Hafen

WordPress Passwort-Sicherheit: Warum dein Passwort das größte Risiko ist

Die meisten gehackten WordPress-Seiten scheitern nicht an fehlenden Security-Plugins, sondern an schwachen Nutzer-Passwörtern. Warum Länge wichtiger ist als Sonderzeichen-Akrobatik, welche Passwort-Mythen du getrost vergessen kannst und wie du dir mit der Merksatz-Methode Passwörter baust, die stark sind und trotzdem im Kopf bleiben.

Wenn eine WordPress-Seite gehackt wird, fällt der Verdacht reflexartig auf fehlende Technik: kein Security-Plugin, keine Firewall, kein Malware-Scanner. Die unbequeme Wahrheit sieht anders aus. In der Praxis ist die größte Schwachstelle fast jeder WordPress-Seite viel banaler: schwache, wiederverwendete oder erratbare Passwörter der Nutzer. Ein Angreifer, der sich mit gültigen Zugangsdaten einloggt, löst keinen einzigen Firewall-Alarm aus. Er ist einfach drin.

Dieser Artikel erklärt, warum Passwörter das Einfallstor Nr. 1 sind, räumt mit den hartnäckigsten Passwort-Mythen auf und zeigt dir eine Methode, mit der du dir wirklich starke Passwörter bauen kannst, die du dir trotzdem merken kannst. Und weil das Thema so wichtig ist, haben wir dafür ein kostenloses Tool gebaut, das dir die Arbeit abnimmt.

Warum Passwörter das Einfallstor Nr. 1 sind

WordPress-Logins werden nicht von gelangweilten Einzeltätern angegriffen, sondern von Botnetzen, die rund um die Uhr automatisiert arbeiten. Zwei Angriffsmuster dominieren dabei:

Brute Force und Wörterbuch-Angriffe: Bots probieren systematisch Millionen von Kombinationen durch, angefangen bei den Klassikern wie 123456, passwort oder dem Namen der Website plus Jahreszahl. Kurze oder naheliegende Passwörter fallen dabei nicht in Wochen, sondern in Sekunden bis Minuten. Bevorzugte Ziele sind wp-login.php und die oft vergessene Schnittstelle xmlrpc.php: Über deren system.multicall-Funktion lassen sich hunderte Passwort-Versuche in eine einzige Anfrage packen, was klassische Login-Limits elegant umgeht. Wer XML-RPC nicht braucht, etwa für die Jetpack-Anbindung oder alte App-Verbindungen, sollte die Schnittstelle deshalb deaktivieren.

Credential Stuffing: Noch effizienter ist es, gar nicht zu raten. Aus Datenlecks bei anderen Diensten kursieren Milliarden echter E-Mail-Passwort-Kombinationen. Bots probieren diese Listen einfach bei WordPress-Logins durch. Wer dasselbe Passwort für den Online-Shop, das E-Mail-Konto und den WordPress-Admin verwendet, ist nach dem nächsten Leck bei irgendeinem dieser Dienste überall gleichzeitig kompromittiert. Passwort-Wiederverwendung ist damit kein Schönheitsfehler, sondern der direkte Draht vom fremden Datenleck zu deinem Admin-Bereich.

Ein Sicherheits-Plugin kann viele dieser Versuche abfangen und verlangsamen, das ist wertvoll. Aber gegen ein gültiges, gestohlenes oder erratenes Passwort hilft keine Firewall der Welt. Deshalb kommt die Passwort-Hygiene vor jeder Plugin-Entscheidung.

Die drei größten Passwort-Mythen

Rund um Passwörter halten sich Regeln, die vor zwanzig Jahren gut gemeint waren und heute nachweislich mehr schaden als nützen. Selbst das amerikanische NIST und das deutsche BSI haben ihre Empfehlungen entsprechend umgestellt.

Mythos 1: Sonderzeichen-Wirrwarr schlägt Länge

Das kurze P@ssw0rt! wirkt sicher, ist es aber nicht: Genau diese Ersetzungen (a zu @, o zu 0, Ausrufezeichen ans Ende) stehen längst in jedem Wörterbuch-Angriff. Ein Passwort mit acht kryptischen Zeichen ist rechnerisch deutlich schwächer als eines mit zwanzig einfachen. Länge schlägt Komplexität, und zwar nicht knapp, sondern um Größenordnungen. Jedes zusätzliche Zeichen multipliziert den Aufwand für den Angreifer, statt ihn nur zu addieren.

Mythos 2: Passwörter müssen regelmäßig gewechselt werden

Erzwungene Wechsel alle 90 Tage führen in der Praxis zu einem vorhersehbaren Muster: Aus Sommer2025! wird Herbst2025!. Solche Rotationen senken die tatsächliche Sicherheit, weil Menschen sich merkbare Systeme bauen, die Angreifer genauso kennen. Die moderne Empfehlung lautet: Ein starkes Passwort bleibt, bis es einen konkreten Anlass gibt, etwa ein Datenleck beim Dienst oder der Verdacht, dass jemand mitgelesen hat. Dann wird sofort gewechselt, nicht nach Kalender.

Mythos 3: „Mein Blog ist zu klein, um angegriffen zu werden"

Bots kennen keine Reichweite. Sie scannen IP-Bereiche und Domain-Listen komplett durch, und ein kleiner Gartenblog ist für sie genauso interessant wie ein großes Magazin: als Spam-Schleuder, Phishing-Host, SEO-Linkfarm oder Sprungbrett für weitere Angriffe. Die Frage ist nicht, ob deine Login-Seite automatisiert angegriffen wird. Sie wird es bereits, vermutlich mehrmals täglich. Die Frage ist nur, ob die Versuche ins Leere laufen.

Was wirklich hilft: Länge, Zufall, Einzigartigkeit

Die Stärke eines Passworts lässt sich mit einem einzigen Begriff fassen: Entropie, also die Menge an echtem Zufall, die darin steckt. Vereinfacht gesagt: Wie viele Möglichkeiten muss ein Angreifer durchprobieren, bis er dein Passwort sicher gefunden hat? Jedes zusätzliche zufällige Zeichen vervielfacht diese Zahl. Ein zufälliges Passwort mit 12 Zeichen aus Buchstaben, Ziffern und Sonderzeichen bietet schon mehr Kombinationen, als alle Rechner der Welt in Jahrhunderten durchprobieren könnten, eines mit 16 bis 20 Zeichen ist auf absehbare Zeit praktisch unknackbar.

Entscheidend ist das Wort zufällig. Ein 20 Zeichen langer Liedtext-Anfang ist nicht zufällig, der steht in denselben Listen wie die Wörterbücher. Daraus ergeben sich drei einfache Regeln:

1. Länge: Mindestens 16 Zeichen, gern mehr. 2. Zufall: Die Bausteine müssen gewürfelt sein, nicht ausgedacht, denn Menschen sind miserable Zufallsgeneratoren. 3. Einzigartigkeit: Jeder Dienst bekommt sein eigenes Passwort, damit ein Leck bei Dienst A nicht Dienst B öffnet. Wer alle drei Regeln einhält, hat das Passwort-Problem im Kern gelöst. Bleibt nur eine Frage: Wie soll man sich so etwas merken?

Die Merksatz-Methode: Passwörter aus Bildern und Geschichten

Unser Gehirn ist schlecht in Zeichensalat, aber hervorragend in Bildern und Geschichten. Genau das nutzt die Merksatz-Methode: Statt dir E1nh0rn!Id33#B4d3w4nn3-4711 als Zeichenfolge zu merken, merkst du dir ein absurdes Bild: „Das Einhorn hat eine Idee in der Badewanne" 🦄💡🛁. Aus diesem Satz wird nach festen, einfachen Regeln das Passwort abgeleitet: markante Wörter übernehmen, ein paar Buchstaben durch Ziffern ersetzen, Trennzeichen und eine Zahl ergänzen. Das Bild ist so schräg, dass es hängen bleibt, und das abgeleitete Passwort ist lang, gemischt und taucht in keinem Wörterbuch auf.

Der Haken bei selbst ausgedachten Merksätzen: Menschen denken sich vorhersehbare Sätze aus. Deshalb sollte die Geschichte gewürfelt werden, nicht gewählt. Genau dafür haben wir ein kleines Werkzeug gebaut.

Kostenloses Tool: der Emoji-Passwort-Generator. Unser Emoji-Passwort-Generator würfelt dir per echtem Zufallsgenerator (crypto.getRandomValues) eine absurde Bildergeschichte samt Emojis und leitet daraus ein starkes Passwort ab, zum Beispiel: „Das Einhorn hat eine Idee in der Badewanne" 🦄💡🛁 wird zu E1nh0rn!Id33#B4d3w4nn3-4711. Das Ganze läuft komplett in deinem Browser: Nichts wird übertragen, nichts gespeichert, kein Server sieht dein Passwort. Neu würfeln, bis ein Bild hängen bleibt, fertig.

Wichtig zur Einordnung: Die Merksatz-Methode ist für die wenigen Passwörter gedacht, die du wirklich im Kopf haben musst. Für alle anderen gibt es eine bessere Lösung, dazu gleich mehr.

Konkrete Maßnahmen für WordPress-Betreiber

Ein starkes eigenes Passwort ist die halbe Miete. Die andere Hälfte: dafür sorgen, dass auch alle anderen Konten auf deiner Seite kein Einfallstor sind. Diese fünf Maßnahmen decken die Praxis ab:

1. Starke Passwort-Policy für alle Rollen

Das stärkste Admin-Passwort nützt wenig, wenn ein Redakteurs-Konto mit sommer123 gesichert ist. Auch Konten mit weniger Rechten sind wertvolle Beute, etwa für Spam-Inhalte oder als Ausgangspunkt für Rechteausweitung. WordPress zeigt bei der Passwortwahl eine Stärke-Anzeige, lässt schwache Passwörter aber auf Bestätigung zu. Eine erzwungene Mindeststärke für alle Rollen, per Plugin oder Policy im Team, schließt diese Lücke. Besondere Verantwortung trägt, wer einen Mitgliederbereich betreibt: Dort hängen schnell hunderte oder tausende Nutzerkonten an deiner Seite, deren Zugangsdaten du mit schützt. Wer so etwas plant oder betreibt, sollte auf eine Lösung setzen, die Sicherheit von Anfang an mitdenkt, so wie unser MemberJet mit Security by Design.

2. Zwei-Faktor-Authentifizierung aktivieren

Ein zweiter Faktor (Authenticator-App oder Sicherheitsschlüssel) macht ein gestohlenes Passwort allein wertlos. Für Admin- und Redakteurs-Konten sollte 2FA Pflicht sein, nicht Option. Der Einrichtungsaufwand liegt bei wenigen Minuten pro Konto und ist die mit Abstand wirksamste Ergänzung zu einem starken Passwort.

3. Login-Versuche begrenzen

Standardmäßig erlaubt WordPress unbegrenzt viele Login-Versuche, ein Geschenk an jeden Brute-Force-Bot. Ein Limit mit anschließender Sperre oder Wartezeit bremst automatisierte Angriffe drastisch aus. Viele der gängigen Sicherheits-Plugins bringen diese Funktion mit, und wie oben beschrieben gehört xmlrpc.php mit in die Begrenzung, sonst läuft der Angriff einfach über die Hintertür weiter.

4. Application Passwords statt Hauptpasswort für APIs

Wenn externe Dienste, Apps oder Skripte per REST-API auf deine Seite zugreifen, gehört dein Hauptpasswort dort nicht hin. WordPress bringt seit Version 5.6 Application Passwords mit: eigene, zufällig generierte Zugangscodes pro Anwendung, die du einzeln widerrufen kannst, ohne dein eigentliches Passwort zu ändern. Kompromittiert ein Dienst so einen Code, ziehst du genau diesen zurück, der Rest bleibt unberührt.

5. Kein Benutzername „admin"

Der Benutzername ist die halbe Zugangskombination, und admin ist die erste Hälfte, die jeder Bot probiert. Ein individueller Benutzername ist kein starker Schutz für sich genommen, aber er sortiert die dümmsten 90 Prozent der automatisierten Versuche vorab aus. Läuft dein Admin-Konto noch auf admin: neues Konto mit eigenem Namen anlegen, Rechte übertragen, altes Konto löschen.

Für alles andere: der Passwort-Manager

Die Merksatz-Methode ist bewusst für wenige Passwörter gedacht: die zwei, drei Kopf-Passwörter, die du nirgends nachschlagen kannst, also das Master-Passwort deines Passwort-Managers und den Login deiner Geräte. Für alle übrigen Konten ist der Passwort-Manager die Standard-Empfehlung, ohne Wenn und Aber: Er generiert für jeden Dienst ein langes, zufälliges, einzigartiges Passwort und merkt es sich für dich. Damit ist die Einzigartigkeits-Regel automatisch erfüllt, und Credential Stuffing läuft bei dir ins Leere.

Die Arbeitsteilung ist also einfach: Ein per Merksatz-Methode gebautes, starkes Master-Passwort schützt den Passwort-Manager, der Passwort-Manager schützt alles andere, und die Zwei-Faktor-Authentifizierung sichert die wichtigsten Konten zusätzlich ab. Wer diese drei Bausteine kombiniert, hat mehr für die Sicherheit seiner WordPress-Seite getan als mit jedem noch so gut konfigurierten Security-Plugin allein.

Häufige Fragen

Wie lang sollte ein sicheres WordPress-Passwort sein?

Mindestens 16 Zeichen, gern mehr. Entscheidend ist neben der Länge, dass das Passwort zufällig zusammengesetzt und für keinen anderen Dienst in Gebrauch ist. Ein langes, zufälliges Passwort mit 16 bis 20 Zeichen ist mit heutiger Technik praktisch nicht durch Ausprobieren zu knacken, während ein kurzes Passwort mit Sonderzeichen-Ersetzungen wie „P@ssw0rt!" in Sekunden fällt, weil genau diese Muster in jedem Wörterbuch-Angriff stehen.

Muss ich mein WordPress-Passwort regelmäßig ändern?

Nein, erzwungene Wechsel nach Kalender gelten heute als kontraproduktiv, weil sie zu vorhersehbaren Mustern wie „Sommer2025!" zu „Herbst2025!" führen. Sowohl NIST als auch BSI empfehlen inzwischen: Ein starkes, einzigartiges Passwort bleibt bestehen, bis es einen konkreten Anlass gibt, etwa ein bekannt gewordenes Datenleck oder den Verdacht auf Missbrauch. Dann sollte es sofort geändert werden, nicht erst zum nächsten Stichtag.

Ist der Emoji-Passwort-Generator sicher, wenn er im Browser läuft?

Ja, gerade weil er im Browser läuft: Der Emoji-Passwort-Generator von hafenstudios erzeugt die zufällige Bildergeschichte lokal auf deinem Gerät mit dem kryptografischen Zufallsgenerator des Browsers (crypto.getRandomValues). Es wird nichts an einen Server übertragen, nichts gespeichert und nichts protokolliert. Das erzeugte Passwort existiert nur auf deinem Bildschirm, bis du es übernimmst. Genau so sollte ein Passwort-Werkzeug gebaut sein.

Starke Passwörter, die im Kopf bleiben

Der Emoji-Passwort-Generator würfelt dir eine absurde Bildergeschichte und macht daraus ein starkes Passwort. Kostenlos, komplett im Browser, nichts wird übertragen.

Passwort würfeln
Zurück zum Blog Ein Beitrag von hafenstudios