WordPress Security Audit Scorecard
Website: ___________________________ | Audit-Datum: ___________________________ | Durchgeführt von: ___________________________
Mit dieser Scorecard bewerten Sie den Sicherheitszustand Ihrer WordPress-Website. Punkte pro Kategorie vergeben, am Ende zusammenzählen. So sehen Sie sofort, wo Handlungsbedarf besteht.
Bewertungsschema
| Punktzahl | Status | Beschreibung |
|---|---|---|
| 2 Punkte | ✓ Vollständig umgesetzt | Alle Anforderungen erfüllt |
| 1 Punkt | ◐ Teilweise umgesetzt | Einige Anforderungen erfüllt, Verbesserungspotenzial vorhanden |
| 0 Punkte | ✗ Nicht umgesetzt | Anforderungen nicht erfüllt, sofortiger Handlungsbedarf |
1. WordPress Core & Updates (Max. 10 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| WordPress Core auf aktuellster Version | ______ | |
| Automatische Updates für Minor-Versionen aktiviert | ______ | |
| Alle installierten Plugins auf aktuellem Stand | ______ | |
| Alle Themes auf aktuellem Stand (inkl. inaktive) | ______ | |
| Nicht genutzte Plugins und Themes vollständig entfernt | ______ | |
| Zwischensumme Kategorie 1: | ______ / 10 |
2. Benutzer & Zugriffsverwaltung (Max. 12 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Keine Benutzer mit Standard-Username „admin“ vorhanden | ______ | |
| Alle Benutzer verwenden starke, eindeutige Passwörter | ______ | |
| Zwei-Faktor-Authentifizierung (2FA) für Admin-Konten aktiv | ______ | |
| Login-Versuche limitiert (z. B. max. 5 Versuche) | ______ | |
| Benutzerrollen korrekt zugewiesen (Principle of Least Privilege) | ______ | |
| Inaktive und ungültige Benutzerkonten entfernt | ______ | |
| Zwischensumme Kategorie 2: | ______ / 12 |
3. Datei- & Serverkonfiguration (Max. 12 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Dateiberechtigungen korrekt gesetzt (Ordner: 755, Dateien: 644) | ______ | |
| wp-config.php außerhalb des Webroot oder geschützt | ______ | |
| Verzeichnis-Listing deaktiviert (.htaccess oder Serverkonfiguration) | ______ | |
| Sicherheitskeys und Salts in wp-config.php aktuell und einzigartig | ______ | |
| Debug-Modus (WP_DEBUG) in Produktivumgebung deaktiviert | ______ | |
| PHP-Version aktuell und vom Hersteller unterstützt (mind. 8.0+) | ______ | |
| Zwischensumme Kategorie 3: | ______ / 12 |
4. SSL/TLS & Verschlüsselung (Max. 8 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Gültiges SSL-Zertifikat installiert und aktiv | ______ | |
| HTTPS-Umleitung aktiviert (HTTP → HTTPS) | ______ | |
| HSTS (HTTP Strict Transport Security) aktiviert | ______ | |
| TLS 1.2 oder höher verwendet, veraltete Protokolle deaktiviert | ______ | |
| Zwischensumme Kategorie 4: | ______ / 8 |
5. Backup & Disaster Recovery (Max. 8 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Regelmäßige automatisierte Backups aktiv (mind. wöchentlich) | ______ | |
| Backups an externem Speicherort gesichert (Off-Site) | ______ | |
| Backup-Wiederherstellung getestet und dokumentiert | ______ | |
| Datenbank-Backups inklusive und verschlüsselt | ______ | |
| Zwischensumme Kategorie 5: | ______ / 8 |
6. Firewall & Malware-Schutz (Max. 10 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Web Application Firewall (WAF) aktiv (z. B. Cloudflare, Sucuri, Wordfence) | ______ | |
| Malware-Scanner regelmäßig ausgeführt (mind. wöchentlich) | ______ | |
| Sicherheits-Plugin installiert und konfiguriert | ______ | |
| IP-Blocking für bekannte Angreifer aktiviert | ______ | |
| Brute-Force-Schutz aktiv (Rate Limiting, CAPTCHA) | ______ | |
| Zwischensumme Kategorie 6: | ______ / 10 |
7. Datenbank-Sicherheit (Max. 8 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Datenbank-Präfix geändert (nicht Standard „wp_“) | ______ | |
| Datenbankbenutzer mit minimalen Rechten (kein Root-User) | ______ | |
| Datenbank nur von Localhost oder definierten IPs erreichbar | ______ | |
| Datenbank regelmäßig optimiert und bereinigt | ______ | |
| Zwischensumme Kategorie 7: | ______ / 8 |
8. Monitoring & Logging (Max. 8 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Activity Logs aktiv und werden regelmäßig überprüft | ______ | |
| Uptime-Monitoring eingerichtet (z. B. UptimeRobot, Pingdom) | ______ | |
| Sicherheitswarnungen und Benachrichtigungen konfiguriert | ______ | |
| Analyse von verdächtigem Traffic und Login-Versuchen | ______ | |
| Zwischensumme Kategorie 8: | ______ / 8 |
9. Plugin & Theme Sicherheit (Max. 10 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Plugins nur aus vertrauenswürdigen Quellen (WordPress.org, Premium-Entwickler) | ______ | |
| Keine bekannten Sicherheitslücken in installierten Plugins | ______ | |
| Theme aus seriöser Quelle, regelmäßig aktualisiert | ______ | |
| Child Theme verwendet (bei Anpassungen am Theme) | ______ | |
| Nulled/Pirated Software ausgeschlossen | ______ | |
| Zwischensumme Kategorie 9: | ______ / 10 |
10. Hosting & Server-Sicherheit (Max. 8 Punkte)
| Kriterium | Punkte (0-2) | Notizen |
|---|---|---|
| Hosting-Anbieter mit aktiven Sicherheitsmaßnahmen (Firewall, IDS/IPS) | ______ | |
| Server-Software (Apache/Nginx) auf aktuellem Stand | ______ | |
| SFTP/SSH statt FTP verwendet | ______ | |
| Separate Staging-Umgebung vorhanden | ______ | |
| Zwischensumme Kategorie 10: | ______ / 8 |
Gesamt-Score
| Kategorie | Erreichte Punkte | Max. Punkte |
|---|---|---|
| 1. WordPress Core & Updates | ______ | 10 |
| 2. Benutzer & Zugriffsverwaltung | ______ | 12 |
| 3. Datei- & Serverkonfiguration | ______ | 12 |
| 4. SSL/TLS & Verschlüsselung | ______ | 8 |
| 5. Backup & Disaster Recovery | ______ | 8 |
| 6. Firewall & Malware-Schutz | ______ | 10 |
| 7. Datenbank-Sicherheit | ______ | 8 |
| 8. Monitoring & Logging | ______ | 8 |
| 9. Plugin & Theme Sicherheit | ______ | 10 |
| 10. Hosting & Server-Sicherheit | ______ | 8 |
| GESAMT-SCORE: | ______ / 94 |
Bewertung & Handlungsempfehlung
| Score-Bereich | Bewertung | Handlungsempfehlung |
|---|---|---|
| 85–94 Punkte | Exzellent | Ihre WordPress-Website ist sehr gut abgesichert. Führen Sie regelmäßige Audits durch und bleiben Sie bei Updates aktuell. |
| 70–84 Punkte | Gut | Solide Sicherheitsbasis. Priorisieren Sie Kategorien mit niedrigen Scores und schließen Sie kleinere Lücken. |
| 50–69 Punkte | Ausreichend | Verbesserungspotenzial vorhanden. Konzentrieren Sie sich auf kritische Bereiche (Benutzer, Updates, Backups, SSL). |
| Unter 50 Punkte | Kritisch | Dringende Sicherheitsmaßnahmen erforderlich! Starten Sie sofort mit den Basics: Updates, starke Passwörter, SSL, Backups. Erwägen Sie professionelle Unterstützung. |
Nächste Schritte & Maßnahmenplan
Priorität 1 (Sofort):
- _________________________________________________________________________
- _________________________________________________________________________
Priorität 2 (Innerhalb 1 Woche):
- _________________________________________________________________________
- _________________________________________________________________________
Priorität 3 (Innerhalb 1 Monat):
- _________________________________________________________________________
- _________________________________________________________________________
Nächstes Audit geplant für: ___________________________ | Verantwortlich: ___________________________
Diese Scorecard basiert auf aktuellen Best Practices für WordPress-Sicherheit. Ich empfehle, sie vierteljährlich durchzuführen.
Häufig gestellte Fragen
Was ist ein WordPress Security Audit?
Ein Security Audit bewertet den Sicherheitszustand Ihrer WordPress-Installation. Geprüft werden: Updates, Passwörter, Backups, Firewall, SSL und Benutzerrollen.
Wie oft sollte ich einen Security Audit durchführen?
Vierteljährlich ist das Minimum. Besser monatlich. Nach größeren Updates oder Sicherheitsvorfällen: sofort nochmal prüfen.
Welche Security-Plugins empfehlen Sie?
Wordfence und Sucuri. Beide bieten Firewall, Malware-Scanner und Login-Schutz. Für kleinere Websites reicht die kostenlose Version.