffentlichen und löschen. Keine Seiten, keine Medien anderer Nutzer.
  • Mitarbeiter (Contributor): Kann eigene Beiträge schreiben und zur Prüfung einreichen, aber nicht selbst veröffentlichen und keine Dateien hochladen.
  • Abonnent (Subscriber): Kann sich einloggen und das eigene Profil bearbeiten. Kein Zugriff auf Inhalte.

Die häufigste Fehlkonfiguration in der Praxis: Jemand, der nur gelegentlich einen Blogbeitrag schreibt, ist als Administrator eingetragen, weil das beim Einrichten einfacher war. Dieses Konto hat dann Rechte, die es nie braucht, und ist gleichzeitig ein Ziel für Credential Stuffing.

Das Prinzip heißt Least Privilege, auf Deutsch minimale Rechtevergabe. Es bedeutet: Wer nur schreibt, ist Autor. Wer nur fremde Texte redigiert, ist Redakteur. Admin-Rechte bekommt, wer die Website technisch verwaltet.

Bei Mitarbeiterwechseln oder nach dem Ende einer Zusammenarbeit mit einem externen Dienstleister müssen die zugehörigen Konten sofort gelöscht oder deaktiviert werden. Ruhende Accounts mit hohen Rechten werden von niemandem mehr aktiv beobachtet und sind deshalb ein besonders leichtes Ziel.

Für Websites mit komplexeren Anforderungen, etwa einen Onlineshop oder einen Mitgliederbereich, ermöglicht das Plugin User Role Editor feingranulare Berechtigungsanpassungen, ohne dass eigene Entwicklung nötig wäre. Welche Sicherheits-Plugins darüber hinaus für WordPress sinnvoll sind, zeigt der Ratgeber Sicherheits-Plugins für WordPress.

Den Benutzernamen „admin“ loswerden

Kurz gesagt: Der Benutzername „admin“ ist der erste, den Angreifer ausprobieren. Wer ihn verwendet, halbiert die Arbeit der Angreifer.

Bei einer Brute-Force-Attacke müssen zwei Dinge erraten werden: Benutzername und Passwort. Ist der Benutzername schon bekannt, bleibt nur das Passwort zu knacken. Die WordPress-Hardening-Dokumentation empfiehlt ausdrücklich, leicht zu erratende Namen wie „admin“ oder „webmaster“ zu vermeiden.

Benutzernamen sind in vielen WordPress-Installationen über Autorenseiten öffentlich sichtbar, über REST-API-Endpunkte abfragbar oder tauchen im Quelltext auf. Das ist kein Fehler, den man einfach abschalten sollte, sondern ein Hinweis: Sicherheit über Obscurity funktioniert nicht. Die Lösung ist ein unauffälliger, persönlicher Benutzername in Kombination mit starkem Passwort und 2FA.

Den Benutzernamen für bestehende Konten lässt sich über die WordPress-Oberfläche nicht direkt ändern. Drei Wege funktionieren: Einen neuen Benutzer mit anderem Namen anlegen, die Inhalte zuweisen und das alte Konto löschen; die Datenbank direkt bearbeiten (für Entwickler); oder ein Plugin wie Username Changer nutzen.

Der Anzeigename, also der Name, der öffentlich in Beiträgen erscheint, kann unter Benutzer > Profil vom Benutzernamen abweichen. Dort sollte immer der echte Name oder ein Pseudonym eingetragen sein, nie der Login-Name.

Session-Sicherheit: Wann Anmeldungen enden sollten

WordPress hält Anmeldungen standardmäßig sehr lange aufrecht: Ohne das „Angemeldet bleiben“-Häkchen 48 Stunden, mit Häkchen 14 Tage. Das ist für die meisten Nutzungsszenarien zu lang, besonders wenn mehrere Personen dasselbe Gerät verwenden oder Mitarbeiter von öffentlichen Netzwerken aus arbeiten.

Das OWASP Authentication Cheat Sheet empfiehlt, Sitzungen bei Inaktivität zu beenden und vor sensiblen Aktionen wie Passwortänderungen eine erneute Authentifizierung zu verlangen. Für WordPress gilt dasselbe Prinzip.

Ergänzend empfiehlt sich ein aktuelles WordPress-Backup, damit nach einem Sicherheitsvorfall eine saubere Version wiederhergestellt werden kann. Drei Maßnahmen für Session-Sicherheit helfen:

  • Das Plugin Idle Logout oder ähnliche Werkzeuge beenden Sitzungen nach einer einstellbaren Inaktivitätszeit automatisch.
  • Im WordPress-Profil jedes Nutzers gibt es unter „Sitzungen“ eine Schaltfläche, um alle anderen aktiven Anmeldungen sofort zu beenden. Das ist nützlich nach einem Verdachtsfall oder nach einem Gerätewechsel.
  • Ein Plugin für Anmeldeprotokolle, etwa Simple History, zeigt, wer sich wann und von wo eingeloggt hat, und macht Auffälligkeiten sichtbar.

Grundsätzlich gilt: HTTPS muss für den gesamten Admin-Bereich erzwungen sein. Ohne verschlüsselte Verbindung können Session-Cookies beim Transport abgefangen werden, und alle anderen Maßnahmen nützen wenig.

Überblick: Maßnahmen, Schutz und Aufwand

Maßnahme Schutz vor Aufwand
Starkes, einzigartiges Passwort Credential Stuffing, einfachen Brute-Force Gering (einmalig)
Passwort-Manager einsetzen Passwort-Wiederverwendung, schwache Passwörter Gering (einmalig)
TOTP-Authenticator-App (2FA) Phishing, gestohlene Passwörter, Credential Stuffing Gering (einmalig pro Konto)
Hardware-Token (FIDO2) Phishing, Passwort-Diebstahl, Remote-Angriffe Mittel (Anschaffung ~50 €)
Benutzerrollen korrekt vergeben Insider-Risiken, Folgeschäden bei kompromittiertem Konto Gering (laufende Pflege)
Benutzernamen „admin“ ersetzen Brute-Force (Benutzername-Raten) Gering (einmalig)
Anzeigenamen von Login-Namen trennen Öffentliche Benutzernamen-Preisgabe Gering (einmalig pro Konto)
Session-Timeout aktivieren Missbrauch unbeaufsichtigter Sitzungen Gering (Plugin + Konfiguration)
HTTPS für Admin-Bereich erzwingen Session-Cookie-Diebstahl im Netzwerk Gering (wp-config.php)
Anmeldeprotokoll aktivieren Unentdeckte kompromittierte Konten Gering (Plugin)

Praxisbeispiel: Handwerksbetrieb mit drei Redakteuren

In einem Projekt für einen regionalen Handwerksbetrieb waren beim ersten Audit vier von fünf WordPress-Nutzern als Administrator eingetragen. Drei davon schrieben gelegentlich Beiträge für den Blog, einer war ein ehemaliger Mitarbeiter, der das Unternehmen vor Monaten verlassen hatte. Zwei-Faktor-Authentifizierung war nicht eingerichtet, und der Hauptbenutzername lautete „admin“.

Die Bereinigung dauerte weniger als zwei Stunden: Das verwaiste Konto wurde gelöscht, die drei Redakteure erhielten die Rolle Autor, der Inhaber blieb als einziger Administrator. Der Benutzername „admin“ wurde auf einen persönlichen Namen geändert. Für alle Admin-Konten wurde TOTP-2FA eingerichtet, mit Backup-Codes auf Papier in einem verschlossenen Schrank. Ein Passwort-Manager löste die bisher in einem Word-Dokument abgelegten Zugangsdaten ab.

Ergebnis: Die Angriffsfläche reduzierte sich von fünf möglichen Einstiegspunkten mit vollen Rechten auf einen. Gleichzeitig wäre selbst bei einem gestohlenen Passwort kein Zugriff möglich gewesen, weil der zweite Faktor fehlt.

Möchten Sie Ihre WordPress-Zugänge und Benutzerrollen professionell prüfen lassen? Im Rahmen eines Website-Checks schauen wir uns Berechtigungen, Konfiguration und Absicherung konkret an. Termin vereinbaren und in 30 Minuten klären, wo bei Ihrer Website der größte Handlungsbedarf liegt.

Sofort-Checkliste

  • Alle Passwörter für WordPress-Zugänge mit einem Passwort-Manager erzeugen lassen (mindestens 16 Zeichen, einzigartig)?
  • Kein Passwort wird auf einer anderen Plattform wiederverwendet?
  • Zwei-Faktor-Authentifizierung für alle Admin- und Redakteurs-Konten eingerichtet?
  • Backup-Codes für 2FA sicher verwahrt (nicht im Browser, nicht in der Cloud)?
  • Benutzerrollen überprüft: Hat jeder Nutzer nur die Rolle, die seine Aufgabe erfordert?
  • Kein aktiver Benutzer trägt den Namen „admin“?
  • Anzeigenamen von Login-Namen getrennt (Profil > Anzeigename)?
  • Verwaiste oder ruhende Konten gelöscht?
  • Konten ehemaliger Mitarbeiter oder externer Dienstleister deaktiviert?
  • HTTPS für den Admin-Bereich erzwungen (define('FORCE_SSL_ADMIN', true) in wp-config.php)?
  • Session-Timeout aktiv oder Inaktivitäts-Plugin installiert?
  • Anmeldeprotokoll eingerichtet (z. B. Simple History)?
Das Wichtigste zum Mitnehmen

  • Passwörter schützen nur, wenn sie einzigartig und lang genug sind. Ein Passwort-Manager ist kein Luxus, sondern die einzige praktikable Methode, das durchzuhalten.
  • Zwei-Faktor-Authentifizierung macht ein gestohlenes Passwort wertlos. TOTP per Authenticator-App ist für WordPress-Backends der richtige Einstieg.
  • Das Least-Privilege-Prinzip gilt auch für kleine Teams: Admin-Rechte gehören nur zu den Konten, die sie wirklich brauchen.
  • Benutzernamen sind keine Geheimnisse, aber „admin“ auf der Anmeldeseite ist eine eingeladen offene Tür. Den Aufwand für eine Änderung lohnt jede WordPress-Website.

Häufige Fragen

Reicht ein starkes Passwort, oder brauche ich zusätzlich Zwei-Faktor-Authentifizierung?

Beides zusammen. Ein starkes Passwort schützt gegen Brute Force und einfaches Credential Stuffing. Zwei-Faktor-Authentifizierung schützt dann, wenn ein Passwort trotzdem bekannt wird, sei es durch ein Datenleck eines anderen Dienstes, Phishing oder Schadsoftware auf dem eigenen Rechner. Nur wer beides hat, ist auch gegen den nächsten Schritt abgesichert.

Wie viele Administrator-Konten braucht eine normale Unternehmenswebsite?

In den meisten Fällen eins, maximal zwei: das Inhaberkonto und bei Bedarf ein Konto für den betreuenden Dienstleister. Jedes weitere Admin-Konto ist ein zusätzliches Ziel. Wer die Site technisch betreut, kann für konkrete Aufgaben temporär ein Konto erhalten und danach löschen.

Was passiert, wenn ich meinen zweiten Faktor verliere?

Wenn Backup-Codes vorhanden sind, kann man sich damit einloggen und einen neuen Faktor einrichten. Ohne Backup-Codes und ohne ein zweites Administrator-Konto, das den ersten Faktor zurücksetzen kann, ist der Zugriff verloren. Deshalb sind Backup-Codes Pflicht beim Einrichten. Sie kommen auf Papier in einen gesicherten Ort, nicht in die Cloud.

Kann ich den Benutzernamen in WordPress nachträglich ändern?

Über die Standard-Oberfläche nicht direkt. Der einfachste Weg ist, einen neuen Benutzer mit dem gewünschten Namen und der Rolle Administrator anzulegen, alle Inhalte neu zuzuweisen und das alte Konto danach zu löschen. Alternativ funktioniert das Plugin Username Changer oder eine direkte Datenbankänderung, die Entwicklern vorbehalten ist.

Ich betreibe eine kleine Website ohne Kundendaten. Brauche ich das alles trotzdem?

Ja, aus zwei Gründen. Erstens: Auch eine „kleine“ Website kann als Spam-Relais oder für Phishing-Seiten missbraucht werden, selbst wenn keine Kundendaten vorhanden sind. Das schadet dem Betreiber durch Hosting-Sperren, Blacklisting und Reputationsschaden. Zweitens: Passwort-Manager und Authenticator-Apps sind kostenlos und kosten nach der Einrichtung kaum Zeit.

Wie oft sollte ich mein WordPress-Passwort ändern?

Das BSI empfiehlt nicht mehr, Passwörter in festen Intervallen zu wechseln, solange kein konkreter Verdacht auf Kompromittierung besteht. Ein gut gewähltes, einzigartiges Passwort mit aktiviertem zweitem Faktor kann dauerhaft bestehen bleiben. Sofort wechseln sollte man nach einem bekannt gewordenen Datenleck eines anderen Dienstes, auf dem dasselbe Passwort verwendet wurde, oder wenn man Hinweise auf einen Angriff sieht.

Quellen und weiterführende Informationen: BSI: Sichere Passwörter erstellen. BSI: Zwei-Faktor-Authentisierung. OWASP: Authentication Cheat Sheet. WordPress.org: Roles and Capabilities. WordPress Developer Docs: Hardening WordPress. Stand: Juni 2026. Dieser Artikel ist eine fachliche Einordnung und ersetzt keine individuelle Sicherheitsberatung.