Sicherheit im Jahr 2026 bedeutet nicht mehr, „die Login-Seite zu verstecken“ oder das Datenbank-Präfix zu ändern. Hacker haben sich weiterentwickelt – und Ihre Verteidigung muss es auch. Heute konzentrieren wir uns auf Identität, Kapselung und automatisierte Reaktion.
Hier ist die Blaupause für WordPress-Hardening im Jahr 2026.
1. Das Ende des Passworts: Passkeys
Im Jahr 2026 ist die größte Schwachstelle das menschliche Gehirn. Wir vergessen Passwörter oder nutzen zu schwache.
- WebAuthn / Passkeys: Professionelle Seiten nutzen biometrische Daten (FaceID, TouchID) des Browsers. Das ist immun gegen Phishing und macht 2FA-SMS-Codes überflüssig.
- Umsetzung: Deaktivieren Sie Passwort-Logins für Admins und erzwingen Sie Passkeys.
2. Fortgeschrittene CSP: Ihre Frontlinie
Content Security Policy (CSP) Header sind keine Option mehr – sie sind Pflicht.
- Das Problem: XSS (Cross-Site Scripting) ist nach wie vor eine Bedrohung.
- Die Lösung: Eine strikte CSP verbietet dem Browser das Ausführen jeglicher Skripte, die nicht explizit freigegeben sind. Selbst wenn ein Hacker ein Skript einschleust, wird der Browser dessen Ausführung verweigern.
- Beispiel-Header:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;
3. Zero-Trust und WP-Admin
Warum sollte Ihr Admin-Bereich vom gesamten Internet aus erreichbar sein?
- Edge Tunneling: Nutzen Sie Dienste wie Cloudflare Zero Trust, um Ihr
/wp-adminhinter einer Identitätsprüfung zu verstecken. - Die Logik: Selbst wenn eine Zero-Day-Lücke im Core gefunden wird, erreicht der Angreifer die Login-Seite physisch gar nicht, wenn er nicht in Ihrem Firmennetzwerk authentifiziert ist.
4. Virtual Patching und WAFs
Im Jahr 2026 warten Sie nicht mehr darauf, dass ein Plugin-Update installiert wird. Ihre WAF erledigt das.
- Virtual Patching: Sobald eine Sicherheitslücke in einem populären Plugin bekannt wird, filtern moderne WAFs (Sucuri/Cloudflare) Angriffsversuche sofort heraus – noch bevor der Entwickler einen Patch veröffentlicht.
- Ergebnis: Schutz in der kritischen Zeitspanne zwischen Entdeckung und Update.
5. Sicherheits-Checkliste 2026
| Ebene | Technologie | Status 2026 |
|---|---|---|
| Auth | Passkeys / SSO | Pflicht |
| Header | HSTS, CSP, Permissions | Pflicht |
| Edge | WAF mit Virtual Patching | Kritisch |
| Dateien | Schreibgeschütztes Dateisystem | Empfohlen |
| Scanning | Echtzeit-Erkennung | Standard |
Profi-Tipp: Schreibgeschützte Dateisysteme
Für maximale Sicherheit nutzen Sie ein Read-Only File System.
- Immutable Core: PHP-Dateien des Cores und der Plugins können vom Server selbst nicht verändert werden.
- Der Vorteil: Selbst wenn ein bösartiges Skript hochgeladen wird, kann es keine anderen Dateien infizieren. Updates erfolgen sicher über die CI/CD-Pipeline (Docker).
Fazit
WordPress ist von Haus aus sicher, aber es liegt in Ihrer Hand, dieses Niveau zu halten. Mit Passkeys, strikten CSPs und Zero-Trust-Prinzipien schützen Sie Ihre digitalen Assets vor den Bedrohungen des Jahres 2026.
Steckt Ihre Sicherheit noch im Jahr 2020 fest? Rüsten Sie noch heute auf.
