Die Sicherheit von WordPress ist für jeden Website-Betreiber ein Thema von großer Bedeutung.
Wenn es Ihnen mit Ihrer Website ernst ist, müssen Sie auf die bewährten WordPress-Sicherheitsverfahren achten. Andernfalls könnten Sie zu den über 10.000 Websites gehören, die Google jeden Tag wegen Malware und Phishing auf die schwarze Liste setzt.
In diesem Leitfaden geben wir Ihnen unsere besten WordPress-Sicherheitstipps, damit Sie Ihre Website vor Hackern und Malware schützen können.
Obwohl die WordPress-Kernsoftware sehr sicher ist und regelmäßig von Hunderten von Entwicklern überprüft wird, gibt es immer noch eine Menge zu tun, um die Sicherheit Ihrer Website zu gewährleisten.
Bei WPBeginner sind wir der Meinung, dass Sicherheit nicht nur mit der Beseitigung von Risiken zu tun hat. Es geht auch um Risikominderung. Als Website-Besitzer können Sie eine Menge tun, um die Sicherheit von WordPress zu verbessern, selbst wenn Sie technisch nicht versiert sind.
Deshalb haben wir eine Liste von Maßnahmen zusammengestellt, die Sie ergreifen können, um Ihre Website vor Sicherheitslücken zu schützen.
Um es Ihnen leicht zu machen, haben wir ein Inhaltsverzeichnis erstellt, das Ihnen hilft, sich in unserem ultimativen WordPress-Sicherheitsleitfaden zurechtzufinden.
Inhaltsübersicht
Grundlagen der WordPress-Sicherheit
- Warum WordPress-Sicherheit wichtig ist
- WordPress auf dem neuesten Stand halten
- Verwenden Sie sichere Kennwörter und Benutzerberechtigungen
- Verstehen Sie die Rolle des WordPress-Hostings
WordPress-Sicherheit in einfachen Schritten (ohne Programmierkenntnisse)
- Installieren Sie eine WordPress-Backup-Lösung
- Installieren Sie ein seriöses WordPress-Sicherheits-Plugin
- Aktivieren Sie eine Web Application Firewall (WAF)
- Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS
WordPress-Sicherheit für Heimwerker
- Ändern Sie den Standardbenutzernamen für Administratoren
- Dateibearbeitung deaktivieren
- Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen
- Anmeldeversuche begrenzen
- Zwei-Faktor-Authentifizierung (2FA) hinzufügen
- Ändern des WordPress-Datenbankpräfixes
- Passwortschutz für WordPress Admin und Login-Seite
- Verzeichnisindizierung und -durchsuchung deaktivieren
- XML-RPC in WordPress deaktivieren
- Untätige Benutzer in WordPress automatisch abmelden
- Sicherheitsfragen zum WordPress-Login hinzufügen
- Scannen von WordPress auf Malware und Schwachstellen
- Eine gehackte WordPress-Website reparieren
Sind Sie bereit? Dann fangen wir an.
Warum Website-Sicherheit wichtig ist
Eine gehackte WordPress-Website kann den Einnahmen und dem Ruf Ihres Unternehmens schweren Schaden zufügen. Hacker können Benutzerinformationen und Passwörter stehlen, bösartige Software installieren und sogar Malware an Ihre Benutzer verteilen.
Schlimmstenfalls müssen Sie Ransomware an Hacker zahlen, nur um wieder Zugang zu Ihrer Website zu erhalten.
Jeden Tag warnt Google 12-14 Millionen Nutzer, dass eine Website, die sie besuchen wollen, möglicherweise Malware enthält oder Informationen stiehlt.
Darüber hinaus werden von Google täglich mehr als 10.000 Websites wegen Malware oder Phishing auf die schwarze Liste gesetzt.
Genauso wie Geschäftsinhaber mit einem physischen Standort die Verantwortung haben, ihr Eigentum zu schützen, müssen Online-Geschäftsinhaber der Sicherheit ihres WordPress-Systems besondere Aufmerksamkeit schenken.
WordPress auf dem neuesten Stand halten
WordPress ist eine Open-Source-Software und wird regelmäßig gewartet und aktualisiert. Standardmäßig installiert WordPress automatisch kleinere Updates.
Bei größeren Versionen müssen Sie die Aktualisierung manuell anstoßen.
Für WordPress gibt es außerdem Tausende von Plugins und Themes, die Sie auf Ihrer Website installieren können. Diese Plugins und Themes werden von Drittentwicklern gepflegt, die auch regelmäßig Updates veröffentlichen.
Diese WordPress-Updates sind entscheidend für die Sicherheit und Stabilität Ihrer WordPress-Website. Sie müssen sicherstellen, dass Ihr WordPress-Kern, Ihre Plugins und Ihr Theme auf dem neuesten Stand sind.
Verwenden Sie sichere Kennwörter und Benutzerberechtigungen
Die häufigsten WordPress-Hacking-Versuche verwenden gestohlene Passwörter. Sie können dies erschweren, indem Sie stärkere Passwörter verwenden, die für Ihre Website einzigartig sind.
Dabei geht es nicht nur um den WordPress-Verwaltungsbereich. Denken Sie daran, sichere Passwörter für Ihre FTP-Konten, Datenbanken, WordPress-Hosting-Konten und benutzerdefinierte E-Mail-Adressen zu erstellen, die den Domainnamen Ihrer Website verwenden.
Viele Anfänger verwenden ungern sichere Passwörter, weil sie schwer zu merken sind. Das Gute daran ist, dass Sie sich keine Passwörter mehr merken müssen, weil Sie einfach einen Passwortmanager verwenden können.
In unserem Leitfaden zur Verwaltung von WordPress-Passwörtern finden Sie weitere Informationen.
Eine weitere Möglichkeit, das Risiko zu verringern, besteht darin, niemandem Zugang zu Ihrem WordPress-Administratorkonto zu gewähren, wenn Sie es nicht unbedingt müssen.
Wenn Sie ein großes Team oder Gastautoren haben, dann stellen Sie sicher, dass Sie die Benutzerrollen und Fähigkeiten in WordPress verstehen, bevor Sie neue Benutzerkonten und Autoren zu Ihrer WordPress-Website hinzufügen.
Verstehen Sie die Rolle des WordPress-Hostings
Ihr WordPress-Hosting-Service spielt die wichtigste Rolle für die Sicherheit Ihrer WordPress-Website. Ein guter Shared-Hosting-Anbieter wie Hostinger, Bluehost oder SiteGround ergreift zusätzliche Maßnahmen zum Schutz seiner Server vor gängigen Bedrohungen.
Hier sind nur einige Beispiele dafür, wie gute Webhosting-Unternehmen im Hintergrund arbeiten, um Ihre Websites und Daten zu schützen:
- Sie überwachen ihr Netzwerk kontinuierlich auf verdächtige Aktivitäten.
- Alle guten Hosting-Unternehmen verfügen über Tools zur Verhinderung groß angelegter DDoS-Angriffe.
- Sie halten ihre Serversoftware, PHP-Versionen und Hardware auf dem neuesten Stand, um zu verhindern, dass Hacker eine bekannte Sicherheitslücke in einer alten Version ausnutzen.
- Sie verfügen über einsatzbereite Disaster-Recovery- und Unfallpläne, die es ihnen ermöglichen, Ihre Daten im Falle eines größeren Unfalls zu schützen.
Bei einem Shared-Hosting-Tarif teilen Sie die Serverressourcen mit vielen anderen Kunden. Es besteht das Risiko einer seitenübergreifenden Kontamination, bei der ein Hacker eine benachbarte Website nutzen kann, um Ihre Website anzugreifen.
Im Gegensatz dazu bietet ein verwalteter WordPress-Hosting-Dienst eine sicherere Plattform für Ihre Website. Managed-WordPress-Hosting-Unternehmen bieten automatische Backups, automatische WordPress-Updates und erweiterte Sicherheitskonfigurationen zum Schutz Ihrer Website
Wir empfehlen WP Engine als unseren bevorzugten Anbieter für verwaltetes WordPress-Hosting. Sie sind auch der beliebteste Anbieter in der Branche.
Stellen Sie sicher, dass Sie das beste Angebot erhalten, indem Sie unseren speziellen WP Engine-Gutschein verwenden.
WordPress-Sicherheit in ein paar einfachen Schritten (ohne Programmierung)
Wir wissen, dass die Verbesserung der WordPress-Sicherheit ein erschreckender Gedanke für Anfänger sein kann, vor allem, wenn Sie nicht technisch versiert sind. Raten Sie mal – Sie sind nicht allein.
Wir haben Tausenden von WordPress-Benutzern bei der Härtung ihrer WordPress-Sicherheit geholfen.
Wir zeigen Ihnen, wie Sie die Sicherheit von WordPress mit nur wenigen Klicks verbessern können (kein Programmieren erforderlich).
Wenn du zeigen und klicken kannst, kannst du das auch!
1. Installieren Sie eine WordPress-Backup-Lösung
Backups sind Ihre erste Verteidigung gegen jeden WordPress-Angriff. Denken Sie daran, dass nichts zu 100 % sicher ist. Wenn Regierungswebsites gehackt werden können, dann kann das auch Ihre sein.
Mit Backups können Sie Ihre WordPress-Website schnell wiederherstellen, falls etwas Schlimmes passieren sollte.
Es gibt viele kostenlose und kostenpflichtige WordPress-Backup-Plugins, die Sie verwenden können. Das Wichtigste, was Sie im Zusammenhang mit Backups wissen müssen, ist, dass Sie regelmäßig vollständige Backups der Website an einem entfernten Ort speichern müssen (nicht in Ihrem Hosting-Konto).
Wir empfehlen, sie in einem Cloud-Dienst wie Amazon, Dropbox oder in privaten Clouds wie Stash zu speichern.
Je nachdem, wie häufig Sie Ihre Website aktualisieren, ist die ideale Einstellung entweder eine tägliche Sicherung oder eine Sicherung in Echtzeit.
Glücklicherweise kann dies mit Plugins wie Duplicator, UpdraftPlus oder BlogVault leicht bewerkstelligt werden. Sie sind beide zuverlässig und vor allem einfach zu bedienen (keine Codierung erforderlich).
Weitere Einzelheiten finden Sie in unserem Leitfaden zum Sichern Ihrer WordPress-Website.
Installieren Sie ein seriöses WordPress-Sicherheits-Plugin
Nach den Backups müssen wir als Nächstes ein Prüf- und Überwachungssystem einrichten, das alles, was auf Ihrer Website passiert, im Auge behält.
Dazu gehören die Überwachung der Dateiintegrität, fehlgeschlagene Anmeldeversuche, Malware-Scans und vieles mehr.
Glücklicherweise können Sie dies leicht beheben, indem Sie eines der besten WordPress-Sicherheits-Plugins wie Sucuri installieren.
Sie müssen das kostenlose Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Jetzt können Sie auf dem Sucuri Security “ Dashboard sehen, ob das Plugin unmittelbare Probleme mit Ihrem WordPress-Code gefunden hat.
Als Nächstes müssen Sie zur Seite Sucuri Security “ Settings navigieren und auf die Registerkarte „Hardening“ klicken.
Die Standardeinstellungen sind für die meisten Websites gut geeignet. Sie können sie also aktivieren, indem Sie bei jeder Option auf die Schaltfläche „Härtung anwenden“ klicken.
Auf diese Weise können Sie die Schlüsselbereiche, die Hacker häufig für ihre Angriffe nutzen, absichern.
Tipp: Wir werden später in diesem Artikel weitere Möglichkeiten zur Absicherung Ihrer Website behandeln, z. B. das Ändern des Datenbankpräfixes und des Administrator-Benutzernamens. Diese sind jedoch eher technischer Natur und erfordern möglicherweise Programmierkenntnisse.
Nach dem Härtungsteil sind die anderen Standardeinstellungen des Plugins für die meisten Websites ausreichend und müssen nicht geändert werden.
Das Einzige, was wir empfehlen, ist die Anpassung der E-Mail-Benachrichtigungen, die Sie auf der Registerkarte „Benachrichtigungen“ auf der Einstellungsseite finden.
Standardmäßig erhalten Sie eine Vielzahl von E-Mail-Benachrichtigungen, die Ihren Posteingang verstopfen können.
Wir empfehlen, Warnmeldungen nur für wichtige Aktionen zu aktivieren, über die Sie benachrichtigt werden möchten, z. B. für Plugin-Änderungen und neue Benutzerregistrierungen.
Dieses WordPress-Sicherheits-Plugin ist sehr leistungsfähig. Durchstöbern Sie alle Registerkarten und Einstellungen, um zu sehen, was es alles kann, wie z. B. Malware-Scans, Audit-Protokolle, Nachverfolgung fehlgeschlagener Anmeldeversuche und mehr.
Weitere Informationen finden Sie in unserem ausführlichen Sucuri-Test.
Aktivieren Sie eine Web Application Firewall (WAF)
Der einfachste Weg, Ihre Website zu schützen und sich auf die Sicherheit von WordPress zu verlassen, ist die Verwendung einer Web Application Firewall (WAF).
Eine Website-Firewall blockiert jeglichen bösartigen Datenverkehr, bevor er Ihre Website überhaupt erreicht.
- Eine Website-Firewall auf DNS-Ebene leitet den Datenverkehr Ihrer Website über ihre Cloud-Proxyserver. So kann sie nur echten Datenverkehr an Ihren Webserver senden.
- Eine Firewall auf Anwendungsebene prüft den Datenverkehr, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist bei der Reduzierung der Serverlast nicht so effizient wie die Firewall auf DNS-Ebene.
Weitere Informationen finden Sie in unserer Liste der besten WordPress-Firewall-Plugins.
Wir haben Sucuri auf WPBeginner viele Jahre lang verwendet und empfehlen es immer noch als eine der besten Web Application Firewalls für WordPress. Vor kurzem sind wir von Sucuri zu Cloudflare gewechselt, weil wir ein größeres CDN-Netzwerk mit Funktionen benötigten, die sich mehr auf Unternehmenskunden konzentrieren.
Lesen Sie, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in einem Monat zu blockieren.
Das Beste an der Firewall von Sucuri ist, dass sie auch eine Garantie für die Beseitigung von Malware und die Entfernung von schwarzen Listen enthält. Das heißt, wenn Sie unter ihrer Aufsicht gehackt werden, garantieren sie, Ihre Website zu reparieren, egal wie viele Seiten Sie haben.
Dies ist eine ziemlich starke Garantie, denn die Reparatur von gehackten Websites ist teuer. Sicherheitsexperten verlangen normalerweise mehr als 250 Dollar pro Stunde, während Sie das gesamte Sucuri-Sicherheitspaket für 199 Dollar für ein ganzes Jahr erhalten können.
Allerdings ist Sucuri nicht der einzige Anbieter von Firewalls auf DNS-Ebene, den es gibt. Der andere beliebte Konkurrent ist Cloudflare. Siehe unseren Vergleich von Sucuri und Cloudflare (Vor- und Nachteile).
Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS
SSL (Secure Sockets Layer) ist ein Protokoll, das die Datenübertragung zwischen Ihrer Website und dem Browser des Benutzers verschlüsselt. Diese Verschlüsselung macht es für jemanden schwieriger, Informationen auszuspähen und zu stehlen.
Sobald Sie SSL aktiviert haben, verwendet Ihre Website-Adresse HTTPS anstelle von HTTP. Sie sehen dann auch ein Vorhängeschloss oder ein ähnliches Symbol neben der Adresse Ihrer Website im Browser.
SSL-Zertifikate werden in der Regel von Zertifizierungsstellen ausgestellt, und ihre Preise reichen von 80 bis zu Hunderten von Dollar pro Jahr. Aufgrund der zusätzlichen Kosten haben sich die meisten Website-Besitzer in der Vergangenheit dafür entschieden, weiterhin das unsichere Protokoll zu verwenden.
Um dieses Problem zu lösen, hat die gemeinnützige Organisation Let’s Encrypt beschlossen, Website-Betreibern kostenlose SSL-Zertifikate anzubieten. Ihr Projekt wird von Google Chrome, Facebook, Mozilla und vielen anderen Unternehmen unterstützt.
Es ist einfacher denn je, SSL für alle Ihre WordPress-Websites zu verwenden. Viele Hosting-Unternehmen bieten jetzt ein kostenloses SSL-Zertifikat für Ihre WordPress-Website an.
Wenn Ihr Hosting-Unternehmen kein SSL-Zertifikat anbietet, können Sie ein SSL-Zertifikat bei Domain.com erwerben. Sie haben die besten und zuverlässigsten SSL-Angebote auf dem Markt. Das Zertifikat wird mit einer 10.000-Dollar-Sicherheitsgarantie und einem TrustLogo-Sicherheitssiegel geliefert.
WordPress-Sicherheit für Heimwerker
Wenn Sie alles tun, was wir bisher erwähnt haben, dann sind Sie in ziemlich guter Verfassung.
Aber wie immer gibt es noch mehr, was Sie tun können, um die Sicherheit Ihres WordPress zu erhöhen.
Beachten Sie, dass einige dieser Schritte Programmierkenntnisse erfordern.
Ändern Sie den Standardbenutzernamen für Administratoren
Früher war der Standard-Benutzername für WordPress-Administratoren „admin“. Da Benutzernamen die Hälfte der Anmeldedaten ausmachen, war es für Hacker einfacher, Brute-Force-Angriffe durchzuführen.
Glücklicherweise hat WordPress dies inzwischen geändert und verlangt nun, dass Sie bei der Installation von WordPress einen eigenen Benutzernamen auswählen.
Einige 1-Klick-WordPress-Installationsprogramme setzen den Standardbenutzernamen des Administrators jedoch immer noch auf „admin“. Wenn Sie feststellen, dass dies der Fall ist, ist es wahrscheinlich eine gute Idee, Ihr Webhosting zu wechseln.
Da WordPress es nicht zulässt, dass Sie Benutzernamen standardmäßig ändern, gibt es drei Methoden, die Sie verwenden können, um den Benutzernamen zu ändern.
- Erstellen Sie einen neuen Administrator-Benutzernamen und löschen Sie den alten.
- Verwenden Sie das Plugin Username Changer
- Benutzernamen von phpMyAdmin aktualisieren
Wir haben alle drei Punkte in unserer ausführlichen Anleitung zum Ändern des WordPress-Benutzernamens behandelt.
Hinweis: Um das klarzustellen, geht es hier darum, den Benutzernamen „admin“ zu ändern, nicht die Administratorrolle, die manchmal auch „admin“ genannt wird.
Dateibearbeitung deaktivieren
WordPress verfügt über einen integrierten Code-Editor, mit dem Sie Ihre Theme- und Plugin-Dateien direkt im WordPress-Adminbereich bearbeiten können.
In den falschen Händen kann diese Funktion ein Sicherheitsrisiko darstellen, weshalb wir empfehlen, sie zu deaktivieren.
Sie können dies ganz einfach tun, indem Sie den folgenden Code in Ihre wp-config.php-Datei einfügen oder mit einem Code-Snippet-Plugin wie WPCode (empfohlen):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
In unserer Anleitung zum Deaktivieren von Theme- und Plugin-Editoren im WordPress-Admin-Panel zeigen wir Ihnen Schritt für Schritt, wie Sie dies tun können.
Alternativ können Sie dies mit einem Klick über die Härtungsfunktion des oben erwähnten kostenlosen Sucuri-Plugins tun.
Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen
Eine weitere Möglichkeit, die Sicherheit von WordPress zu erhöhen, besteht darin, die Ausführung von PHP-Dateien in Verzeichnissen zu deaktivieren, in denen sie nicht benötigt werden, wie z. B. /wp-content/uploads/
.
Sie können dies tun, indem Sie einen Texteditor wie Notepad öffnen und diesen Code einfügen:
<Files *.php>
deny from all
</Files>
Als Nächstes müssen Sie diese Datei als .htaccess speichern und sie mit einem FTP-Client in den Ordner /wp-content/uploads/
Ihrer Website hochladen.
Eine genauere Erklärung finden Sie in unserer Anleitung, wie Sie die Ausführung von PHP in bestimmten WordPress-Verzeichnissen deaktivieren können.
Alternativ können Sie dies auch mit der oben erwähnten Härtungsfunktion des kostenlosen Sucuri-Plugins mit nur einem Klick erledigen.
Anmeldeversuche begrenzen
Standardmäßig erlaubt WordPress den Nutzern, sich so oft anzumelden, wie sie wollen. Dies macht Ihre WordPress-Website anfällig für Brute-Force-Angriffe. Dabei versuchen Hacker, Passwörter zu knacken, indem sie versuchen, sich mit verschiedenen Kombinationen anzumelden.
Dies lässt sich leicht beheben, indem die Anzahl der fehlgeschlagenen Anmeldeversuche eines Benutzers begrenzt wird. Wenn Sie die bereits erwähnte Web Application Firewall verwenden, wird dies automatisch behoben.
Wenn Sie die Firewall jedoch nicht eingerichtet haben, können Sie die folgenden Schritte ausführen.
Zunächst müssen Sie das kostenlose Plugin Limit Login Attempts Reloaded installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Nach der Aktivierung beginnt das Plugin, die Anzahl der Anmeldeversuche der Benutzer zu begrenzen.
Die Standardeinstellungen sind für die meisten Websites geeignet. Sie können sie jedoch anpassen, indem Sie die Seite Einstellungen “ Anmeldeversuche beschränken aufrufen und oben auf die Registerkarte „Einstellungen“ klicken. Um zum Beispiel die GDPR-Gesetze einzuhalten, können Sie auf das Kontrollkästchen „GDPR-Compliance“ klicken.
Detaillierte Anweisungen finden Sie in unserem Leitfaden darüber, wie und warum Sie Anmeldeversuche in WordPress begrenzen sollten.
Zwei-Faktor-Authentifizierung (2FA) hinzufügen
Die Zwei-Faktor-Authentifizierungsmethode erfordert 2 verschiedene Schritte für die Anmeldung der Benutzer:
- Der erste Schritt ist die Eingabe des Benutzernamens und des Passworts.
- Im zweiten Schritt müssen Sie einen Code von einem Gerät oder einer App in Ihrem Besitz verwenden, auf das bzw. die Hacker keinen Zugriff haben, z. B. von Ihrem Smartphone.
Bei den meisten großen Online-Websites wie Google, Facebook und Twitter können Sie diese Funktion für Ihre Konten aktivieren. Sie können die gleiche Funktion auch zu Ihrer WordPress-Website hinzufügen.
Zunächst müssen Sie das Plugin WP 2FA – Two-factor Authentication installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Ein benutzerfreundlicher Assistent hilft Ihnen bei der Einrichtung des Plugins und anschließend erhalten Sie einen QR-Code.
Sie müssen den QR-Code mit einer Authentifizierungs-App auf Ihrem Telefon scannen, z. B. Google Authenticator, Authy und LastPass Authenticator.
Wir empfehlen die Verwendung von LastPass Authenticator oder Authy, da sie es Ihnen ermöglichen, Ihre Konten in der Cloud zu sichern. Dies ist sehr nützlich, falls Ihr Telefon verloren geht, zurückgesetzt wird oder Sie ein neues Telefon kaufen. Alle Ihre Kontoanmeldungen lassen sich leicht wiederherstellen.
Die meisten dieser Apps funktionieren auf ähnliche Weise, und wenn Sie Authy verwenden, klicken Sie einfach auf die Schaltfläche „+“ oder „Konto hinzufügen“ in der Authentifizierungs-App.
Damit können Sie den QR-Code auf Ihrem Computer mit der Kamera Ihres Telefons scannen. Möglicherweise müssen Sie der App zunächst die Berechtigung zum Zugriff auf die Kamera erteilen.
Nachdem Sie dem Konto einen Namen gegeben haben, können Sie es speichern.
Wenn Sie sich das nächste Mal bei Ihrer Website anmelden, werden Sie nach der Eingabe Ihres Passworts nach dem Code für die Zwei-Faktor-Authentifizierung gefragt.
Öffnen Sie einfach die Authenticator-App auf Ihrem Telefon, und Sie sehen einen einmaligen Code.
Sie können dann den Code auf Ihrer Website eingeben, um die Anmeldung abzuschließen.
Ändern des WordPress-Datenbankpräfixes
WordPress verwendet standardmäßig wp_
als Präfix für alle Tabellen in Ihrer WordPress-Datenbank.
Wenn Ihre WordPress-Website das Standard-Datenbankpräfix verwendet, ist es für Hacker einfacher, den Namen Ihrer Tabelle zu erraten. Deshalb empfehlen wir, es zu ändern.
Sie können Ihr Datenbank-Präfix ändern, indem Sie unserer Schritt-für-Schritt-Anleitung folgen, wie Sie das WordPress-Datenbank-Präfix ändern, um die Sicherheit zu verbessern.
Hinweis: Das Ändern des Datenbankpräfixes kann Ihre Website zerstören, wenn es nicht richtig gemacht wird. Tun Sie dies nur, wenn Sie sich mit Ihren Programmierkenntnissen sicher fühlen.
Passwortschutz für WordPress Admin und Login-Seite
Normalerweise können Hacker Ihren wp-admin-Ordner und Ihre Anmeldeseite ohne jegliche Einschränkungen anfordern. Dies ermöglicht ihnen, ihre Hacking-Tricks auszuprobieren oder DDoS-Angriffe durchzuführen.
Sie können einen zusätzlichen Passwortschutz auf Server-Ebene hinzufügen, der diese Anfragen effektiv blockiert.
Folgen Sie einfach unserer Schritt-für-Schritt-Anleitung, wie Sie Ihr WordPress-Admin-Verzeichnis (wp-admin) mit einem Passwort schützen können.
Verzeichnisindizierung und -durchsuchung deaktivieren
Wenn Sie die Adresse eines Ihrer Website-Ordner in einen Webbrowser eingeben, wird Ihnen die Webseite index.html
angezeigt, sofern sie existiert. Existiert sie nicht, wird Ihnen stattdessen eine Liste der Dateien in diesem Ordner angezeigt. Dies wird als „Directory Browsing“ bezeichnet.
Das Durchsuchen von Verzeichnissen kann von Hackern genutzt werden, um herauszufinden, ob Sie Dateien mit bekannten Sicherheitslücken haben, so dass sie diese Dateien ausnutzen können, um sich Zugang zu verschaffen.
Das Durchsuchen von Verzeichnissen kann auch von anderen Personen verwendet werden, um Ihre Dateien einzusehen, Bilder zu kopieren, Ihre Verzeichnisstruktur herauszufinden und andere Informationen zu erhalten. Aus diesem Grund wird dringend empfohlen, die Verzeichnisindizierung und das Durchsuchen zu deaktivieren.
Sie müssen sich mit FTP oder dem Dateimanager Ihres Hosting-Anbieters mit Ihrer Website verbinden. Suchen Sie dann die .htaccess-Datei
im Stammverzeichnis Ihrer Website. Wenn Sie sie dort nicht sehen können, lesen Sie unsere Anleitung, warum Sie die .htaccess-Datei in WordPress nicht sehen können.
Danach müssen Sie die folgende Zeile am Ende der .htaccess-Datei hinzufügen:
Optionen -Indizes
Vergessen Sie nicht, die .htaccess-Datei zu speichern und wieder auf Ihre Website hochzuladen.
Weitere Informationen zu diesem Thema finden Sie in unserem Artikel über die Deaktivierung des Directory Browsing in WordPress.
XML-RPC in WordPress deaktivieren
XML-RPC ist eine WordPress-Kern-API, die dabei hilft, Ihre WordPress-Website mit Web- und Mobilanwendungen zu verbinden. Sie ist seit WordPress 3.5 standardmäßig aktiviert.
Aufgrund seiner Leistungsfähigkeit kann XML-RPC jedoch Brute-Force-Angriffe erheblich verstärken.
Wenn ein Hacker zum Beispiel 500 verschiedene Passwörter auf Ihrer Website ausprobieren wollte, müsste er 500 verschiedene Anmeldeversuche unternehmen. Dies kann durch das Limit Login Attempts Reloaded Plugin abgefangen und blockiert werden.
Aber mit XML-RPC kann ein Hacker die Funktion system.multicall
verwenden, um Tausende von Passwörtern mit sagen wir 20 oder 50 Anfragen auszuprobieren.
Wenn Sie XML-RPC nicht verwenden, empfehlen wir Ihnen daher, es zu deaktivieren.
Es gibt 3 Möglichkeiten, XML-RPC in WordPress zu deaktivieren, und wir haben alle in unserer Schritt-für-Schritt-Anleitung zur Deaktivierung von XML-RPC in WordPress behandelt.
Tipp: Die .htaccess-Methode ist die beste, weil sie am wenigsten ressourcenintensiv ist. Die anderen Methoden sind für Anfänger einfacher.
Alternativ dazu wird dies automatisch erledigt, wenn Sie, wie bereits erwähnt, eine Web Application Firewall (WAF) verwenden.
Untätige Benutzer in WordPress automatisch abmelden
Eingeloggte Benutzer können sich manchmal vom Bildschirm entfernen, was ein Sicherheitsrisiko darstellt. Jemand kann ihre Sitzung entführen, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.
Aus diesem Grund melden viele Bank- und Finanzseiten inaktive Benutzer automatisch ab. Sie können eine ähnliche Funktion auch auf Ihrer WordPress-Website einrichten.
Sie müssen das Plugin “ Inactive Logout“ installieren und aktivieren. Rufen Sie nach der Aktivierung die Seite Einstellungen “ Inaktives Logout auf, um die Logout-Einstellungen anzupassen.
Legen Sie einfach die Zeitdauer fest und fügen Sie eine Abmeldemeldung hinzu. Vergessen Sie dann nicht, auf die Schaltfläche „Änderungen speichern“ unten auf der Seite zu klicken, um Ihre Einstellungen zu speichern.
Eine Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zum automatischen Abmelden untätiger Benutzer in WordPress.
Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm
Durch das Hinzufügen einer Sicherheitsfrage zu Ihrem WordPress-Anmeldebildschirm wird es noch schwieriger für jemanden, sich unbefugt Zugang zu verschaffen.
Sie können Sicherheitsfragen hinzufügen, indem Sie das Zwei-Faktor-Authentifizierungs-Plugin installieren. Nach der Aktivierung müssen Sie die Seite Mehrfaktor-Authentifizierung “ Zweifaktor besuchen, um die Einstellungen des Plugins zu konfigurieren.
Damit können Sie verschiedene Arten der Zwei-Faktor-Authentifizierung zu Ihrer Website hinzufügen, einschließlich Sicherheitsfragen.
Ausführlichere Anweisungen finden Sie in unserem Tutorial über das Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm.
Scannen von WordPress auf Malware und Schwachstellen
Wenn Sie ein WordPress-Sicherheits-Plugin installiert haben, wird es routinemäßig nach Malware und Anzeichen von Sicherheitsverletzungen suchen.
Wenn Sie jedoch einen plötzlichen Rückgang des Website-Traffics oder des Suchrankings feststellen, sollten Sie manuell nach Malware suchen. Sie können dies mit Ihrem WordPress-Sicherheits-Plugin oder einem der besten Malware- und Sicherheitsscanner tun.
Die Durchführung dieser Online-Scans ist ganz einfach. Sie geben einfach die URL Ihrer Website ein, und die Crawler durchsuchen Ihre Website nach bekannter Malware und bösartigem Code.
Denken Sie daran, dass die meisten WordPress-Sicherheitsscanner Sie nur warnen können, wenn Ihre Website Malware enthält. Sie können die Malware nicht entfernen oder eine gehackte WordPress-Website säubern.
Dies bringt uns zum nächsten Abschnitt, der Bereinigung von Malware und gehackten WordPress-Seiten.
Eine gehackte WordPress-Website reparieren
Viele WordPress-Benutzer erkennen die Bedeutung von Backups und Website-Sicherheit erst, wenn ihre Website gehackt wird.
Hacker installieren Hintertüren auf den betroffenen Websites, und wenn diese Hintertüren nicht ordnungsgemäß repariert werden, wird Ihre Website wahrscheinlich erneut gehackt.
Für die Abenteuerlustigen und Heimwerker haben wir eine Schritt-für-Schritt-Anleitung zur Behebung einer gehackten WordPress-Website zusammengestellt.
Die Bereinigung einer WordPress-Website kann jedoch sehr schwierig und zeitaufwändig sein. Wir raten dazu, dies von einem Profi erledigen zu lassen.
Wenn Sie für die Verwendung des oben erwähnten Sucuri-Sicherheits-Plugins bezahlen, ist die Reparatur einer gehackten Website im Preis inbegriffen.
Sie können auch den WPBeginner Pro Services Reparaturservice für gehackte Websites nutzen. Dies erfordert eine einmalige Zahlung von $249 und beinhaltet eine erstklassige Dateibestimmung, die Entfernung von bösartigem Code, Software- und Sicherheitsupdates und ein bereinigtes Website-Backup.
Wir garantieren, dass wir Ihre Website reparieren oder Ihnen Ihr Geld zurückgeben. Außerdem decken wir Ihre Website 30 Tage lang nach der Reparatur ab. Wenn Sie also in dieser Zeit erneut gehackt werden, sind wir zur Stelle, um das Problem zu beheben.
Wir säubern und sichern WordPress-Websites seit mehr als 10 Jahren. Sie können also beruhigt sein, wenn Sie unseren Service zur Reparatur gehackter Websites nutzen.
Bonus-Tipp: Beauftragen Sie einen WordPress-Wartungsdienst
Als vielbeschäftigter Kleinunternehmer haben Sie vielleicht keine Zeit, die Sicherheit Ihrer Website zu überwachen und sie vor Schwachstellen zu schützen. Um Ihnen die Arbeit zu erleichtern, können Sie einen WordPress-Wartungsservice für die 24/7-Sicherheitsüberwachung beauftragen.
WPBeginner Pro Services bietet umfassende WordPress-Website-Wartung zu einem erschwinglichen Preis. Dazu gehören Sicherheitsüberwachung, regelmäßige Cloud-Backups, WordPress-Updates, Überwachung der Betriebszeit und vieles mehr.
Wählen Sie einfach ein monatliches Wartungspaket, das Ihren Bedürfnissen entspricht, und Sie erhalten eine sicherere WordPress-Website und zusätzliche freie Zeit, um an anderen Aspekten Ihres Unternehmens zu arbeiten.
Wenn Sie weitere Empfehlungen wünschen, können Sie sich unsere Auswahl der besten Website-Wartungsdienste für WordPress ansehen.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die besten Praktiken für WordPress-Sicherheit zu lernen und die besten WordPress-Sicherheits-Plugins für Ihre Website zu entdecken. Vielleicht interessieren Sie sich auch für unseren ultimativen WordPress-SEO-Leitfaden zur Verbesserung Ihrer SEO-Rankings und unsere Expertentipps zur Beschleunigung von WordPress.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Kushal Phalak says
Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.
Ayanda Temitayo says
Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login
I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.
What’s your opinion about changing the default login route?
WPBeginner Support says
Changing your login URL is personal preference and not specifically for security.
Admin
al amin Sheikh says
Two important things in a website – Performance and Security.
Nicely explained how we can protect our site from hackers. Thanks, WPB.
WPBeginner Support says
You’re welcome
Admin
mohadese esmaeeli says
Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.
WPBeginner Support says
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Admin
Fajri says
Whoa, the method to Disable XML-RPC in WordPress is totally new for me.
I am gonna try to applicate it to add more security for my websites. Thanks for this information team!
WPBeginner Support says
Glad you found our article helpful
Admin
Murad Prodhan says
WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.
WPBeginner Support says
You’re welcome, glad the guide was helpful
Admin
Jiří Vaněk says
This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.
WPBeginner Support says
You’re welcome, glad our guide was helpful
Admin
Etop Udoekene says
Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
I am really grateful.
WPBeginner Support says
You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.
Admin
Mark Ellsworth says
Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.
WPBeginner Support says
Glad you found our security guide helpful
Admin
Ifakayode Femi says
I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way
Thanks for taking your time to compose this
Thanks a million times
WPBeginner Support says
Glad you found our guide and recommendations helpful!
Admin
Nikhil says
thankyou sir it’s information is to important thankyou so much sir
WPBeginner Support says
You’re welcome, glad to hear our article was helpful!
Admin
Yasin says
I am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support says
You’re welcome glad you found our guide helpful!
Admin
Belinda Viret says
Thank you for the great advice!
WPBeginner Support says
You’re welcome!
Admin
Marko Kozlica says
Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!
WPBeginner Support says
Glad you found our article helpful!
Admin
Federico says
Really good guide, very useful!
WPBeginner Support says
Glad you think so!
Admin
Claudio Lopes says
Following the tips and feeling that my site is more secure.
WPBeginner Support says
Glad to hear our guide could help you!
Admin
Bob De Maria says
Hi,
I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.
I can’t thank you enough for a very well written and much appreciated tutorial.
Best Regards,
Bob De Maria
WPBeginner Support says
Glad to hear our guide was helpful!
Admin
Kimberly says
FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.
WPBeginner Support says
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Admin
MS says
Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???
WPBeginner Support says
These should not cause a major change to your site’s speed.
Admin
john says
nice Article ,
Do use reCAPTCHA in forms is helpful in securing?
WPBeginner Support says
reCAPTCHA is for preventing spam more than security.
Admin
tim jackz says
Hello team,
If i install two security plugin in my wordpress website, is there any disadvantages for my website?
WPBeginner Support says
You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.
Admin
Diego says
My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.
I don’t quite understands all these different branches of WP.
Should I still need to upgrade?
WPBeginner Support says
Rather than upgrade, you need to update your site, you can take a look at our guide below for how to safely update your site:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Admin
Julia says
So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.
WPBeginner Support says
That would be a WordPress.com limitation, for the difference between WordPress.com and WordPress.org we would recommend taking a look at our article below:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Admin
Trisha says
Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?
WPBeginner Support says
That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.
Admin
Ish says
I took over a word press site how would i know if my site has a cloud backup account prior before me?
WPBeginner Support says
You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.
Admin
Lu says
How can you find out if your site uses XML-RPC? Really useful as always. Thank you.
WPBeginner Support says
If your version of WordPress is up to date it should be active on your site normally.
Admin
Julie Taylor says
Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?
WPBeginner Support says
The security recommendations should not affect your site’s SEO
Admin
MooN Minhas says
Thanks for sharing nice information.
WPBeginner Support says
Glad you found it helpful
Admin
Samuel says
is this guide also applies to WordPress.com users?
WPBeginner Support says
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Admin
Leanne says
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support says
You’re welcome and glad you’ve found our content helpful
Admin
Daniel says
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support says
You’re welcome
Admin
Power says
Thanks for the article, its really useful
WPBeginner Support says
You’re welcome
Admin
Mydas says
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients‘ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support says
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri says
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support says
No, that is not required
Admin
Kam says
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support says
While some hosts offer backups, we still recommend creating your own backups for safety
Admin
Kyle B. says
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support says
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa says
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‚Disable PHP File Execution‘, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support says
Thank you for sharing this for the users who specifically are using Nginx for their site.
Admin
Tom says
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support says
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija says
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support says
Glad you found our guide helpful
Admin
MIMIFTAH says
Very Informative content. Thanks
WPBeginner Support says
You’re welcome
Admin
Liz says
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support says
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Admin
Gary Starling says
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support says
You’re welcome, glad our article could be helpful
Admin
Andrei says
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support says
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Admin
Andrei says
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter says
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support says
You’re welcome, glad our guide was helpful
Admin
Aqib khan says
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support says
Thank you, glad you’ve enjoyed our content
Admin
mahmoud says
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support says
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Krishna says
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support says
You’re welcome, glad our article was helpful
Admin
Kushal says
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support says
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Leighann says
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support says
You’re welcome, glad our guide could be helpful
Admin
Dietrich says
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support says
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
Admin