Sicherheit · WordPress · DSGVO

Dein Website-Login
ist ein offenes Tor.

Bei einem unserer Kunden wurden in wenigen Stunden über 900 automatisierte Login-Versuche registriert. Kein Einzelfall — das passiert täglich. Was Zwei-Faktor-Authentifizierung ist, warum sie dich schützt und was ein erfolgreicher Angriff wirklich bedeutet.

Website-Sicherheit: Zwei-Faktor-Authentifizierung schützt deinen Login

Themen in diesem Artikel

Website-Sicherheit 2FA / Zwei-Faktor WordPress-Schutz DSGVO Art. 32 Brute-Force-Schutz Passwort-Sicherheit Website-Wartung

Es war ein ganz normaler Dienstag. Unser Kunde — ein Handwerksbetrieb, der seine WordPress-Website hauptsächlich für Anfragen nutzt — bekam keine E-Mail, keine Warnung, kein Alarmsignal. Erst als wir im Zuge der monatlichen Wartung in die Logs schauten, sahen wir es: über 900 automatisierte Versuche in wenigen Stunden, das Login-Passwort zurückzusetzen oder zu erraten. Ein klassischer Brute-Force-Angriff — vollautomatisch, ohne menschlichen Aufwand auf der Angreiferseite.

In diesem Fall war der Angriff erfolglos. Aber das war Glück — kein System.

Was ein gehackter Website-Login für dich bedeutet

Viele KMU denken: "Warum sollte jemand ausgerechnet meine kleine Website angreifen?" Die Antwort: Angreifer suchen nicht gezielt nach dir. Sie suchen nach irgendwelchen unsicheren Logins — automatisiert, massenhaft, rund um die Uhr. Deine Website ist eine von Millionen im Raster.

Was passiert, wenn ein Angriff erfolgreich ist?

Deine Website wird zur Spam-Schleuder

Der häufigste Fall: Angreifer übernehmen den Login still und heimlich, installieren im Hintergrund ein Skript und verschicken über deine Website tausendfach Spam-Mails. Du merkst es nicht — bis deine Domain auf internationalen Blacklists landet und deine eigenen E-Mails im Spamordner deiner Kunden landen.

Was das kostet: Bereinigung, neue Domain oder Subdomain-Struktur, monatelange Wartezeit bis die Reputation wiederhergestellt ist. Anfragen gehen verloren, weil niemand deine E-Mails mehr erhält.

Kundendaten werden gestohlen

Wenn Besucher auf deiner Website ein Kontaktformular ausfüllen, landen die Daten — Name, E-Mail, Telefonnummer, Projektbeschreibung — in deiner Datenbank. Bei einem erfolgreichen Angriff hat der Angreifer Zugriff auf genau diese Daten.

Was das kostet: Nach DSGVO bist du verpflichtet, Datenpannen innerhalb von 72 Stunden an die Datenschutzbehörde zu melden. Bußgelder bei Verstößen: bis zu 10 Millionen Euro oder 2 % des globalen Jahresumsatzes.

Google sperrt deine Seite aus dem Index

Google scannt Websites regelmäßig auf Malware. Wird deine Seite als "gehackt" oder "schädlich" eingestuft, erscheint in den Suchergebnissen eine rote Warnung: "Diese Website könnte deinen Computer beschädigen." Klickrate: praktisch null.

Was das kostet: Selbst nach einer vollständigen Bereinigung dauert es Wochen, bis Google die Warnung entfernt. Kunden, die dich googeln, sehen in der Zwischenzeit eine rote Warnung — und klicken auf den Wettbewerber.

Deine Website fällt komplett aus

Ransomware — Angreifer verschlüsseln deinen gesamten Website-Inhalt und fordern Lösegeld für die Freigabe. Auch ohne Ransomware: Viele gehackte Websites werden einfach gelöscht oder mit fremden Inhalten überschrieben. Die Website deines Betriebs ist über Nacht weg.

Was das kostet: Wiederherstellung aus einem aktuellen Backup (sofern vorhanden) kostet mehrere Stunden Arbeitszeit. Ohne Backup: vollständiger Neuaufbau. Dazu kommen Umsatzverluste für jeden Tag, an dem die Website nicht erreichbar ist.

Mein Passwort ist sicher — reicht das nicht?

Das dachte auch unser Kunde mit den 900 Angriffsversuchen. Das Problem: Ein starkes Passwort alleine schützt heute nicht mehr zuverlässig.

Drei Gründe dafür:

Datenlecks bei anderen Diensten: Wenn du dasselbe Passwort — oder eine Variante — auch bei anderen Websites nutzt, und diese Seite gehackt wird, sind alle deine Zugänge gefährdet. Laut Have I Been Pwned sind über 12 Milliarden Passwort-Kombinationen aus alten Datenlecks öffentlich verfügbar.
KI-gestützte Angriffe: Moderne Angriffswerkzeuge nutzen KI, um Passwörter nicht zufällig, sondern nach Wahrscheinlichkeiten zu raten — Namen, Jahreszahlen, häufige Muster. Was früher Tage dauerte, geht heute in Minuten.
Automatisierung: Ein Angreifer sitzt nicht am Rechner und probiert Passwörter manuell. Skripte laufen 24/7, gleichzeitig gegen tausende Websites. Dein starkes Passwort ist ein Hindernis — kein Schutz.

Was ist Zwei-Faktor-Authentifizierung (2FA)?

2FA ist einfach erklärt: Zum Einloggen brauchst du nicht nur dein Passwort, sondern zusätzlich einen zweiten Bestätigungsschritt — meist einen sechsstelligen Code, der alle 30 Sekunden neu generiert wird und nur auf deinem Smartphone existiert.

Selbst wenn ein Angreifer dein Passwort kennt: Ohne dein Handy kommt er nicht rein. Der Code ist nach 30 Sekunden wertlos. Ein automatisiertes Skript hat keine Chance.

Für dich als Nutzer bedeutet das: Du gibst einmalig beim Login neben dem Passwort einen kurzen Code ein. Das dauert 5 Sekunden. Danach bist du drin — und sicher.

Wie das in der Praxis aussieht: Du loggst dich auf deine WordPress-Website ein. Nach dem Passwort erscheint ein zweites Feld: "Bitte gib deinen Authentifizierungscode ein." Du öffnest die Authenticator-App auf deinem Handy (z. B. Google Authenticator oder Authy), siehst den aktuellen 6-stelligen Code und gibst ihn ein. Fertig — Zugang gewährt.

DSGVO Art. 32: Die rechtliche Seite, die kaum jemand kennt

Was viele nicht wissen: Die DSGVO verpflichtet Websitebetreiber nicht nur dazu, Cookies korrekt zu handhaben. Art. 32 DSGVO schreibt explizit vor, dass du "geeignete technische und organisatorische Maßnahmen" ergreifen musst, um personenbezogene Daten zu schützen.

2FA gilt als anerkannte und empfohlene Sicherheitsmaßnahme — und schützt dich im Zweifelsfall rechtlich: Wenn es trotz eines Angriffs zu einem Datenleck kommt, kannst du gegenüber der Datenschutzbehörde dokumentieren, dass du aktiv Schutzmaßnahmen ergriffen hast. Das ist ein erheblicher Unterschied zu einem ungeschützten Login ohne jede Absicherung.

Wer braucht 2FA — und wer nicht?

Kurze Antwort: Jeder, der eine WordPress-Website oder ein anderes CMS mit Login-Bereich betreibt, sollte 2FA nutzen. Besonders relevant bist du, wenn:

Kunden über deine Website Kontaktformulare ausfüllen (= personenbezogene Daten in der Datenbank)
Du einen Webshop oder Mitgliederbereich betreibst
Du oder dein Team sich regelmäßig ins Backend einloggen
Deine Website für neue Kundenanfragen unverzichtbar ist

Wenn ein mehrtägiger Ausfall oder ein Datenleck deinen Betrieb ernsthaft treffen würde — dann ist 2FA keine Option, sondern Pflicht.

Sofortcheck: Ist dein Login geschützt?

3 Fragen, die du jetzt beantworten solltest:

Ist für den Login deiner Website ein zweiter Faktor (Code, App, SMS) nötig — oder reicht das Passwort alleine?
Weißt du, wie viele Login-Versuche auf deiner Website täglich stattfinden? (Die meisten Betreiber: nein.)
Gibt es ein aktuelles Backup deiner Website, das du im Notfall sofort einspielen könntest?

Wenn du auch nur eine dieser Fragen mit "Nein" oder "Ich weiß es nicht" beantwortest — dann ist dein Login heute ungeschützt.

Was kostet 2FA — und was kostet kein 2FA?

Die Implementierung von 2FA ist eine einmalige Investition. Wir richten es professionell für deine Website ein: Plugin-Auswahl, Konfiguration, Test und Einweisung, damit du und dein Team danach problemlos damit arbeiten könnt.

Einmalpreis: 225 € — keine laufenden Kosten, keine Abos.

Was kostet kein 2FA? Eine einzige Bereinigung nach einem erfolgreichen Angriff liegt je nach Aufwand zwischen 300 und 1.500 € — ohne die Folgekosten für Reputationsschäden, entgangene Anfragen oder Datenschutzverstöße.

Möchtest du 2FA für deine Website einrichten lassen? Wir implementieren es für dich — einmalig, professionell, ohne laufende Kosten.

2FA anfragen — 225 € einmalig →