Cyberangriffe treffen längst nicht mehr nur Großkonzerne – kleine und mittlere Unternehmen sind das bevorzugte Ziel. SSL, Updates, sichere Passwörter und Backups: Ein praktischer Leitfaden für grundlegende Sicherheitsmaßnahmen, die jede Unternehmenswebsite braucht.
Jonas Freudenberg
11 Minuten
Täglich werden in Deutschland etwa 13.000 WordPress-Websites gehackt. Alle 22 Minuten erfolgt ein Angriffsversuch. Und die Zahlen steigen weiter: 2025 wurden 34 Prozent mehr Sicherheitslücken identifiziert als im Vorjahr. Das Erschreckende daran: 80 Prozent aller Ransomware-Angriffe richten sich gezielt gegen kleine und mittlere Unternehmen. Trotzdem unterschätzt mehr als die Hälfte der KMU-Mitarbeiter die Gefahr und hält das eigene Unternehmen für ein uninteressantes Ziel. Ein fataler Irrtum. Die gute Nachricht: Mit überschaubarem Aufwand kannst du deine Website deutlich sicherer machen. Dieser Beitrag zeigt dir die wichtigsten Maßnahmen.
Viele Inhaber kleiner Unternehmen denken: Wer sollte sich schon für meine Website interessieren? Genau diese Haltung machen sich Angreifer zunutze. Denn KMU sind aus Sicht von Cyberkriminellen ideale Ziele: Sie verfügen über wertvolle Daten – Kundenadressen, Zahlungsinformationen, Geschäftsdokumente – haben aber oft nicht die Ressourcen für professionelle IT-Sicherheit.
Die Zahlen sprechen eine deutliche Sprache: Laut dem Data Breach Observatory waren 70,5 Prozent der identifizierten Datenpannen 2025 auf Angriffe auf Unternehmen mit 1 bis 249 Mitarbeitern zurückzuführen. 94 Prozent der KMUs waren 2024 mindestens einem Cyberangriff ausgesetzt, und 78 Prozent befürchten, dass ein Verstoß ihr Unternehmen existenziell gefährden könnte.
Die Angriffe werden dabei immer raffinierter. KI-generierte Phishing-Mails sind mittlerweile so professionell, dass 60 Prozent der Empfänger diese nicht als Betrug erkennen. Deepfake-Angriffe haben sich im ersten Quartal 2025 im Vergleich zum Vorjahr um 1100 Prozent erhöht. Dabei werden gefälschte Video- oder Audioaufnahmen genutzt, um in Telefonaten oder Videokonferenzen die Identität von Vorgesetzten vorzutäuschen.
Ein SSL-Zertifikat ist heute keine Option mehr, sondern Pflicht. Es verschlüsselt die Datenübertragung zwischen deiner Website und den Browsern deiner Besucher. Ohne SSL werden eingegebene Daten – Kontaktformulare, Login-Daten, Bestellungen – im Klartext übertragen und können abgefangen werden.
Du erkennst eine SSL-gesicherte Website am Schloss-Symbol in der Browserzeile und an der Adresse, die mit https:// statt http:// beginnt. Websites ohne SSL zeigen in modernen Browsern eine deutliche Warnung „Nicht sicher" – ein absoluter Vertrauenskiller für potenzielle Kunden.
Die Verschlüsselung schützt nicht nur sensible Daten. Google berücksichtigt HTTPS als Ranking-Faktor, sichere Websites werden also in den Suchergebnissen bevorzugt. Außerdem signalisiert das Schloss-Symbol Professionalität und Vertrauenswürdigkeit – besonders wichtig, wenn du Produkte verkaufst oder Anfragen über Kontaktformulare erhältst.
SSL-Zertifikat einrichten
Die meisten Hosting-Anbieter stellen heute kostenlose SSL-Zertifikate über Let's Encrypt zur Verfügung. Die Einrichtung erfolgt in der Regel mit wenigen Klicks im Kundenbereich deines Hosters. Nach der Aktivierung musst du in WordPress unter Einstellungen die Website-Adresse auf https:// umstellen. Wichtig: Richte eine automatische Weiterleitung von HTTP auf HTTPS ein, damit Besucher auch bei Eingabe der alten Adresse auf der sicheren Version landen.
Veraltete Software ist eines der größten Einfallstore für Angreifer. 2025 wurden 486 Sicherheitslücken in WordPress identifiziert, bei 393 Plugins und Themes fehlen entsprechende Patches. Je länger du mit Updates wartest, desto größer wird deine Angriffsfläche.
Das betrifft nicht nur WordPress selbst, sondern auch alle installierten Plugins und Themes. Hacker durchsuchen gezielt das Internet nach Websites, die bekannte Sicherheitslücken aufweisen. Sobald eine Schwachstelle öffentlich bekannt wird, beginnt ein Wettlauf: Zwischen dem Zeitpunkt, an dem ein Sicherheits-Patch verfügbar ist, und dem Moment, in dem du ihn installierst, ist deine Website verwundbar.
Aktiviere automatische Updates für WordPress-Sicherheitsupdates – diese werden ohnehin meist automatisch installiert. Bei größeren Versions-Updates solltest du vorher ein Backup erstellen und zeitnah aktualisieren. Plugins und Themes solltest du mindestens wöchentlich prüfen und aktualisieren. Deaktiviere und lösche Plugins, die du nicht mehr verwendest – jedes zusätzliche Plugin ist ein potenzielles Sicherheitsrisiko.
Managed WordPress Hosting-Anbieter kümmern sich oft automatisch um Updates und bieten zusätzliche Sicherheitskonfigurationen. Das kann sich besonders lohnen, wenn du keine Zeit für regelmäßige Wartung hast.
Rund 73 Prozent aller Sicherheitsvorfälle gehen auf Phishing und den Diebstahl von Anmeldeinformationen zurück. Schwache Passwörter sind der einfachste Weg für Angreifer, Zugang zu deiner Website zu erlangen. Bei sogenannten Brute-Force-Angriffen probieren automatisierte Programme systematisch Passwort-Kombinationen durch, bis sie fündig werden.
Ein sicheres Passwort ist mindestens 12 Zeichen lang und enthält Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Es sollte keine Wörter aus dem Wörterbuch enthalten und nicht auf persönlichen Informationen basieren. Verwende für jeden Dienst ein eigenes Passwort – wenn eines gestohlen wird, sind nicht automatisch alle anderen Zugänge gefährdet.
Ein Passwort-Manager wie Bitwarden, 1Password oder KeePass hilft dir, sichere Passwörter zu generieren und zu verwalten. Du musst dir nur noch ein Master-Passwort merken.
Die Zwei-Faktor-Authentifizierung, kurz 2FA, fügt eine zusätzliche Sicherheitsebene hinzu. Selbst wenn jemand dein Passwort kennt, braucht er zusätzlich einen Code, der auf deinem Smartphone generiert wird. Für WordPress gibt es Plugins wie WP 2FA oder Wordfence, die diese Funktion nachrüsten. Die Einrichtung dauert nur wenige Minuten und erhöht die Sicherheit erheblich.
Login-Versuche begrenzen
WordPress erlaubt standardmäßig unbegrenzte Login-Versuche – ein Paradies für Brute-Force-Angriffe. Mit Plugins wie Limit Login Attempts Reloaded kannst du die Anzahl der Fehlversuche begrenzen. Nach beispielsweise fünf falschen Eingaben wird die IP-Adresse für eine bestimmte Zeit gesperrt. So werden automatisierte Angriffe effektiv ausgebremst.
Selbst mit allen Sicherheitsmaßnahmen gibt es keine hundertprozentige Sicherheit. Wenn staatliche Websites gehackt werden können, kann es auch deine treffen. Deshalb sind regelmäßige Backups unverzichtbar – sie ermöglichen es dir, deine Website im Ernstfall schnell wiederherzustellen.
Ein vollständiges Backup umfasst alle Website-Dateien und die Datenbank. Es sollte an einem externen Ort gespeichert werden, nicht nur auf dem gleichen Server wie deine Website. Cloud-Dienste wie Amazon S3, Google Drive oder Dropbox eignen sich gut dafür. Wenn dein Server kompromittiert wird, sind auch dort gespeicherte Backups gefährdet.
Die Backup-Frequenz hängt davon ab, wie oft sich deine Website ändert. Für einen Blog mit wöchentlichen Beiträgen reicht ein wöchentliches Backup. Ein Onlineshop mit täglichen Bestellungen sollte täglich gesichert werden. Manche Backup-Lösungen erstellen sogar bei jeder Änderung automatisch eine Sicherung.
Plugins wie UpdraftPlus, BackupBuddy oder Jetpack VaultPress Backup automatisieren den Backup-Prozess. Du legst einmal fest, wann und wohin gesichert werden soll, und das Plugin kümmert sich um den Rest. Wichtig: Teste regelmäßig, ob die Wiederherstellung funktioniert. Ein Backup, das sich nicht wiederherstellen lässt, ist wertlos.
Sicherheits-Plugins bieten einen umfassenden Schutz für deine WordPress-Website. Sie kombinieren verschiedene Funktionen wie Firewall, Malware-Scanner, Login-Schutz und Aktivitätsprotokoll in einem Tool.
Wordfence ist eines der beliebtesten Sicherheits-Plugins und bietet bereits in der kostenlosen Version eine Endpoint-Firewall und einen Malware-Scanner. Es blockiert bekannte Angriffsmuster und verdächtige IP-Adressen in Echtzeit. Sucuri bietet ähnliche Funktionen und zusätzlich eine cloudbasierte Firewall. iThemes Security (jetzt Solid Security) punktet mit einer besonders benutzerfreundlichen Oberfläche.
Eine Web Application Firewall, kurz WAF, filtert bösartigen Datenverkehr heraus, bevor er deine Website erreicht. Sie erkennt typische Angriffsmuster wie SQL-Injection oder Cross-Site-Scripting und blockiert diese automatisch. Cloud-basierte WAFs wie Cloudflare leiten den gesamten Datenverkehr durch ihre Server und können Angriffe abfangen, bevor sie deinen Server überhaupt erreichen.
Website-Sicherheit und Datenschutz hängen eng zusammen. Die Datenschutz-Grundverordnung verpflichtet dich, personenbezogene Daten angemessen zu schützen. Bei einem Sicherheitsvorfall mit Datenabfluss musst du diesen unter Umständen innerhalb von 72 Stunden der Datenschutzbehörde melden – und möglicherweise auch die betroffenen Personen informieren.
Die DSGVO verlangt technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten. Dazu gehören verschlüsselte Datenübertragung mittels SSL, sichere Passwörter und Zugriffskontrollen, regelmäßige Updates und Sicherheits-Patches sowie Backups zur Wiederherstellung bei Datenverlust. All die Maßnahmen, die wir in diesem Beitrag besprechen, helfen dir also auch bei der DSGVO-Konformität.
Datensparsamkeit als Sicherheitsmaßnahme
Je weniger Daten du speicherst, desto weniger können gestohlen werden. Überlege bei jedem Formularfeld, ob du diese Information wirklich brauchst. Lösche Daten, die du nicht mehr benötigst, regelmäßig. Das reduziert nicht nur das Risiko bei einem Sicherheitsvorfall, sondern vereinfacht auch die DSGVO-Compliance.
Die Wahl des richtigen Hosting-Anbieters legt das Fundament für die Sicherheit deiner Website. Ein unsicherer Server kann alle anderen Sicherheitsmaßnahmen zunichtemachen.
Ein guter Hosting-Anbieter bietet aktuelle Server-Software und regelmäßige Sicherheitsupdates. Er sollte eine Firewall auf Server-Ebene betreiben und DDoS-Schutz bieten. Automatische Backups, am besten an einem separaten Standort, gehören ebenfalls zum Standard. Ein kostenloses SSL-Zertifikat sollte heute selbstverständlich sein.
Bei günstigem Shared Hosting teilst du dir einen Server mit vielen anderen Websites. Wenn eine davon kompromittiert wird, kann das unter Umständen auch deine Website gefährden. Managed Hosting bietet mehr Isolation und proaktive Sicherheitsmaßnahmen. Für geschäftskritische Websites ist das die bessere Wahl.
Trotz aller Vorsichtsmaßnahmen kann es passieren, dass deine Website gehackt wird. Wichtig ist dann, schnell und richtig zu reagieren, um den Schaden zu begrenzen.
Nicht jeder Hack ist sofort offensichtlich. Warnsignale sind unbekannte Admin-Benutzer in deinem WordPress, veränderte Dateien oder neue Dateien in deinen Verzeichnissen, Weiterleitungen auf fremde Seiten, Warnungen von Google oder deinem Hosting-Anbieter sowie ungewöhnlich hoher Traffic oder Serverauslastung. Manchmal werden auch nur unsichtbare Spam-Links in deine Seiten eingefügt, die du selbst gar nicht bemerkst.
Versetze deine Website in den Wartungsmodus, um Besucher zu schützen. Ändere sofort alle Passwörter – WordPress, FTP, Datenbank, Hosting-Zugang. Kontaktiere deinen Hosting-Anbieter, der möglicherweise weitere Informationen hat. Scanne deine Website mit einem Malware-Scanner auf schädliche Dateien. Wenn du ein sauberes Backup hast, ist die Wiederherstellung oft der schnellste Weg zur Lösung.
Professionelle Hilfe bei Hackerangriffen
Bei komplexen Angriffen kann professionelle Hilfe sinnvoll sein. Die CYBERsicher Notfallhilfe der Transferstelle Cybersicherheit im Mittelstand unterstützt KMU, Start-ups und Handwerksbetriebe kostenlos bei der Reaktion auf Cyberangriffe. Dokumentiere den Vorfall sorgfältig – das hilft bei der Aufarbeitung und ist bei einer eventuellen Meldung an die Datenschutzbehörde wichtig.
Website-Sicherheit ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Die Bedrohungslage entwickelt sich ständig weiter, und deine Sicherheitsmaßnahmen müssen mithalten. Das BSI empfiehlt konsequentes Angriffsflächenmanagement – zeitnahe Updates, restriktives Zugangsmanagement und die Minimierung öffentlich erreichbarer Systeme – als entscheidenden Hebel für mehr Cybersicherheit.
Die gute Nachricht: Mit den grundlegenden Maßnahmen aus diesem Beitrag schützt du deine Website bereits vor den häufigsten Angriffen. SSL-Zertifikat, regelmäßige Updates, sichere Passwörter mit Zwei-Faktor-Authentifizierung und zuverlässige Backups bilden ein solides Fundament. Ein Sicherheits-Plugin ergänzt diese Basis um zusätzlichen Schutz.
Für Unternehmen in Rheinland-Pfalz – ob Handwerksbetrieb in Bad Kreuznach, Dienstleister in Mainz oder Einzelhändler in Koblenz – ist eine sichere Website kein Luxus, sondern geschäftskritisch. Der wirtschaftliche Schaden durch Cyberangriffe in Deutschland wird auf fast 180 Milliarden Euro pro Jahr geschätzt. Die Investition in Sicherheit ist immer günstiger als die Kosten eines erfolgreichen Angriffs.
Website-Sicherheitscheck für dein Unternehmen
Du bist unsicher, wie es um die Sicherheit deiner Website steht? Wir von Lixify prüfen deine Website auf Schwachstellen und helfen dir, die richtigen Schutzmaßnahmen umzusetzen – von SSL-Einrichtung über Backup-Konzepte bis zur Wartungsvereinbarung. Sprich uns an für eine unverbindliche Erstberatung.
Weitere Beiträge
Beitrag ansehen
12Minuten
Mehr als die Hälfte aller potenziellen Neukunden googelt einen Betrieb, bevor sie anrufen – auch wenn sie ihn empfohlen bekommen haben. Ohne professionelle Website verlierst du Aufträge, ohne es zu merken. Was eine gute Handwerker-Website leisten muss und wie sie sich in wenigen Monaten bezahlt macht.
Beitrag ansehen
12Minuten
70 Prozent der Restaurantbesucher nutzen digitale Plattformen, um ein neues Lokal zu finden – doch viele Gastronomen verschenken dieses Potenzial. Erfahre, welche Inhalte Gäste auf einer Restaurant-Website erwarten, warum die Speisekarte online gehört und wie du mehr Reservierungen bekommst.