• Transparent
  • Ehrlich
  • Persönlich
5/5 Sterne bei ProvenExpert
  • Harlacher Fotografie
    «Das Seminar über Onlinebewertungen und den Umgang mit Rezensionen mit vielen wichtigen Inputs hat Spass gemacht. Thomas Hasenfratz hat das Thema eindrücklich erklärt und gibt den Teilnehmern eine gute Basis für das Handling der online Bewertungen. Vielen Dank Thomas!»
  • Praxium Verlag
    «Als Fachverlag stellen wir vom PRAXIUM Verlag bei hrmbooks.ch bei Marketingaktivitäten besondere und auch nicht immer einfache Ansprüche, die sich aus Zielgruppen und Produkten ergeben. Mit cloudweb.ch bzw. Frau Martina Bernet sind wir sehr zufrieden und sie erfüllen alle diese Ansprüche.»
  • SELEGER SportsTravel
    «Wir haben das Vergnügen, im Rahmen von GoogleAds mit cloudWEB zusammenzuarbeiten. Wir fühlen uns bestens betreut, der Kontakt ist unkompliziert und hilfsbereit und man spürt nicht nur das immense Know-How des ganzen Teams, sondern auch das Herzblut, das dahinter steckt. Es ist eine grosse Freude, vielen Dank!»
  • Escape Room 24
    «Ich habe das cloudWEB-Team bei der Realisierung verschiedener Projekte als kompetent, innovativ, kreativ und zuverlässig kennengelernt. Besonders zu schätzen wusste ich den persönlichen Kontakt und die hohe Reaktionsgeschwindigkeit bei meinen Anliegen. Ich kann cloudWEB bedingungslos weiterempfehlen!»
  • Bauen.ch ein Produkt der Neuen Medien AG
    «Die cloudWEB hat uns eine neue Website erstellt, deren Hintergrundarbeit (Datenbank) sehr komplex und anspruchsvoll ist. Die cloudWEB, Herr Thomas Hasenfratz und seine Mitarbeiter haben uns in jeder Hinsicht (Termin / Preis / Schulung / Bearbeitungstool etc.) mehr als perfekt bedient und betreut. Dafür herzlichen Dank ..und weiter so !»
Hast Du Fragen?

cloudWEB - digitale Medien

Online Marketing Agentur Winterthur

WordPress Sicherheit: so schützt Du Deine Website wirklich

2 Juni, 2026
Faktencheck

Das Wichtigste in Kürze

  • 90 Prozent der WordPress-Hacks lassen sich mit sieben Routine-Massnahmen verhindern.
  • Updates sind die wichtigste Einzelmassnahme: veraltete Software ist Hack-Ursache Nr. 1 (Sucuri).
  • Seriöse Absicherung: CHF 80 bis 200 pro Monat (Managed Hosting inkl. Updates, Backups, Monitoring).

Dein WordPress läuft, das Telefon klingelt, Anfragen kommen rein. Und dann eines Morgens: weisse Seite, Spam-Links im Google-Index, Kunden rufen an, weil ihr Virenscanner Alarm schlägt. So ein Vorfall trifft in der Schweiz nicht nur grosse Konzerne, sondern täglich KMU-Websites, die jahrelang unauffällig liefen. Der Grund ist fast nie ein hochkomplexer Hackerangriff, sondern eine veraltete Plugin-Version, ein schwaches Admin-Passwort oder ein Hosting ohne Firewall.

Wir bei cloudWEB betreuen seit über 15 Jahren WordPress-Websites für Schweizer KMU, vom Treuhänder bis zum Industriebetrieb. Wir haben gehackte Sites repariert, Datenlecks geschlossen und gesehen, was wirklich funktioniert und was Theorie aus YouTube-Tutorials ist. Unterm Strich: 90 Prozent aller WordPress-Hacks lassen sich mit sieben konkreten Massnahmen verhindern, für die Du zusammen weniger als einen Arbeitstag brauchst.

Hier bekommst Du genau diese sieben Massnahmen, in der Reihenfolge, in der wir sie auch bei Kundenprojekten umsetzen. Du erfährst, was Du selbst übernehmen kannst, wo es einen Profi braucht, und was eine seriöse WordPress Sicherheit in der Schweiz realistisch investiert. Am Ende weisst Du, ob Deine Website wirklich geschützt ist oder nur so wirkt.

In meinen WordPress-Projekten sehe ich immer dasselbe Muster: Die teuersten Vorfälle entstehen selten durch raffinierte Angriffe, sondern durch aufgeschobene Updates und fehlende Backups. Genau diese Routine nehmen wir Dir ab, damit Deine Website ein Verkaufs-Kanal bleibt und kein Risiko.

Christoph Gehrig, Projektleiter Web & Digital bei cloudWEB

Warum WordPress Sicherheit für KMU keine IT-Spielerei ist

Über 40 Prozent aller Websites weltweit laufen auf WordPress. Genau diese Marktdominanz macht das System zum Lieblingsziel automatisierter Angriffe. Bots scannen das Netz rund um die Uhr nach bekannten Lücken, nicht gezielt nach Deinem Unternehmen, sondern nach jeder erreichbaren IP-Adresse.

Für ein KMU bedeutet ein erfolgreicher Hack drei Dinge gleichzeitig: Umsatzausfall (die Site ist offline oder im Browser als gefährlich markiert), Reputationsschaden (Kunden verlieren Vertrauen, Google straft die Domain ab) und rechtliches Risiko (bei Datenlecks greift das revidierte Schweizer Datenschutzgesetz mit Meldepflicht innert 72 Stunden). Eine Wiederherstellung investiert je nach Schaden ein Mehrfaches einer Jahres-Investition, dazu zwei bis vier Wochen Sichtbarkeitsverlust bei Google.

WordPress selbst ist nicht unsicher. Unsicher wird es durch fehlende Wartung, schlechte Konfiguration und Plugins aus zweifelhaften Quellen. Genau hier setzen die folgenden Massnahmen an.

Die 7 Massnahmen für eine wirklich sichere WordPress-Website

Diese sieben Punkte sind die Pflichtbasis, die wir bei jedem Kundenprojekt umsetzen, bevor wir überhaupt über Performance oder SEO sprechen. Sie greifen ineinander und decken die häufigsten Angriffsvektoren ab.

Infografik: 7 Massnahmen für WordPress Sicherheit für Schweizer KMU
7 Massnahmen für WordPress Sicherheit auf einen Blick · cloudWEB

1. Updates: das Fundament, das die meisten vernachlässigen

Rund 60 Prozent aller gehackten WordPress-Sites laufen auf einer veralteten Version von Core, Theme oder Plugin. Jedes Sicherheitsupdate schliesst eine bekannte Lücke, und sobald das Update veröffentlicht ist, wissen auch die Angreifer Bescheid und scannen das Netz gezielt nach Sites, die noch nicht aktualisiert sind.

Was Du brauchst: automatische Minor-Updates für den Core, manuelle Kontrolle bei Major-Updates und Plugins (weil die Kompatibilitätsprobleme verursachen können), und einen klaren Rhythmus. Wir prüfen Kundenseiten wöchentlich, niemals seltener als alle zwei Wochen. Plugins ohne Update seit über einem Jahr fliegen raus, kein Sentiment.

2. Logins und 2FA: das Eingangstor doppelt verriegeln

Brute-Force-Angriffe auf /wp-admin sind der häufigste automatisierte Angriffstyp. Ein starkes Passwort allein reicht nicht mehr. Drei Hebel, die zusammen 99 Prozent dieser Angriffe abwehren:

  • Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Accounts, idealerweise per Authenticator-App, nicht per SMS.
  • Login-URL ändern (z.B. von /wp-admin auf einen individuellen Pfad), damit Bots gar nicht erst an die richtige Tür klopfen.
  • Login-Versuche begrenzen auf maximal fünf pro IP und Stunde, danach IP-Sperre.

Plugins wie Wordfence oder Solid Security bringen alle drei Funktionen mit. Wichtig: keinen Benutzer «admin» verwenden, das ist der erste Username, den Bots durchprobieren.

3. Backups: die Lebensversicherung Deiner Website

Eine Sicherheitsmassnahme, die jeder kennt und kaum einer richtig umsetzt. Ein Backup auf demselben Server wie die Website ist im Ernstfall genauso weg wie die Site selbst. Die Regel, die wir bei jedem Kunden anwenden: 3-2-1.

  • 3 Kopien Deiner Daten (Live-Site, Backup-Snapshot, externes Backup).
  • 2 verschiedene Medien (z.B. Hosting-Server und externer Cloud-Speicher).
  • 1 Kopie ausserhalb des Hosting-Servers (eigener Cloud-Account, S3, Backblaze).

Frequenz: täglich für die Datenbank, wöchentlich für die kompletten Dateien. Und mindestens einmal pro Quartal: Test-Restore. Ein Backup, das Du noch nie zurückgespielt hast, ist kein Backup, sondern eine Hoffnung.

4. Hosting, SSL und Firewall: die Basis, auf der alles steht

Ein günstiges Massenhosting für CHF 5 im Monat spart kurzfristig Geld, investiert bei einem Hack aber das Zehnfache. Achte auf Schweizer Hoster mit ISO-zertifizierten Rechenzentren (z.B. Hostpoint, Cyon, Infomaniak), automatischen Backups auf Hosting-Ebene, aktueller PHP-Version (8.2 oder höher) und einer Web Application Firewall (WAF), die Angriffe abfängt, bevor sie WordPress überhaupt erreichen.

SSL ist seit Jahren Pflicht, aber ein gültiges Zertifikat allein reicht nicht. Erzwinge HTTPS via .htaccess oder Server-Konfiguration, aktiviere HSTS (HTTP Strict Transport Security) und prüfe Deine Konfiguration zweimal jährlich mit dem SSL Labs Test. Eine sauber konfigurierte SSL-Site bekommt dort die Note A oder A+.

5. Plugins und Themes: weniger ist mehr Sicherheit

Jedes installierte Plugin ist eine potenzielle Schwachstelle. Wir sehen bei Kundenseiten regelmässig 30 bis 40 aktive Plugins, davon werden vielleicht 15 wirklich gebraucht. Jedes ungenutzte Plugin ist ein offenes Fenster, durch das jemand einsteigen kann. Vier harte Regeln:

  • Nur Plugins aus dem offiziellen WordPress-Repository oder von etablierten Anbietern (Yoast, WP Rocket, Elementor, Gravity Forms etc.).
  • Keine «Nulled Plugins» (gecrackte Premium-Plugins aus dubiosen Quellen). Sie enthalten fast immer Backdoors.
  • Plugins ohne Update seit über 12 Monaten deinstallieren und ersetzen.
  • Test-Plugins und alte Themes komplett entfernen, nicht nur deaktivieren.

Faustregel: maximal 20 aktive Plugins für eine normale KMU-Website. Mehr braucht selten jemand, mehr macht die Site fast immer langsamer und unsicherer.

6. Monitoring: bemerken, bevor es Kunden tun

Die meisten KMU erfahren von einem Hack erst, wenn ein Kunde anruft oder Google die Site abstraft. Da ist der Schaden längst da. Aktives Monitoring schliesst diese Lücke. Drei Ebenen, die zusammenspielen:

  • Uptime-Monitoring (z.B. UptimeRobot, kostenloser Plan reicht für die meisten KMU): Benachrichtigung innert Minuten, wenn die Site offline geht.
  • Malware-Scanner (Wordfence, Sucuri): tägliche Scans auf veränderte Dateien und bekannte Schadcode-Signaturen.
  • Google Search Console: zeigt Sicherheitsprobleme an, sobald Google sie erkennt.

Das alles zu konfigurieren investiert maximal zwei Stunden. Dann läuft es im Hintergrund und meldet sich nur, wenn wirklich etwas nicht stimmt.

7. Notfallplan: was passiert, wenn doch etwas passiert

Auch mit allen Massnahmen bleibt ein Restrisiko. Wer dann improvisiert, verliert Zeit und Geld. Ein simpler Notfallplan auf einer A4-Seite reicht: Wer wird informiert (Geschäftsführung, IT-Partner, Hoster)? Wo liegen die aktuellen Backups und Zugangsdaten? Welche Rolle übernimmt welche Person? Welche Deadlines gelten rechtlich (72 Stunden Meldepflicht bei Datenschutzvorfällen)?

Dieser Plan wird einmal erstellt und jährlich überprüft. Im Ernstfall spart er Stunden, manchmal Tage.

Selbst machen oder Profi: ehrliche Einschätzung

Updates, Login-Härtung und ein einfaches Backup-Plugin: das kann ein technikaffiner Inhaber selbst umsetzen, mit zwei bis vier Stunden Einarbeitung. Die Schwachstelle ist nicht das Wissen, sondern die Konsequenz. Sicherheit ist kein Projekt, sondern ein Prozess, und Prozesse scheitern bei KMU fast immer an der Zeit.

Wenn Du wöchentlich 30 Minuten für Updates, Monitoring und Logs reservieren kannst und auch nimmst, läuft das in Eigenregie. Wenn nicht (was bei 80 Prozent unserer Anfragen der Fall ist), übernimmt ein externer Partner die WordPress Wartung als Pauschale. Das ist günstiger als ein einziger Hack und nimmt das Thema dauerhaft vom Tisch.

Die ehrliche Alternative: ein lokaler IT-Dienstleister ohne WordPress-Spezialisierung kann das technisch auch, übersieht aber häufig die WordPress-spezifischen Eigenheiten (Plugin-Konflikte, Theme-Updates, Datenbank-Optimierung). Für reine WordPress-Sicherheit lohnt sich ein spezialisierter Partner. Für gemischte Infrastruktur (Server, Microsoft 365, Endgeräte) ist der lokale Generalist oft die bessere Wahl.

Du hast jetzt einen klaren Plan

Du weisst, welche sieben Hebel WordPress Sicherheit wirklich ausmachen: Updates, Logins mit 2FA, externe Backups, sauberes Hosting mit Firewall, schlanker Plugin-Stack, aktives Monitoring und ein einfacher Notfallplan. Du weisst auch, was ein Hack ein KMU realistisch investiert (ein Mehrfaches einer Jahres-Investition plus zwei bis vier Wochen Sichtbarkeitsverlust) und warum sich die wenigen Stunden Aufwand für die Absicherung mehrfach auszahlen.

Das eigentliche Problem ist selten Wissen, sondern Disziplin. Eine Website, die heute sicher ist, ist es in drei Monaten nicht mehr automatisch. Sicherheit funktioniert nur als laufender Prozess, nicht als einmaliges Projekt.

Der nächste sinnvolle Schritt: prüf in den nächsten 48 Stunden, welche dieser sieben Punkte bei Deiner Website wirklich sitzen und welche nicht. Wenn drei oder mehr fehlen, ist es Zeit zu handeln, nicht erst nach dem ersten Vorfall.

Wir bei cloudWEB sind seit über 15 Jahren auf WordPress spezialisiert und betreuen Schweizer KMU vom Treuhänder bis zum Industriebetrieb. Wenn Du wissen möchtest, wo Deine Website konkret steht, mach mit uns ein unverbindliches Beratungsgespräch von 30 Minuten: wir schauen gemeinsam auf Deine Site und Du bekommst eine ehrliche Einschätzung, ob Eigenregie reicht oder ein Wartungspartner Sinn macht. Mehr zu unserem Ansatz findest Du auf der Seite unserer WordPress Agentur.

Häufige Fragen zur WordPress Sicherheit

Was investiert eine professionelle WordPress-Absicherung in der Schweiz?

Bei cloudWEB ist Sicherheit Teil des Managed WordPress Hostings, kein separater Posten. Das startet bei CHF 50 pro Monat für eine einfache Firmenwebsite, liegt bei CHF 80 bis 120 pro Monat für eine umfangreichere Website mit Blog und bei CHF 120 bis 200 pro Monat für einen WooCommerce-Shop. Darin enthalten sind Updates, Wartung, Backups, Monitoring und Support. Zum Vergleich: ein einziger Hack mit Wiederherstellung verschlingt schnell ein Mehrfaches einer Jahres-Investition, laufender Schutz amortisiert sich also rasch.

Reicht ein Sicherheits-Plugin wie Wordfence aus?

Wordfence (oder Solid Security, Sucuri) ist ein wichtiger Baustein, ersetzt aber kein Hosting mit Firewall und keine saubere Backup-Strategie. Wer denkt «Plugin installiert, fertig», ist nur scheinbar sicher. Plugin plus 2FA plus Backups plus aktuelle Updates: das ist die funktionierende Kombination.

Wie merke ich, ob meine Website schon gehackt wurde?

Typische Anzeichen: Google zeigt in der Search Console eine Sicherheitswarnung, der Browser blockiert die Seite, in den Suchergebnissen erscheinen plötzlich Begriffe aus anderen Branchen (Pharma, Glücksspiel), die Site wird sehr langsam, oder Du findest unbekannte Admin-Accounts im WordPress-Backend. Ein einmaliger Scan mit Wordfence oder Sucuri SiteCheck (kostenlos) gibt Klarheit innert Minuten.

Brauche ich ein Schweizer Hosting für eine sichere WordPress-Site?

Nicht zwingend, aber sinnvoll. Schweizer Hoster wie Hostpoint, Cyon oder Infomaniak haben ihre Server in der Schweiz, was bei Datenschutzthemen einfacher ist (revDSG), bieten deutschsprachigen Support und kennen die WordPress-Bedürfnisse von KMU. Internationale Anbieter sind technisch teils besser, im Support bei Problemen aber schwerfälliger.

Wie oft muss ich Updates machen?

Minor-Updates des WordPress-Core können automatisch laufen. Plugin- und Theme-Updates sowie Major-Versionen prüfst Du idealerweise wöchentlich, mindestens alle zwei Wochen. Wichtig: vor jedem grösseren Update ein Backup ziehen, damit Du im Fall eines Plugin-Konflikts in fünf Minuten zurück bist.

Artikel von Christoph Gehrig

Struktur trifft Kreativität mit Projekten, die Wirkung zeigen.

Projektleitung, WordPress, SEO und Automatisierung: digitale Lösungen, die klar geplant, sauber umgesetzt und auf nachhaltigen Mehrwert ausgerichtet sind.

Christoph Gehrig ist Online Marketing Manager bei cloudWEB und verantwortet vor allem die Projektleitung im Bereich WordPress-Websites und digitale Entwicklungen. Durch seine Erfahrung im Online-Marketing, von SEO über Content bis hin zu Automatisierungen, bringt er Struktur, Klarheit und Dynamik in jedes Projekt. Als begeisterter Reisender lässt er sich von neuen Perspektiven inspirieren und überträgt diese Offenheit direkt in seine Arbeit, lösungsorientiert, vielseitig und mit dem Blick fürs Ganze.

Kostenloses BeratungsgesprächMarketingbudget berechnen

Weitere Artikel

martina-bernet-popup-ratgeber

*“ zeigt erforderliche Felder an

Anrede
Ratgeber für...