Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Der ultimative WordPress-Sicherheitsleitfaden – Schritt für Schritt (2024)

Hinweis der Redaktion: Wir erhalten eine Provision für Partnerlinks auf WPBeginner. Die Provisionen haben keinen Einfluss auf die Meinung oder Bewertung unserer Redakteure. Erfahre mehr über Redaktioneller Prozess.

Die Sicherheit von WordPress ist für jeden Website-Betreiber ein Thema von großer Bedeutung.

Wenn es Ihnen mit Ihrer Website ernst ist, müssen Sie auf die bewährten WordPress-Sicherheitsverfahren achten. Andernfalls könnten Sie zu den über 10.000 Websites gehören, die Google jeden Tag wegen Malware und Phishing auf die schwarze Liste setzt.

In diesem Leitfaden geben wir Ihnen unsere besten WordPress-Sicherheitstipps, damit Sie Ihre Website vor Hackern und Malware schützen können.

The Ultimate WordPress Security Guide - Step by Step

Obwohl die WordPress-Kernsoftware sehr sicher ist und regelmäßig von Hunderten von Entwicklern überprüft wird, gibt es immer noch eine Menge zu tun, um die Sicherheit Ihrer Website zu gewährleisten.

Bei WPBeginner sind wir der Meinung, dass Sicherheit nicht nur mit der Beseitigung von Risiken zu tun hat. Es geht auch um Risikominderung. Als Website-Besitzer können Sie eine Menge tun, um die Sicherheit von WordPress zu verbessern, selbst wenn Sie technisch nicht versiert sind.

Deshalb haben wir eine Liste von Maßnahmen zusammengestellt, die Sie ergreifen können, um Ihre Website vor Sicherheitslücken zu schützen.

Um es Ihnen leicht zu machen, haben wir ein Inhaltsverzeichnis erstellt, das Ihnen hilft, sich in unserem ultimativen WordPress-Sicherheitsleitfaden zurechtzufinden.

Inhaltsübersicht

Grundlagen der WordPress-Sicherheit

WordPress-Sicherheit in einfachen Schritten (ohne Programmierkenntnisse)

WordPress-Sicherheit für Heimwerker

Sind Sie bereit? Dann fangen wir an.

Warum Website-Sicherheit wichtig ist

Eine gehackte WordPress-Website kann den Einnahmen und dem Ruf Ihres Unternehmens schweren Schaden zufügen. Hacker können Benutzerinformationen und Passwörter stehlen, bösartige Software installieren und sogar Malware an Ihre Benutzer verteilen.

Schlimmstenfalls müssen Sie Ransomware an Hacker zahlen, nur um wieder Zugang zu Ihrer Website zu erhalten.

Ransomware Attack

Jeden Tag warnt Google 12-14 Millionen Nutzer, dass eine Website, die sie besuchen wollen, möglicherweise Malware enthält oder Informationen stiehlt.

Darüber hinaus werden von Google täglich mehr als 10.000 Websites wegen Malware oder Phishing auf die schwarze Liste gesetzt.

Genauso wie Geschäftsinhaber mit einem physischen Standort die Verantwortung haben, ihr Eigentum zu schützen, müssen Online-Geschäftsinhaber der Sicherheit ihres WordPress-Systems besondere Aufmerksamkeit schenken.

[Zurück zum Anfang ↑]

WordPress auf dem neuesten Stand halten

Easily update WordPress

WordPress ist eine Open-Source-Software und wird regelmäßig gewartet und aktualisiert. Standardmäßig installiert WordPress automatisch kleinere Updates.

Bei größeren Versionen müssen Sie die Aktualisierung manuell anstoßen.

Für WordPress gibt es außerdem Tausende von Plugins und Themes, die Sie auf Ihrer Website installieren können. Diese Plugins und Themes werden von Drittentwicklern gepflegt, die auch regelmäßig Updates veröffentlichen.

Diese WordPress-Updates sind entscheidend für die Sicherheit und Stabilität Ihrer WordPress-Website. Sie müssen sicherstellen, dass Ihr WordPress-Kern, Ihre Plugins und Ihr Theme auf dem neuesten Stand sind.

[Zurück zum Anfang ↑]

Verwenden Sie sichere Kennwörter und Benutzerberechtigungen

Manage strong passwords

Die häufigsten WordPress-Hacking-Versuche verwenden gestohlene Passwörter. Sie können dies erschweren, indem Sie stärkere Passwörter verwenden, die für Ihre Website einzigartig sind.

Dabei geht es nicht nur um den WordPress-Verwaltungsbereich. Denken Sie daran, sichere Passwörter für Ihre FTP-Konten, Datenbanken, WordPress-Hosting-Konten und benutzerdefinierte E-Mail-Adressen zu erstellen, die den Domainnamen Ihrer Website verwenden.

Viele Anfänger verwenden ungern sichere Passwörter, weil sie schwer zu merken sind. Das Gute daran ist, dass Sie sich keine Passwörter mehr merken müssen, weil Sie einfach einen Passwortmanager verwenden können.

In unserem Leitfaden zur Verwaltung von WordPress-Passwörtern finden Sie weitere Informationen.

Eine weitere Möglichkeit, das Risiko zu verringern, besteht darin, niemandem Zugang zu Ihrem WordPress-Administratorkonto zu gewähren, wenn Sie es nicht unbedingt müssen.

Wenn Sie ein großes Team oder Gastautoren haben, dann stellen Sie sicher, dass Sie die Benutzerrollen und Fähigkeiten in WordPress verstehen, bevor Sie neue Benutzerkonten und Autoren zu Ihrer WordPress-Website hinzufügen.

[Zurück zum Anfang ↑]

Verstehen Sie die Rolle des WordPress-Hostings

WP Engine WordPress Hosting Homepage

Ihr WordPress-Hosting-Service spielt die wichtigste Rolle für die Sicherheit Ihrer WordPress-Website. Ein guter Shared-Hosting-Anbieter wie Hostinger, Bluehost oder SiteGround ergreift zusätzliche Maßnahmen zum Schutz seiner Server vor gängigen Bedrohungen.

Hier sind nur einige Beispiele dafür, wie gute Webhosting-Unternehmen im Hintergrund arbeiten, um Ihre Websites und Daten zu schützen:

  • Sie überwachen ihr Netzwerk kontinuierlich auf verdächtige Aktivitäten.
  • Alle guten Hosting-Unternehmen verfügen über Tools zur Verhinderung groß angelegter DDoS-Angriffe.
  • Sie halten ihre Serversoftware, PHP-Versionen und Hardware auf dem neuesten Stand, um zu verhindern, dass Hacker eine bekannte Sicherheitslücke in einer alten Version ausnutzen.
  • Sie verfügen über einsatzbereite Disaster-Recovery- und Unfallpläne, die es ihnen ermöglichen, Ihre Daten im Falle eines größeren Unfalls zu schützen.

Bei einem Shared-Hosting-Tarif teilen Sie die Serverressourcen mit vielen anderen Kunden. Es besteht das Risiko einer seitenübergreifenden Kontamination, bei der ein Hacker eine benachbarte Website nutzen kann, um Ihre Website anzugreifen.

Im Gegensatz dazu bietet ein verwalteter WordPress-Hosting-Dienst eine sicherere Plattform für Ihre Website. Managed-WordPress-Hosting-Unternehmen bieten automatische Backups, automatische WordPress-Updates und erweiterte Sicherheitskonfigurationen zum Schutz Ihrer Website

Wir empfehlen WP Engine als unseren bevorzugten Anbieter für verwaltetes WordPress-Hosting. Sie sind auch der beliebteste Anbieter in der Branche.

Stellen Sie sicher, dass Sie das beste Angebot erhalten, indem Sie unseren speziellen WP Engine-Gutschein verwenden.

[Zurück zum Anfang ↑]

WordPress-Sicherheit in ein paar einfachen Schritten (ohne Programmierung)

Wir wissen, dass die Verbesserung der WordPress-Sicherheit ein erschreckender Gedanke für Anfänger sein kann, vor allem, wenn Sie nicht technisch versiert sind. Raten Sie mal – Sie sind nicht allein.

Wir haben Tausenden von WordPress-Benutzern bei der Härtung ihrer WordPress-Sicherheit geholfen.

Wir zeigen Ihnen, wie Sie die Sicherheit von WordPress mit nur wenigen Klicks verbessern können (kein Programmieren erforderlich).

Wenn du zeigen und klicken kannst, kannst du das auch!

1. Installieren Sie eine WordPress-Backup-Lösung

WordPress Backup

Backups sind Ihre erste Verteidigung gegen jeden WordPress-Angriff. Denken Sie daran, dass nichts zu 100 % sicher ist. Wenn Regierungswebsites gehackt werden können, dann kann das auch Ihre sein.

Mit Backups können Sie Ihre WordPress-Website schnell wiederherstellen, falls etwas Schlimmes passieren sollte.

Es gibt viele kostenlose und kostenpflichtige WordPress-Backup-Plugins, die Sie verwenden können. Das Wichtigste, was Sie im Zusammenhang mit Backups wissen müssen, ist, dass Sie regelmäßig vollständige Backups der Website an einem entfernten Ort speichern müssen (nicht in Ihrem Hosting-Konto).

Wir empfehlen, sie in einem Cloud-Dienst wie Amazon, Dropbox oder in privaten Clouds wie Stash zu speichern.

Je nachdem, wie häufig Sie Ihre Website aktualisieren, ist die ideale Einstellung entweder eine tägliche Sicherung oder eine Sicherung in Echtzeit.

Glücklicherweise kann dies mit Plugins wie Duplicator, UpdraftPlus oder BlogVault leicht bewerkstelligt werden. Sie sind beide zuverlässig und vor allem einfach zu bedienen (keine Codierung erforderlich).

Weitere Einzelheiten finden Sie in unserem Leitfaden zum Sichern Ihrer WordPress-Website.

[Zurück zum Anfang ↑]

Installieren Sie ein seriöses WordPress-Sicherheits-Plugin

Nach den Backups müssen wir als Nächstes ein Prüf- und Überwachungssystem einrichten, das alles, was auf Ihrer Website passiert, im Auge behält.

Dazu gehören die Überwachung der Dateiintegrität, fehlgeschlagene Anmeldeversuche, Malware-Scans und vieles mehr.

Glücklicherweise können Sie dies leicht beheben, indem Sie eines der besten WordPress-Sicherheits-Plugins wie Sucuri installieren.

Sie müssen das kostenlose Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Jetzt können Sie auf dem Sucuri Security “ Dashboard sehen, ob das Plugin unmittelbare Probleme mit Ihrem WordPress-Code gefunden hat.

Setting up the Sucuri WordPress security plugin

Als Nächstes müssen Sie zur Seite Sucuri Security “ Settings navigieren und auf die Registerkarte „Hardening“ klicken.

Die Standardeinstellungen sind für die meisten Websites gut geeignet. Sie können sie also aktivieren, indem Sie bei jeder Option auf die Schaltfläche „Härtung anwenden“ klicken.

Hardening your WordPress blog or website

Auf diese Weise können Sie die Schlüsselbereiche, die Hacker häufig für ihre Angriffe nutzen, absichern.

Tipp: Wir werden später in diesem Artikel weitere Möglichkeiten zur Absicherung Ihrer Website behandeln, z. B. das Ändern des Datenbankpräfixes und des Administrator-Benutzernamens. Diese sind jedoch eher technischer Natur und erfordern möglicherweise Programmierkenntnisse.

Nach dem Härtungsteil sind die anderen Standardeinstellungen des Plugins für die meisten Websites ausreichend und müssen nicht geändert werden.

Das Einzige, was wir empfehlen, ist die Anpassung der E-Mail-Benachrichtigungen, die Sie auf der Registerkarte „Benachrichtigungen“ auf der Einstellungsseite finden.

Customizing your website's security alerts

Standardmäßig erhalten Sie eine Vielzahl von E-Mail-Benachrichtigungen, die Ihren Posteingang verstopfen können.

Wir empfehlen, Warnmeldungen nur für wichtige Aktionen zu aktivieren, über die Sie benachrichtigt werden möchten, z. B. für Plugin-Änderungen und neue Benutzerregistrierungen.

Customizing your WordPress security notifications

Dieses WordPress-Sicherheits-Plugin ist sehr leistungsfähig. Durchstöbern Sie alle Registerkarten und Einstellungen, um zu sehen, was es alles kann, wie z. B. Malware-Scans, Audit-Protokolle, Nachverfolgung fehlgeschlagener Anmeldeversuche und mehr.

Weitere Informationen finden Sie in unserem ausführlichen Sucuri-Test.

Aktivieren Sie eine Web Application Firewall (WAF)

Der einfachste Weg, Ihre Website zu schützen und sich auf die Sicherheit von WordPress zu verlassen, ist die Verwendung einer Web Application Firewall (WAF).

Eine Website-Firewall blockiert jeglichen bösartigen Datenverkehr, bevor er Ihre Website überhaupt erreicht.

  • Eine Website-Firewall auf DNS-Ebene leitet den Datenverkehr Ihrer Website über ihre Cloud-Proxyserver. So kann sie nur echten Datenverkehr an Ihren Webserver senden.
  • Eine Firewall auf Anwendungsebene prüft den Datenverkehr, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist bei der Reduzierung der Serverlast nicht so effizient wie die Firewall auf DNS-Ebene.

Weitere Informationen finden Sie in unserer Liste der besten WordPress-Firewall-Plugins.

How website firewall blocks attacks

Wir haben Sucuri auf WPBeginner viele Jahre lang verwendet und empfehlen es immer noch als eine der besten Web Application Firewalls für WordPress. Vor kurzem sind wir von Sucuri zu Cloudflare gewechselt, weil wir ein größeres CDN-Netzwerk mit Funktionen benötigten, die sich mehr auf Unternehmenskunden konzentrieren.

Lesen Sie, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in einem Monat zu blockieren.

Attacks blocked by Sucuri

Das Beste an der Firewall von Sucuri ist, dass sie auch eine Garantie für die Beseitigung von Malware und die Entfernung von schwarzen Listen enthält. Das heißt, wenn Sie unter ihrer Aufsicht gehackt werden, garantieren sie, Ihre Website zu reparieren, egal wie viele Seiten Sie haben.

Dies ist eine ziemlich starke Garantie, denn die Reparatur von gehackten Websites ist teuer. Sicherheitsexperten verlangen normalerweise mehr als 250 Dollar pro Stunde, während Sie das gesamte Sucuri-Sicherheitspaket für 199 Dollar für ein ganzes Jahr erhalten können.

Allerdings ist Sucuri nicht der einzige Anbieter von Firewalls auf DNS-Ebene, den es gibt. Der andere beliebte Konkurrent ist Cloudflare. Siehe unseren Vergleich von Sucuri und Cloudflare (Vor- und Nachteile).

[Zurück zum Anfang ↑]

Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS

SSL (Secure Sockets Layer) ist ein Protokoll, das die Datenübertragung zwischen Ihrer Website und dem Browser des Benutzers verschlüsselt. Diese Verschlüsselung macht es für jemanden schwieriger, Informationen auszuspähen und zu stehlen.

How SSL Works

Sobald Sie SSL aktiviert haben, verwendet Ihre Website-Adresse HTTPS anstelle von HTTP. Sie sehen dann auch ein Vorhängeschloss oder ein ähnliches Symbol neben der Adresse Ihrer Website im Browser.

SSL-Zertifikate werden in der Regel von Zertifizierungsstellen ausgestellt, und ihre Preise reichen von 80 bis zu Hunderten von Dollar pro Jahr. Aufgrund der zusätzlichen Kosten haben sich die meisten Website-Besitzer in der Vergangenheit dafür entschieden, weiterhin das unsichere Protokoll zu verwenden.

Um dieses Problem zu lösen, hat die gemeinnützige Organisation Let’s Encrypt beschlossen, Website-Betreibern kostenlose SSL-Zertifikate anzubieten. Ihr Projekt wird von Google Chrome, Facebook, Mozilla und vielen anderen Unternehmen unterstützt.

Es ist einfacher denn je, SSL für alle Ihre WordPress-Websites zu verwenden. Viele Hosting-Unternehmen bieten jetzt ein kostenloses SSL-Zertifikat für Ihre WordPress-Website an.

Wenn Ihr Hosting-Unternehmen kein SSL-Zertifikat anbietet, können Sie ein SSL-Zertifikat bei Domain.com erwerben. Sie haben die besten und zuverlässigsten SSL-Angebote auf dem Markt. Das Zertifikat wird mit einer 10.000-Dollar-Sicherheitsgarantie und einem TrustLogo-Sicherheitssiegel geliefert.

Wenn Sie alles tun, was wir bisher erwähnt haben, dann sind Sie in ziemlich guter Verfassung.

Aber wie immer gibt es noch mehr, was Sie tun können, um die Sicherheit Ihres WordPress zu erhöhen.

Beachten Sie, dass einige dieser Schritte Programmierkenntnisse erfordern.

Ändern Sie den Standardbenutzernamen für Administratoren

Früher war der Standard-Benutzername für WordPress-Administratoren „admin“. Da Benutzernamen die Hälfte der Anmeldedaten ausmachen, war es für Hacker einfacher, Brute-Force-Angriffe durchzuführen.

Glücklicherweise hat WordPress dies inzwischen geändert und verlangt nun, dass Sie bei der Installation von WordPress einen eigenen Benutzernamen auswählen.

Einige 1-Klick-WordPress-Installationsprogramme setzen den Standardbenutzernamen des Administrators jedoch immer noch auf „admin“. Wenn Sie feststellen, dass dies der Fall ist, ist es wahrscheinlich eine gute Idee, Ihr Webhosting zu wechseln.

Da WordPress es nicht zulässt, dass Sie Benutzernamen standardmäßig ändern, gibt es drei Methoden, die Sie verwenden können, um den Benutzernamen zu ändern.

  1. Erstellen Sie einen neuen Administrator-Benutzernamen und löschen Sie den alten.
  2. Verwenden Sie das Plugin Username Changer
  3. Benutzernamen von phpMyAdmin aktualisieren

Wir haben alle drei Punkte in unserer ausführlichen Anleitung zum Ändern des WordPress-Benutzernamens behandelt.

Hinweis: Um das klarzustellen, geht es hier darum, den Benutzernamen „admin“ zu ändern, nicht die Administratorrolle, die manchmal auch „admin“ genannt wird.

[Zurück zum Anfang ↑]

Dateibearbeitung deaktivieren

WordPress verfügt über einen integrierten Code-Editor, mit dem Sie Ihre Theme- und Plugin-Dateien direkt im WordPress-Adminbereich bearbeiten können.

In den falschen Händen kann diese Funktion ein Sicherheitsrisiko darstellen, weshalb wir empfehlen, sie zu deaktivieren.

Adding custom CSS in a child theme's stylesheet in the theme file editor

Sie können dies ganz einfach tun, indem Sie den folgenden Code in Ihre wp-config.php-Datei einfügen oder mit einem Code-Snippet-Plugin wie WPCode (empfohlen):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

In unserer Anleitung zum Deaktivieren von Theme- und Plugin-Editoren im WordPress-Admin-Panel zeigen wir Ihnen Schritt für Schritt, wie Sie dies tun können.

Alternativ können Sie dies mit einem Klick über die Härtungsfunktion des oben erwähnten kostenlosen Sucuri-Plugins tun.

[Zurück zum Anfang ↑]

Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen

Eine weitere Möglichkeit, die Sicherheit von WordPress zu erhöhen, besteht darin, die Ausführung von PHP-Dateien in Verzeichnissen zu deaktivieren, in denen sie nicht benötigt werden, wie z. B. /wp-content/uploads/.

Sie können dies tun, indem Sie einen Texteditor wie Notepad öffnen und diesen Code einfügen:

<Files *.php>
deny from all
</Files>

Als Nächstes müssen Sie diese Datei als .htaccess speichern und sie mit einem FTP-Client in den Ordner /wp-content/uploads/ Ihrer Website hochladen.

Eine genauere Erklärung finden Sie in unserer Anleitung, wie Sie die Ausführung von PHP in bestimmten WordPress-Verzeichnissen deaktivieren können.

Alternativ können Sie dies auch mit der oben erwähnten Härtungsfunktion des kostenlosen Sucuri-Plugins mit nur einem Klick erledigen.

[Zurück zum Anfang ↑]

Anmeldeversuche begrenzen

Standardmäßig erlaubt WordPress den Nutzern, sich so oft anzumelden, wie sie wollen. Dies macht Ihre WordPress-Website anfällig für Brute-Force-Angriffe. Dabei versuchen Hacker, Passwörter zu knacken, indem sie versuchen, sich mit verschiedenen Kombinationen anzumelden.

Dies lässt sich leicht beheben, indem die Anzahl der fehlgeschlagenen Anmeldeversuche eines Benutzers begrenzt wird. Wenn Sie die bereits erwähnte Web Application Firewall verwenden, wird dies automatisch behoben.

Wenn Sie die Firewall jedoch nicht eingerichtet haben, können Sie die folgenden Schritte ausführen.

Zunächst müssen Sie das kostenlose Plugin Limit Login Attempts Reloaded installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Nach der Aktivierung beginnt das Plugin, die Anzahl der Anmeldeversuche der Benutzer zu begrenzen.

Die Standardeinstellungen sind für die meisten Websites geeignet. Sie können sie jedoch anpassen, indem Sie die Seite Einstellungen “ Anmeldeversuche beschränken aufrufen und oben auf die Registerkarte „Einstellungen“ klicken. Um zum Beispiel die GDPR-Gesetze einzuhalten, können Sie auf das Kontrollkästchen „GDPR-Compliance“ klicken.

Limit Login Attempts

Detaillierte Anweisungen finden Sie in unserem Leitfaden darüber, wie und warum Sie Anmeldeversuche in WordPress begrenzen sollten.

[Zurück zum Anfang ↑]

Zwei-Faktor-Authentifizierung (2FA) hinzufügen

Die Zwei-Faktor-Authentifizierungsmethode erfordert 2 verschiedene Schritte für die Anmeldung der Benutzer:

  1. Der erste Schritt ist die Eingabe des Benutzernamens und des Passworts.
  2. Im zweiten Schritt müssen Sie einen Code von einem Gerät oder einer App in Ihrem Besitz verwenden, auf das bzw. die Hacker keinen Zugriff haben, z. B. von Ihrem Smartphone.

Bei den meisten großen Online-Websites wie Google, Facebook und Twitter können Sie diese Funktion für Ihre Konten aktivieren. Sie können die gleiche Funktion auch zu Ihrer WordPress-Website hinzufügen.

Zunächst müssen Sie das Plugin WP 2FA – Two-factor Authentication installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Ein benutzerfreundlicher Assistent hilft Ihnen bei der Einrichtung des Plugins und anschließend erhalten Sie einen QR-Code.

Use Your Authenticator App to Scan the QR Code

Sie müssen den QR-Code mit einer Authentifizierungs-App auf Ihrem Telefon scannen, z. B. Google Authenticator, Authy und LastPass Authenticator.

Wir empfehlen die Verwendung von LastPass Authenticator oder Authy, da sie es Ihnen ermöglichen, Ihre Konten in der Cloud zu sichern. Dies ist sehr nützlich, falls Ihr Telefon verloren geht, zurückgesetzt wird oder Sie ein neues Telefon kaufen. Alle Ihre Kontoanmeldungen lassen sich leicht wiederherstellen.

Die meisten dieser Apps funktionieren auf ähnliche Weise, und wenn Sie Authy verwenden, klicken Sie einfach auf die Schaltfläche „+“ oder „Konto hinzufügen“ in der Authentifizierungs-App.

Click the + Button to Add an Account

Damit können Sie den QR-Code auf Ihrem Computer mit der Kamera Ihres Telefons scannen. Möglicherweise müssen Sie der App zunächst die Berechtigung zum Zugriff auf die Kamera erteilen.

Nachdem Sie dem Konto einen Namen gegeben haben, können Sie es speichern.

Wenn Sie sich das nächste Mal bei Ihrer Website anmelden, werden Sie nach der Eingabe Ihres Passworts nach dem Code für die Zwei-Faktor-Authentifizierung gefragt.

Users Must Enter an Authentication Code Before Logging In

Öffnen Sie einfach die Authenticator-App auf Ihrem Telefon, und Sie sehen einen einmaligen Code.

Sie können dann den Code auf Ihrer Website eingeben, um die Anmeldung abzuschließen.

Find Your 2FA Token

[Zurück zum Anfang ↑]

Ändern des WordPress-Datenbankpräfixes

WordPress verwendet standardmäßig wp_ als Präfix für alle Tabellen in Ihrer WordPress-Datenbank.

Wenn Ihre WordPress-Website das Standard-Datenbankpräfix verwendet, ist es für Hacker einfacher, den Namen Ihrer Tabelle zu erraten. Deshalb empfehlen wir, es zu ändern.

Sie können Ihr Datenbank-Präfix ändern, indem Sie unserer Schritt-für-Schritt-Anleitung folgen, wie Sie das WordPress-Datenbank-Präfix ändern, um die Sicherheit zu verbessern.

Hinweis: Das Ändern des Datenbankpräfixes kann Ihre Website zerstören, wenn es nicht richtig gemacht wird. Tun Sie dies nur, wenn Sie sich mit Ihren Programmierkenntnissen sicher fühlen.

[Zurück zum Anfang ↑]

Passwortschutz für WordPress Admin und Login-Seite

Password protect WordPress admin example

Normalerweise können Hacker Ihren wp-admin-Ordner und Ihre Anmeldeseite ohne jegliche Einschränkungen anfordern. Dies ermöglicht ihnen, ihre Hacking-Tricks auszuprobieren oder DDoS-Angriffe durchzuführen.

Sie können einen zusätzlichen Passwortschutz auf Server-Ebene hinzufügen, der diese Anfragen effektiv blockiert.

Folgen Sie einfach unserer Schritt-für-Schritt-Anleitung, wie Sie Ihr WordPress-Admin-Verzeichnis (wp-admin) mit einem Passwort schützen können.

[Zurück zum Anfang ↑]

Verzeichnisindizierung und -durchsuchung deaktivieren

Directory Browsing

Wenn Sie die Adresse eines Ihrer Website-Ordner in einen Webbrowser eingeben, wird Ihnen die Webseite index.html angezeigt, sofern sie existiert. Existiert sie nicht, wird Ihnen stattdessen eine Liste der Dateien in diesem Ordner angezeigt. Dies wird als „Directory Browsing“ bezeichnet.

Das Durchsuchen von Verzeichnissen kann von Hackern genutzt werden, um herauszufinden, ob Sie Dateien mit bekannten Sicherheitslücken haben, so dass sie diese Dateien ausnutzen können, um sich Zugang zu verschaffen.

Das Durchsuchen von Verzeichnissen kann auch von anderen Personen verwendet werden, um Ihre Dateien einzusehen, Bilder zu kopieren, Ihre Verzeichnisstruktur herauszufinden und andere Informationen zu erhalten. Aus diesem Grund wird dringend empfohlen, die Verzeichnisindizierung und das Durchsuchen zu deaktivieren.

Sie müssen sich mit FTP oder dem Dateimanager Ihres Hosting-Anbieters mit Ihrer Website verbinden. Suchen Sie dann die .htaccess-Datei im Stammverzeichnis Ihrer Website. Wenn Sie sie dort nicht sehen können, lesen Sie unsere Anleitung, warum Sie die .htaccess-Datei in WordPress nicht sehen können.

Danach müssen Sie die folgende Zeile am Ende der .htaccess-Datei hinzufügen:

Optionen -Indizes

Vergessen Sie nicht, die .htaccess-Datei zu speichern und wieder auf Ihre Website hochzuladen.

Weitere Informationen zu diesem Thema finden Sie in unserem Artikel über die Deaktivierung des Directory Browsing in WordPress.

[Zurück zum Anfang ↑]

XML-RPC in WordPress deaktivieren

XML-RPC ist eine WordPress-Kern-API, die dabei hilft, Ihre WordPress-Website mit Web- und Mobilanwendungen zu verbinden. Sie ist seit WordPress 3.5 standardmäßig aktiviert.

Aufgrund seiner Leistungsfähigkeit kann XML-RPC jedoch Brute-Force-Angriffe erheblich verstärken.

Wenn ein Hacker zum Beispiel 500 verschiedene Passwörter auf Ihrer Website ausprobieren wollte, müsste er 500 verschiedene Anmeldeversuche unternehmen. Dies kann durch das Limit Login Attempts Reloaded Plugin abgefangen und blockiert werden.

Aber mit XML-RPC kann ein Hacker die Funktion system.multicall verwenden, um Tausende von Passwörtern mit sagen wir 20 oder 50 Anfragen auszuprobieren.

Wenn Sie XML-RPC nicht verwenden, empfehlen wir Ihnen daher, es zu deaktivieren.

Es gibt 3 Möglichkeiten, XML-RPC in WordPress zu deaktivieren, und wir haben alle in unserer Schritt-für-Schritt-Anleitung zur Deaktivierung von XML-RPC in WordPress behandelt.

Tipp: Die .htaccess-Methode ist die beste, weil sie am wenigsten ressourcenintensiv ist. Die anderen Methoden sind für Anfänger einfacher.

Alternativ dazu wird dies automatisch erledigt, wenn Sie, wie bereits erwähnt, eine Web Application Firewall (WAF) verwenden.

[Zurück zum Anfang ↑]

Untätige Benutzer in WordPress automatisch abmelden

Eingeloggte Benutzer können sich manchmal vom Bildschirm entfernen, was ein Sicherheitsrisiko darstellt. Jemand kann ihre Sitzung entführen, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.

Aus diesem Grund melden viele Bank- und Finanzseiten inaktive Benutzer automatisch ab. Sie können eine ähnliche Funktion auch auf Ihrer WordPress-Website einrichten.

Sie müssen das Plugin “ Inactive Logout“ installieren und aktivieren. Rufen Sie nach der Aktivierung die Seite Einstellungen “ Inaktives Logout auf, um die Logout-Einstellungen anzupassen.

Logout idle users

Legen Sie einfach die Zeitdauer fest und fügen Sie eine Abmeldemeldung hinzu. Vergessen Sie dann nicht, auf die Schaltfläche „Änderungen speichern“ unten auf der Seite zu klicken, um Ihre Einstellungen zu speichern.

Eine Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zum automatischen Abmelden untätiger Benutzer in WordPress.

[Zurück zum Anfang ↑]

Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm

Durch das Hinzufügen einer Sicherheitsfrage zu Ihrem WordPress-Anmeldebildschirm wird es noch schwieriger für jemanden, sich unbefugt Zugang zu verschaffen.

Sie können Sicherheitsfragen hinzufügen, indem Sie das Zwei-Faktor-Authentifizierungs-Plugin installieren. Nach der Aktivierung müssen Sie die Seite Mehrfaktor-Authentifizierung “ Zweifaktor besuchen, um die Einstellungen des Plugins zu konfigurieren.

Damit können Sie verschiedene Arten der Zwei-Faktor-Authentifizierung zu Ihrer Website hinzufügen, einschließlich Sicherheitsfragen.

Adding Security Questions to WordPress Login

Ausführlichere Anweisungen finden Sie in unserem Tutorial über das Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm.

[Zurück zum Anfang ↑]

Scannen von WordPress auf Malware und Schwachstellen

Malware Scan

Wenn Sie ein WordPress-Sicherheits-Plugin installiert haben, wird es routinemäßig nach Malware und Anzeichen von Sicherheitsverletzungen suchen.

Wenn Sie jedoch einen plötzlichen Rückgang des Website-Traffics oder des Suchrankings feststellen, sollten Sie manuell nach Malware suchen. Sie können dies mit Ihrem WordPress-Sicherheits-Plugin oder einem der besten Malware- und Sicherheitsscanner tun.

Die Durchführung dieser Online-Scans ist ganz einfach. Sie geben einfach die URL Ihrer Website ein, und die Crawler durchsuchen Ihre Website nach bekannter Malware und bösartigem Code.

Denken Sie daran, dass die meisten WordPress-Sicherheitsscanner Sie nur warnen können, wenn Ihre Website Malware enthält. Sie können die Malware nicht entfernen oder eine gehackte WordPress-Website säubern.

Dies bringt uns zum nächsten Abschnitt, der Bereinigung von Malware und gehackten WordPress-Seiten.

[Zurück zum Anfang ↑]

Eine gehackte WordPress-Website reparieren

Viele WordPress-Benutzer erkennen die Bedeutung von Backups und Website-Sicherheit erst, wenn ihre Website gehackt wird.

Hacker installieren Hintertüren auf den betroffenen Websites, und wenn diese Hintertüren nicht ordnungsgemäß repariert werden, wird Ihre Website wahrscheinlich erneut gehackt.

Für die Abenteuerlustigen und Heimwerker haben wir eine Schritt-für-Schritt-Anleitung zur Behebung einer gehackten WordPress-Website zusammengestellt.

Die Bereinigung einer WordPress-Website kann jedoch sehr schwierig und zeitaufwändig sein. Wir raten dazu, dies von einem Profi erledigen zu lassen.

Wenn Sie für die Verwendung des oben erwähnten Sucuri-Sicherheits-Plugins bezahlen, ist die Reparatur einer gehackten Website im Preis inbegriffen.

Sie können auch den WPBeginner Pro Services Reparaturservice für gehackte Websites nutzen. Dies erfordert eine einmalige Zahlung von $249 und beinhaltet eine erstklassige Dateibestimmung, die Entfernung von bösartigem Code, Software- und Sicherheitsupdates und ein bereinigtes Website-Backup.

WPBeginner Pro Services Hacked Site Repair

Wir garantieren, dass wir Ihre Website reparieren oder Ihnen Ihr Geld zurückgeben. Außerdem decken wir Ihre Website 30 Tage lang nach der Reparatur ab. Wenn Sie also in dieser Zeit erneut gehackt werden, sind wir zur Stelle, um das Problem zu beheben.

Wir säubern und sichern WordPress-Websites seit mehr als 10 Jahren. Sie können also beruhigt sein, wenn Sie unseren Service zur Reparatur gehackter Websites nutzen.

[Zurück zum Anfang ↑]

Bonus-Tipp: Beauftragen Sie einen WordPress-Wartungsdienst

Als vielbeschäftigter Kleinunternehmer haben Sie vielleicht keine Zeit, die Sicherheit Ihrer Website zu überwachen und sie vor Schwachstellen zu schützen. Um Ihnen die Arbeit zu erleichtern, können Sie einen WordPress-Wartungsservice für die 24/7-Sicherheitsüberwachung beauftragen.

WPBeginner Pro Services bietet umfassende WordPress-Website-Wartung zu einem erschwinglichen Preis. Dazu gehören Sicherheitsüberwachung, regelmäßige Cloud-Backups, WordPress-Updates, Überwachung der Betriebszeit und vieles mehr.

WPBeginner WordPress website maintenance service

Wählen Sie einfach ein monatliches Wartungspaket, das Ihren Bedürfnissen entspricht, und Sie erhalten eine sicherere WordPress-Website und zusätzliche freie Zeit, um an anderen Aspekten Ihres Unternehmens zu arbeiten.

Wenn Sie weitere Empfehlungen wünschen, können Sie sich unsere Auswahl der besten Website-Wartungsdienste für WordPress ansehen.

[Zurück zum Anfang ↑]

Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die besten Praktiken für WordPress-Sicherheit zu lernen und die besten WordPress-Sicherheits-Plugins für Ihre Website zu entdecken. Vielleicht interessieren Sie sich auch für unseren ultimativen WordPress-SEO-Leitfaden zur Verbesserung Ihrer SEO-Rankings und unsere Expertentipps zur Beschleunigung von WordPress.

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

Das ultimative WordPress Toolkit

Erhalte KOSTENLOSEN Zugang zu unserem Toolkit - eine Sammlung von WordPress-bezogenen Produkten und Ressourcen, die jeder Profi haben sollte!

Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, dass wir möglicherweise eine Provision verdienen, wenn Sie auf einige unserer Links klicken. Mehr dazu erfahren Sie unter Wie WPBeginner finanziert wird , warum das wichtig ist und wie Sie uns unterstützen können. Hier finden Sie unseren redaktionellen Prozess .

161 KommentareEine Antwort hinterlassen

  1. Syed Balkhi says

    Hey WPBeginner readers,
    Did you know you can win exciting prizes by commenting on WPBeginner?
    Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
    You can get more details about the contest from here.
    Start sharing your thoughts below to stand a chance to win!

  2. Kushal Phalak says

    Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.

  3. Ayanda Temitayo says

    Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login

    I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.

    What’s your opinion about changing the default login route?

  4. al amin Sheikh says

    Two important things in a website – Performance and Security.
    Nicely explained how we can protect our site from hackers. Thanks, WPB.

  5. mohadese esmaeeli says

    Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.

    • WPBeginner Support says

      Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer :)

      Admin

  6. Fajri says

    Whoa, the method to Disable XML-RPC in WordPress is totally new for me.

    I am gonna try to applicate it to add more security for my websites. Thanks for this information team!

  7. Murad Prodhan says

    WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.

  8. Jiří Vaněk says

    This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.

  9. Etop Udoekene says

    Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
    I am really grateful.

    • WPBeginner Support says

      You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.

      Admin

  10. Mark Ellsworth says

    Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.

  11. Ifakayode Femi says

    I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way

    Thanks for taking your time to compose this
    Thanks a million times

  12. Marko Kozlica says

    Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!

  13. Bob De Maria says

    Hi,
    I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.

    I can’t thank you enough for a very well written and much appreciated tutorial.

    Best Regards,

    Bob De Maria

    • WPBeginner Support says

      Thank you for letting us know, we will be sure to look for an alternative we would recommend :)

      Admin

  14. MS says

    Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???

  15. tim jackz says

    Hello team,

    If i install two security plugin in my wordpress website, is there any disadvantages for my website?

    • WPBeginner Support says

      You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.

      Admin

  16. Diego says

    My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.

    I don’t quite understands all these different branches of WP.
    Should I still need to upgrade?

  17. Julia says

    So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.

  18. Trisha says

    Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?

    • WPBeginner Support says

      That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.

      Admin

    • WPBeginner Support says

      You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.

      Admin

  19. Julie Taylor says

    Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?

    • WPBeginner Support says

      No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow :)

      Admin

  20. Leanne says

    This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!

  21. Daniel says

    You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!

  22. Mydas says

    This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients‘ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD

  23. Splendor Edesiri says

    Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.

  24. Kam says

    Thank you for this article. It is essential reading!

    If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?

  25. kalmoa says

    just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‚Disable PHP File Execution‘, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)

  26. Tom says

    What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?

  27. Kartik Satija says

    Amazing article, very well articulated and documented.
    Thank you all so much for this.
    More power to you guys, keep up the good work.

    Cheers,
    Kartik.

  28. Liz says

    Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!

    • WPBeginner Support says

      It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue

      Admin

  29. Gary Starling says

    Very helpful suggestions and well explained from the basic to the complex
    Thank you four your explanations

  30. Andrei says

    Hi guys,

    After the first user enumeration, brute force a security plugin will block that IP address.

    If you password protect the wp-admin directory the plugin can no longer block that IP.

    Is that a correct assessment?

    • WPBeginner Support says

      Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin

      Admin

      • Andrei says

        Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.

  31. Aqib khan says

    i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.

  32. mahmoud says

    I love this site. you’re offering precious information.
    I’m a beginner and this is helpful.
    but can I only have a strong password and disable indexing to do the matter?
    what about all these plugins I think they will affect the site speed or this not installed on the site?

  33. Krishna says

    Hi WP Beginner Team,

    Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.

    THANKS AGAIN…

  34. Kushal says

    I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.

  35. Dietrich says

    Hi

    Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.

    • WPBeginner Support says

      We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.

      Admin

Eine Antwort hinterlassen

Danke, dass du einen Kommentar hinterlassen möchtest. Bitte beachte, dass alle Kommentare nach unseren kommentarpolitik moderiert werden und deine E-Mail-Adresse NICHT veröffentlicht wird. Bitte verwende KEINE Schlüsselwörter im Namensfeld. Lass uns ein persönliches und sinnvolles Gespräch führen.