Jeder WordPress-Website-Besitzer, den wir kennen, hatte diesen Moment der Panik, als ihm klar wurde, dass seine Website anfällig für Hacker sein könnte. Wir haben diese Lektion früh auf unserem Weg auf die harte Tour gelernt, als wir sahen, was Sicherheitsverletzungen für Unternehmen tun konnten.
Deshalb haben wir WPBeginner über die Jahre hinweg erfolgreich vor wiederholten Angriffen geschützt, indem wir die besten Sicherheitspakete verwendet und die bewährten Sicherheitspraktiken von WordPress befolgt haben.
WordPress-Sicherheit muss nicht kompliziert oder teuer sein. Die meisten Website-Besitzer denken, sie müssten Experten engagieren oder Tausende für Sicherheitstools ausgeben, aber das stimmt einfach nicht. Mit dem richtigen Ansatz und bewährten Strategien können Sie Ihre Website genauso schützen, wie wir unsere schützen.
Wir haben jahrelang Sicherheits-Plugins getestet, Best Practices implementiert und Tausenden von WordPress-Benutzern geholfen, ihre Websites zu sichern. In diesem Leitfaden führen wir Sie durch jeden Schritt, den wir unternehmen, um unsere Website sicher zu halten, damit Sie beruhigt schlafen können, wissend, dass Ihre WordPress-Website geschützt ist.
Während die WordPress-Kernsoftware sehr sicher ist und regelmäßig von Hunderten von Entwicklern geprüft wird, muss immer noch viel getan werden, um Ihre Website sicher zu halten.
Bei WPBeginner glauben wir, dass Sicherheit nicht nur die Beseitigung von Risiken bedeutet. Es geht auch um Risikominimierung. Als Website-Besitzer können Sie viel tun, um die Sicherheit Ihrer WordPress-Installation zu verbessern, auch wenn Sie kein Technikexperte sind.
Deshalb haben wir eine WordPress-Sicherheitscheckliste mit umsetzbaren Schritten zusammengestellt, die Sie ergreifen können, um Ihre Website vor Sicherheitslücken zu schützen.
Um es Ihnen leicht zu machen, haben wir ein Inhaltsverzeichnis erstellt, das Ihnen hilft, sich in unserem ultimativen WordPress-Sicherheitsleitfaden zurechtzufinden.
Inhaltsverzeichnis
Grundlagen der WordPress-Sicherheit
- Warum WordPress-Sicherheit wichtig ist
- Halten Sie WordPress auf dem neuesten Stand
- Verwenden Sie starke Passwörter und Benutzerberechtigungen
- Verstehen Sie die Rolle von WordPress-Hosting
WordPress-Sicherheit in einfachen Schritten (ohne Programmierung)
- Installieren Sie eine WordPress-Backup-Lösung
- Installieren Sie ein seriöses WordPress-Sicherheits-Plugin
- Aktivieren Sie eine Web Application Firewall (WAF)
- Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS
WordPress-Sicherheit für Heimwerker
- Ändern Sie den Standard-Admin-Benutzernamen
- Dateibearbeitung deaktivieren
- Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen
- Anmeldeversuche begrenzen
- Zwei-Faktor-Authentifizierung (2FA) hinzufügen
- Ändern Sie das WordPress-Datenbankpräfix
- WordPress-Admin- und Anmeldeseite mit Passwort schützen
- Verzeichnisindizierung und -browsing deaktivieren
- XML-RPC in WordPress deaktivieren
- Inaktive Benutzer in WordPress automatisch abmelden
- Sicherheitsfragen zur WordPress-Anmeldung hinzufügen
- WordPress auf Malware und Schwachstellen scannen
- Eine gehackte WordPress-Website reparieren
Bereit? Legen wir los.
Warum Website-Sicherheit wichtig ist
Eine gehackte WordPress-Website kann Ihrem Geschäftseinkommen und Ihrem Ruf ernsthaften Schaden zufügen. Hacker können Benutzerinformationen und Passwörter stehlen, bösartige Software installieren und sogar Malware an Ihre Benutzer verteilen.
Im schlimmsten Fall müssen Sie möglicherweise Lösegeld an Hacker zahlen, nur um wieder Zugriff auf Ihre Website zu erhalten.
Jeden Tag warnt Google 12-14 Millionen Nutzer, dass eine Website, die sie besuchen möchten, möglicherweise Malware enthält oder Informationen stiehlt.
Darüber hinaus listet Google täglich über 10.000 Websites wegen Malware oder Phishing.
So wie Geschäftsinhaber mit einem physischen Standort für die Sicherung ihres Eigentums verantwortlich sind, müssen Online-Geschäftsinhaber ihrer WordPress-Sicherheit besondere Aufmerksamkeit schenken.
Halten Sie WordPress auf dem neuesten Stand
WordPress ist Open-Source-Software und wird regelmäßig gewartet und aktualisiert. Standardmäßig installiert WordPress automatisch kleinere Updates.
Bei Hauptversionen müssen Sie das Update manuell initiieren.
WordPress verfügt auch über Tausende von Plugins und Themes, die Sie auf Ihrer Website installieren können. Diese Plugins und Themes werden von Drittanbietern gepflegt, die regelmäßig Updates veröffentlichen.
Diese WordPress-Updates sind entscheidend für die Sicherheit und Stabilität Ihrer WordPress-Website. Sie müssen sicherstellen, dass Ihr WordPress Core, Plugins und Theme auf dem neuesten Stand sind.
Verwenden Sie starke Passwörter und Benutzerberechtigungen
Die häufigsten WordPress-Hacking-Versuche nutzen gestohlene Passwörter. Sie können dies jedoch erschweren, indem Sie stärkere, einzigartige Passwörter für Ihre Website verwenden.
Wir sprechen nicht nur über den WordPress-Adminbereich. Denken Sie daran, starke Passwörter für Ihre FTP-Konten, Datenbanken, WordPress-Hosting-Konten und benutzerdefinierten E-Mail-Adressen zu erstellen, die den Domainnamen Ihrer Website verwenden.
Viele Anfänger mögen keine starken Passwörter, weil sie schwer zu merken sind. Das Gute ist, dass Sie sich Passwörter nicht mehr merken müssen, da Sie einfach einen Passwortmanager verwenden können.
Sehen Sie sich unseren Leitfaden zur Verwaltung von WordPress-Passwörtern an, um weitere Informationen zu erhalten.
Eine weitere Möglichkeit, das Risiko zu verringern, besteht darin, niemandem Zugriff auf Ihr WordPress-Admin-Konto zu gewähren, es sei denn, Sie müssen es unbedingt.
Wenn Sie ein großes Team oder Gastautoren haben, stellen Sie sicher, dass Sie die Benutzerrollen und Berechtigungen in WordPress verstehen, bevor Sie neue Benutzerkonten und Autoren zu Ihrer WordPress-Site hinzufügen.
Verstehen Sie die Rolle von WordPress-Hosting
Ihr WordPress-Hosting-Service spielt die wichtigste Rolle für die Sicherheit Ihrer WordPress-Website. Ein guter Shared-Hosting-Anbieter wie Hostinger, Bluehost oder SiteGround ergreift zusätzliche Maßnahmen, um seine Server vor gängigen Bedrohungen zu schützen.
Hier sind nur einige Möglichkeiten, wie gute Webhosting-Unternehmen im Hintergrund daran arbeiten, Ihre Websites und Daten zu schützen:
- Sie überwachen ihr Netzwerk kontinuierlich auf verdächtige Aktivitäten.
- Alle guten Hosting-Unternehmen verfügen über Tools, um groß angelegte DDoS-Angriffe zu verhindern.
- Sie halten ihre Serversoftware, PHP-Versionen und Hardware auf dem neuesten Stand, um zu verhindern, dass Hacker eine bekannte Sicherheitslücke in einer alten Version ausnutzen.
- Sie verfügen über einsatzbereite Notfallwiederherstellungs- und Unfallpläne, mit denen sie Ihre Daten im Falle eines größeren Unfalls schützen können.
Bei einem Shared-Hosting-Plan teilen Sie die Serverressourcen mit vielen anderen Kunden. Es besteht die Gefahr einer seitenübergreifenden Kontamination, bei der ein Hacker eine benachbarte Website nutzen kann, um Ihre Website anzugreifen.
Im Gegensatz dazu bietet die Nutzung eines Managed WordPress Hosting-Services eine sicherere Plattform für Ihre Website. Managed WordPress Hosting-Unternehmen bieten automatische Backups, automatische WordPress-Updates und erweiterte Sicherheitskonfigurationen zum Schutz Ihrer Website.
Wir empfehlen SiteGround als unseren bevorzugten verwalteten WordPress-Hosting-Anbieter. Sie haben reaktionsschnellen Support, schnelle Server und ausgezeichnete Zuverlässigkeit.
Stellen Sie sicher, dass Sie das beste Angebot erhalten, indem Sie unseren speziellen SiteGround Gutschein verwenden.
WordPress-Sicherheit in wenigen einfachen Schritten (ohne Programmierung)
Wir wissen, dass die Verbesserung der WordPress-Sicherheit für Anfänger beängstigend sein kann, besonders wenn Sie nicht technisch versiert sind. Wissen Sie was – Sie sind nicht allein.
Wir haben Tausenden von WordPress-Benutzern geholfen, ihre WordPress-Sicherheit zu stärken.
Wir zeigen Ihnen, wie Sie die Sicherheit Ihrer WordPress-Installation mit nur wenigen Klicks verbessern können (keine Programmierung erforderlich).
Wenn Sie mit der Maus zeigen und klicken können, können Sie das tun!
1. Installieren Sie eine WordPress-Backup-Lösung
Backups sind Ihre erste Verteidigungslinie gegen jeden WordPress-Angriff. Denken Sie daran, nichts ist 100% sicher. Wenn staatliche Websites gehackt werden können, dann auch Ihre.
Backups ermöglichen es Ihnen, Ihre WordPress-Website im Falle eines Problems schnell wiederherzustellen.
Es gibt viele kostenlose und kostenpflichtige WordPress-Backup-Plugins, die Sie verwenden können. Das Wichtigste, was Sie über Backups wissen müssen, ist, dass Sie regelmäßig vollständige Website-Backups an einem entfernten Speicherort (nicht auf Ihrem Hosting-Konto) speichern müssen.
Wir empfehlen, sie auf einem Cloud-Dienst wie Amazon, Dropbox oder privaten Clouds wie Stash zu speichern.
Je nachdem, wie oft Sie Ihre Website aktualisieren, ist die ideale Einstellung entweder einmal täglich oder Echtzeit-Backups.
Glücklicherweise kann dies einfach durch die Verwendung von Plugins wie Duplicator, UpdraftPlus oder BlogVault erfolgen. Sie sind beide zuverlässig und vor allem einfach zu bedienen (keine Programmierung erforderlich).
Weitere Details finden Sie in unserem Leitfaden zur Sicherung Ihrer WordPress-Website.
Installieren Sie ein seriöses WordPress-Sicherheits-Plugin
Nach den Backups ist der nächste Schritt die Einrichtung eines Prüfungs- und Überwachungssystems, das alles auf Ihrer Website verfolgt.
Dies umfasst die Überwachung der Dateintegrität, fehlgeschlagene Anmeldeversuche, Malware-Scans und mehr.
Glücklicherweise können Sie dies leicht beheben, indem Sie eines der besten WordPress-Sicherheits-Plugins installieren, wie z. B. Sucuri.
Sie müssen das kostenlose Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zum Installieren eines WordPress-Plugins.
Jetzt können Sie zum Sucuri Security » Dashboard navigieren, um zu sehen, ob das Plugin sofortige Probleme mit Ihrem WordPress-Code gefunden hat.
Als Nächstes müssen Sie zur Seite Sucuri Security » Einstellungen navigieren und auf die Registerkarte „Härtung“ klicken.
Die Standardeinstellungen funktionieren für die meisten Websites gut, sodass Sie sie aktivieren können, indem Sie für jede Option auf die Schaltfläche „Härtung anwenden“ klicken.
Dies hilft Ihnen, die wichtigsten Bereiche zu sichern, die Hacker häufig bei ihren Angriffen nutzen.
Tipp: Wir werden später in diesem Artikel weitere Möglichkeiten zur Härtung Ihrer Website behandeln, wie z. B. das Ändern des Datenbankpräfixes und des Admin-Benutzernamens. Diese sind jedoch technischer und erfordern möglicherweise Programmierkenntnisse.
Nach dem Härtungsteil sind die anderen Standardeinstellungen des Plugins für die meisten Websites gut genug und müssen nicht geändert werden.
Das Einzige, was wir zur Anpassung empfehlen, sind E-Mail-Benachrichtigungen, die Sie im Tab „Benachrichtigungen“ auf der Einstellungsseite finden.
Standardmäßig erhalten Sie viele E-Mail-Benachrichtigungen, die Ihren Posteingang überfüllen können.
Wir empfehlen, Benachrichtigungen nur für wichtige Aktionen zu aktivieren, über die Sie informiert werden möchten, wie z. B. Plugin-Änderungen und neue Benutzerregistrierungen.
Dieses WordPress-Sicherheits-Plugin ist sehr leistungsfähig. Durchsuchen Sie daher alle Registerkarten und Einstellungen, um zu sehen, was es alles kann, wie z. B. Malware-Scans, Audit-Protokolle, Verfolgung fehlgeschlagener Anmeldeversuche und mehr.
Weitere Informationen finden Sie in unserem detaillierten Sucuri-Testbericht.
Aktivieren Sie eine Web Application Firewall (WAF)
Die Verwendung einer Web Application Firewall (WAF) ist der einfachste Weg, Ihre Website zu schützen und sich Ihrer WordPress-Sicherheit sicher zu sein.
Eine Website-Firewall blockiert den gesamten bösartigen Datenverkehr, bevor er Ihre Website überhaupt erreicht.
- Eine DNS-basierte Website-Firewall leitet Ihren Website-Traffic über ihre Cloud-Proxy-Server. Dadurch kann nur legitimer Traffic an Ihren Webserver gesendet werden.
- Eine anwendungsbezogene Firewall prüft den Traffic, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist nicht so effizient wie die DNS-Firewall, um die Serverlast zu reduzieren.
Weitere Informationen finden Sie in unserer Liste der besten WordPress-Firewall-Plugins.
Wir haben Sucuri auf WPBeginner viele Jahre lang verwendet und empfehlen es immer noch als eine der besten Web Application Firewalls für WordPress. Wir sind kürzlich von Sucuri zu Cloudflare gewechselt, da wir ein größeres CDN-Netzwerk mit Funktionen benötigten, die sich stärker auf Unternehmenskunden konzentrierten.
Sie können nachlesen, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in einem Monat zu blockieren.
Das Beste an Sucuris Firewall ist, dass sie auch mit einer Garantie zur Bereinigung von Malware und zur Entfernung von Blacklists geliefert wird. Das bedeutet, dass sie, falls Sie unter ihrer Aufsicht gehackt werden, garantieren, Ihre Website zu reparieren, egal wie viele Seiten Sie haben.
Dies ist eine ziemlich starke Garantie, da die Reparatur gehackter Websites teuer ist. Sicherheitsexperten berechnen normalerweise mehr als 250 US-Dollar pro Stunde, während Sie den gesamten Sucuri-Sicherheitsstapel für 199 US-Dollar für ein ganzes Jahr erhalten können.
Das gesagt, Sucuri ist nicht der einzige Anbieter von DNS-Firewalls. Der andere beliebte Konkurrent ist Cloudflare. Sehen Sie unseren Vergleich von Sucuri vs. Cloudflare (Vor- und Nachteile).
Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS
SSL (Secure Sockets Layer) ist ein Protokoll, das die Datenübertragung zwischen Ihrer Website und dem Browser des Benutzers verschlüsselt. Diese Verschlüsselung erschwert es jemandem, herumzuschnüffeln und Informationen zu stehlen.
Sobald Sie SSL aktivieren, verwendet Ihre Website-Adresse HTTPS anstelle von HTTP. Sie sehen auch ein Vorhängeschloss- oder ein ähnliches Symbol neben Ihrer Website-Adresse im Browser.
SSL-Zertifikate werden in der Regel von Zertifizierungsstellen ausgestellt, und ihre Preise beginnen bei 80 US-Dollar bis zu Hunderten von Dollar pro Jahr. Aufgrund der zusätzlichen Kosten entschieden sich die meisten Website-Besitzer in der Vergangenheit dafür, das unsichere Protokoll weiterhin zu verwenden.
Um dies zu beheben, beschloss eine gemeinnützige Organisation namens Let’s Encrypt, Website-Besitzern kostenlose SSL-Zertifikate anzubieten. Ihr Projekt wird von Google Chrome, Facebook, Mozilla und vielen weiteren Unternehmen unterstützt.
Es ist einfacher denn je, SSL für alle Ihre WordPress-Websites zu verwenden. Viele Hosting-Unternehmen bieten jetzt ein kostenloses SSL-Zertifikat für Ihre WordPress-Website an.
Wenn Ihr Hosting-Unternehmen keines anbietet, können Sie ein SSL-Zertifikat von Domain.com erwerben. Sie haben die besten und zuverlässigsten SSL-Angebote auf dem Markt. Das Zertifikat wird mit einer Sicherheitsgarantie von 10.000 US-Dollar und einem TrustLogo-Sicherheitsiegel geliefert.
WordPress-Sicherheit für Heimwerker
Wenn Sie alles tun, was wir bisher erwähnt haben, dann sind Sie ziemlich gut aufgestellt.
Aber wie immer gibt es noch mehr, das Sie tun können, um Ihre WordPress-Sicherheit zu erhöhen.
Beachten Sie, dass einige dieser Schritte möglicherweise Programmierkenntnisse erfordern.
Ändern Sie den Standard-Admin-Benutzernamen
Früher war der Standard-WordPress-Admin-Benutzername 'admin'. Da Benutzernamen die Hälfte der Anmeldedaten ausmachen, machte dies es Hackern leichter, Brute-Force-Angriffe durchzuführen.
Glücklicherweise hat WordPress dies inzwischen geändert und verlangt nun, dass Sie bei der Installation von WordPress einen benutzerdefinierten Benutzernamen auswählen.
Einige 1-Klick-WordPress-Installer legen jedoch immer noch den Standard-Admin-Benutzernamen auf „admin“ fest. Wenn Sie feststellen, dass dies der Fall ist, ist es wahrscheinlich eine gute Idee, Ihr Webhosting zu wechseln.
Da WordPress standardmäßig keine Änderung von Benutzernamen zulässt, gibt es drei Methoden, mit denen Sie den Benutzernamen ändern können.
- Erstellen Sie einen neuen Admin-Benutzernamen und löschen Sie den alten.
- Verwenden Sie das Plugin Username Changer
- Benutzernamen über phpMyAdmin aktualisieren
Wir haben alle drei davon in unserem detaillierten Leitfaden unter So ändern Sie Ihren WordPress-Benutzernamen richtig behandelt.
Hinweis: Nur um das klarzustellen, wir sprechen davon, den Benutzernamen 'admin' zu ändern, nicht die Administrator-Benutzerrolle, die manchmal auch als 'admin' bezeichnet wird.
Dateibearbeitung deaktivieren
WordPress verfügt über einen integrierten Code-Editor, mit dem Sie Ihre Theme- und Plugin-Dateien direkt aus Ihrem WordPress-Adminbereich bearbeiten können.
In den falschen Händen kann diese Funktion ein Sicherheitsrisiko darstellen, weshalb wir empfehlen, sie zu deaktivieren.
Sie können dies ganz einfach tun, indem Sie den folgenden Code zu Ihrer wp-config.php-Datei hinzufügen oder mit einem Code-Snippet-Plugin wie WPCode (empfohlen):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Wir zeigen Ihnen in unserem Leitfaden Schritt für Schritt, wie Sie die Theme- und Plugin-Editoren im WordPress-Admin-Bereich deaktivieren.
Alternativ können Sie dies mit 1-Klick über die Härtungsfunktion im oben genannten kostenlosen Sucuri-Plugin tun.
Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen
Eine weitere Möglichkeit, Ihre WordPress-Sicherheit zu erhöhen, besteht darin, die Ausführung von PHP-Dateien in Verzeichnissen zu deaktivieren, in denen sie nicht benötigt wird, wie z. B. in /wp-content/uploads/.
Sie können dies tun, indem Sie einen Texteditor wie Notepad öffnen und diesen Code einfügen:
<Files *.php>
deny from all
</Files>
Als Nächstes müssen Sie diese Datei als .htaccess speichern und sie mit einem FTP-Client in den Ordner /wp-content/uploads/ auf Ihrer Website hochladen.
Eine detailliertere Erklärung finden Sie in unserem Leitfaden unter So deaktivieren Sie die PHP-Ausführung in bestimmten WordPress-Verzeichnissen.
Alternativ können Sie dies mit einem Klick über die Härtungsfunktion im kostenlosen Sucuri-Plugin tun, das wir oben erwähnt haben.
Anmeldeversuche begrenzen
Standardmäßig erlaubt WordPress Benutzern, sich beliebig oft anzumelden. Dies macht Ihre WordPress-Site anfällig für Brute-Force-Angriffe. Hier versuchen Hacker, Passwörter zu knacken, indem sie sich mit verschiedenen Kombinationen anmelden.
Dies kann leicht behoben werden, indem die Anzahl der fehlgeschlagenen Anmeldeversuche eines Benutzers begrenzt wird. Wenn Sie die zuvor erwähnte Web Application Firewall verwenden, wird dies automatisch erledigt.
Wenn Sie jedoch keine Firewall eingerichtet haben, können Sie mit den folgenden Schritten fortfahren.
Zuerst müssen Sie das kostenlose Limit Login Attempts Reloaded Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zur Installation eines WordPress-Plugins.
Nach der Aktivierung beginnt das Plugin, die Anzahl der Anmeldeversuche zu begrenzen, die Benutzer unternehmen können.
Die Standardeinstellungen funktionieren für die meisten Websites. Sie können sie jedoch anpassen, indem Sie zur Seite Einstellungen » Anmeldeversuche begrenzen gehen und oben auf die Registerkarte „Einstellungen“ klicken. Um beispielsweise die DSGVO-Gesetze einzuhalten, können Sie das Kontrollkästchen „DSGVO-Konformität“ aktivieren.
Detaillierte Anweisungen finden Sie in unserem Leitfaden, wie und warum Sie Anmeldeversuche in WordPress einschränken sollten: wie und warum Sie Anmeldeversuche in WordPress einschränken sollten.
Zwei-Faktor-Authentifizierung (2FA) hinzufügen
Die Methode der Zwei-Faktor-Authentifizierung erfordert 2 verschiedene Schritte für Benutzer, um sich anzumelden:
- Der erste Schritt ist Benutzername und Passwort.
- Der zweite Schritt erfordert, dass Sie einen Code von einem Gerät oder einer App verwenden, die Sie besitzen und auf die Hacker keinen Zugriff haben, wie z. B. Ihr Smartphone.
Die meisten Top-Online-Websites wie Google, Facebook und Twitter erlauben Ihnen, dies für Ihre Konten zu aktivieren. Sie können dieselbe Funktionalität auch zu Ihrer WordPress-Website hinzufügen.
Zuerst müssen Sie das Plugin WP 2FA – Two-factor Authentication installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zum Installieren eines WordPress-Plugins.
Ein benutzerfreundlicher Assistent hilft Ihnen bei der Einrichtung des Plugins, und anschließend erhalten Sie einen QR-Code.
Sie müssen den QR-Code mit einer Authentifizierungs-App auf Ihrem Telefon scannen, z. B. Google Authenticator, Authy oder LastPass Authenticator.
Wir empfehlen die Verwendung von LastPass Authenticator oder Authy, da diese es Ihnen ermöglichen, Ihre Konten in der Cloud zu sichern. Dies ist sehr nützlich, falls Ihr Telefon verloren geht, zurückgesetzt wird oder Sie ein neues Telefon kaufen. Alle Ihre Kontenanmeldungen werden einfach wiederhergestellt.
Die meisten dieser Apps funktionieren auf ähnliche Weise, und wenn Sie Authy verwenden, klicken Sie einfach in der Authenticator-App auf die Schaltfläche „+“ oder „Konto hinzufügen“.
Damit können Sie den QR-Code auf Ihrem Computer mit der Kamera Ihres Telefons scannen. Möglicherweise müssen Sie der App zuerst die Berechtigung zum Zugriff auf die Kamera erteilen.
Nachdem Sie dem Konto einen Namen gegeben haben, können Sie es speichern.
Wenn Sie sich das nächste Mal bei Ihrer Website anmelden, werden Sie nach dem Zwei-Faktor-Authentifizierungscode gefragt, nachdem Sie Ihr Passwort eingegeben haben.
Öffnen Sie einfach die Authenticator-App auf Ihrem Telefon, und Sie sehen einen Einmalcode.
Sie können dann den Code auf Ihrer Website eingeben, um die Anmeldung abzuschließen.
Ändern Sie das WordPress-Datenbankpräfix
Standardmäßig verwendet WordPress wp_ als Präfix für alle Tabellen in Ihrer WordPress-Datenbank.
Wenn Ihre WordPress-Site das Standard-Datenbankpräfix verwendet, erleichtert dies Hackern das Erraten Ihres Tabellennamens. Deshalb empfehlen wir, es zu ändern.
Sie können Ihr Datenbankpräfix ändern, indem Sie unserer Schritt-für-Schritt-Anleitung unter Anleitung zum Ändern des WordPress-Datenbankpräfixes zur Verbesserung der Sicherheit folgen.
Hinweis: Das Ändern des Datenbankpräfixes kann Ihre Website beschädigen, wenn es nicht richtig durchgeführt wird. Tun Sie dies nur, wenn Sie sich mit Ihren Programmierkenntnissen wohlfühlen.
WordPress-Admin- und Anmeldeseite mit Passwort schützen
Normalerweise können Hacker ohne Einschränkungen auf Ihren wp-admin-Ordner und Ihre Login-Seite zugreifen. Dies ermöglicht es ihnen, ihre Hacking-Tricks auszuprobieren oder DDoS-Angriffe durchzuführen.
Sie können auf Serverebene zusätzlichen Passwortschutz hinzufügen, der diese Anfragen effektiv blockiert.
Befolgen Sie einfach unsere Schritt-für-Schritt-Anleitung unter So schützen Sie Ihr WordPress-Admin-Verzeichnis (wp-admin) mit einem Passwort.
Verzeichnisindizierung und -browsing deaktivieren
Wenn Sie die Adresse eines Ihrer Website-Ordner in einen Webbrowser eingeben, wird die Webseite index.html angezeigt, falls sie existiert. Wenn sie nicht existiert, wird stattdessen eine Liste der Dateien in diesem Ordner angezeigt. Dies ist als Verzeichnis-Browsing bekannt.
Die Verzeichnisdurchsuchung kann von Hackern genutzt werden, um herauszufinden, ob Sie Dateien mit bekannten Schwachstellen haben, damit sie diese Dateien ausnutzen können, um Zugriff zu erhalten.
Das Verzeichnis-Browsing kann auch von anderen Personen genutzt werden, um Ihre Dateien einzusehen, Bilder zu kopieren, Ihre Verzeichnisstruktur und andere Informationen herauszufinden. Deshalb wird dringend empfohlen, die Verzeichnisindizierung und das Browsing zu deaktivieren.
Sie müssen sich mit Ihrer Website über FTP oder den Dateimanager Ihres Hosting-Providers verbinden. Suchen Sie als Nächstes die Datei .htaccess im Stammverzeichnis Ihrer Website. Wenn Sie sie dort nicht sehen können, lesen Sie unseren Leitfaden, warum Sie die .htaccess-Datei in WordPress nicht sehen können.
Danach müssen Sie die folgende Zeile am Ende der .htaccess-Datei hinzufügen:
Optionen -Indizes
Vergessen Sie nicht, die .htaccess-Datei zu speichern und wieder auf Ihre Website hochzuladen.
Weitere Informationen zu diesem Thema finden Sie in unserem Artikel zum Deaktivieren des Verzeichnis-Browsings in WordPress.
XML-RPC in WordPress deaktivieren
XML-RPC ist eine Kern-API von WordPress, die hilft, Ihre WordPress-Site mit Web- und mobilen Apps zu verbinden. Es ist seit WordPress 3.5 standardmäßig aktiviert.
Jedoch kann XML-RPC aufgrund seiner leistungsstarken Natur Brute-Force-Angriffe erheblich verstärken.
Wenn ein Hacker beispielsweise traditionell 500 verschiedene Passwörter auf Ihrer Website ausprobieren wollte, müsste er 500 separate Anmeldeversuche unternehmen. Das Plugin Limit Login Attempts Reloaded kann dies erkennen und blockieren.
Aber mit XML-RPC kann ein Hacker die Funktion system.multicall verwenden, um Tausende von Passwörtern mit sagen wir 20 oder 50 Anfragen auszuprobieren.
Deshalb empfehlen wir Ihnen, XML-RPC zu deaktivieren, wenn Sie es nicht verwenden.
Es gibt 3 Möglichkeiten, XML-RPC in WordPress zu deaktivieren, und wir haben alle in unserem Schritt-für-Schritt-Tutorial zu So deaktivieren Sie XML-RPC in WordPress behandelt.
Tipp: Die .htaccess-Methode ist die beste, da sie am wenigsten Ressourcen verbraucht. Die anderen Methoden sind für Anfänger einfacher.
Alternativ wird dies automatisch erledigt, wenn Sie eine Web Application Firewall (WAF) verwenden, wie wir bereits erwähnt haben.
Inaktive Benutzer in WordPress automatisch abmelden
Angemeldete Benutzer können den Bildschirm manchmal verlassen, und dies stellt ein Sicherheitsrisiko dar. Jemand kann ihre Sitzung kapern, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.
Deshalb melden sich viele Banken- und Finanzseiten automatisch von inaktiven Benutzern ab. Sie können eine ähnliche Funktionalität auch auf Ihrer WordPress-Site einrichten.
Sie müssen das Plugin Inactive Logout installieren und aktivieren. Nach der Aktivierung besuchen Sie die Seite Einstellungen » Inactive Logout, um die Abmeldeeinstellungen anzupassen.
Legen Sie einfach die Zeitdauer fest und fügen Sie eine Abmeldemeldung hinzu. Vergessen Sie dann nicht, unten auf der Seite auf die Schaltfläche „Änderungen speichern“ zu klicken, um Ihre Einstellungen zu speichern.
Schritt-für-Schritt-Anleitungen finden Sie in unserem Leitfaden unter So melden Sie inaktive Benutzer in WordPress automatisch ab.
Sicherheitsfragen zum WordPress-Anmeldebildschirm hinzufügen
Das Hinzufügen einer Sicherheitsfrage zu Ihrem WordPress-Anmeldebildschirm erschwert es jemandem, unbefugten Zugriff zu erhalten.
Sie können Sicherheitsfragen hinzufügen, indem Sie das Plugin Two Factor Authentication installieren. Nach der Aktivierung müssen Sie die Seite Multi-Factor Authentication » Two Factor besuchen, um die Einstellungen des Plugins zu konfigurieren.
Dies ermöglicht Ihnen, verschiedene Arten der Zwei-Faktor-Authentifizierung zu Ihrer Website hinzuzufügen, einschließlich Sicherheitsfragen.
Detailliertere Anweisungen finden Sie in unserem Tutorial zum Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm.
WordPress auf Malware und Schwachstellen scannen
Wenn Sie ein WordPress-Sicherheits-Plugin installiert haben, prüft dieses routinemäßig auf Malware und Anzeichen von Sicherheitsverletzungen.
Wenn Sie jedoch einen plötzlichen Rückgang des Website-Traffics oder der Suchrankings feststellen, sollten Sie manuell nach Malware suchen. Sie können dies mit Ihrem WordPress-Sicherheit-Plugin oder einem der besten Malware- und Sicherheits-Scanner tun.
Das Ausführen dieser Online-Scans ist ziemlich einfach. Sie geben einfach die URL Ihrer Website ein, und die Crawler durchsuchen Ihre Website nach bekannter Malware und bösartigem Code.
Beachten Sie jedoch, dass die meisten WordPress-Sicherheits-Scanner Sie nur warnen können, wenn Ihre Website Malware enthält. Sie können die Malware nicht entfernen oder eine gehackte WordPress-Website bereinigen.
Das bringt uns zum nächsten Abschnitt: Bereinigung von Malware und gehackten WordPress-Websites.
Eine gehackte WordPress-Website reparieren
Viele WordPress-Benutzer erkennen die Bedeutung von Backups und Website-Sicherheit erst, wenn ihre Website gehackt wurde.
Hacker installieren Hintertüren auf betroffenen Websites, und wenn diese Hintertüren nicht richtig behoben werden, wird Ihre Website wahrscheinlich erneut gehackt.
Für abenteuerlustige und DIY-Benutzer haben wir eine Schritt-für-Schritt-Anleitung zum Reparieren einer gehackten WordPress-Website zusammengestellt.
Die Bereinigung einer WordPress-Website kann jedoch sehr schwierig und zeitaufwändig sein. Unser Rat wäre, einen Profi damit zu beauftragen.
Wenn Sie für die Nutzung des oben genannten Sucuri-Sicherheits-Plugins bezahlen, ist die Reparatur gehackter Websites im Preis inbegriffen.
Andernfalls können Sie sich unsere Empfehlungen für die besten WordPress-Support-Agenturen ansehen, um Fachleute zu finden, die Ihre gehackte Website für Sie reparieren können.
FAQs zur WordPress-Sicherheit
Da die Sicherheit von WordPress so wichtig ist, werden uns regelmäßig Fragen dazu gestellt. Hier sind Antworten auf häufig gestellte Fragen zum Schutz von WordPress-Websites vor Angriffen.
Ist WordPress sicher zu verwenden?
WordPress ist darauf ausgelegt, sicher zu sein, insbesondere wenn Sie es regelmäßig aktualisieren. Da es jedoch so beliebt ist, zielen Hacker oft auf WordPress-Websites ab.
Aber keine Sorge. Indem Sie einfache Sicherheitstipps befolgen, wie die in diesem Artikel, können Sie die Wahrscheinlichkeit, dass jemand Ihre Website hackt, erheblich reduzieren.
Was kann meine WordPress-Website gefährden?
Es gibt verschiedene Möglichkeiten, wie Hacker versuchen, auf Websites zuzugreifen. Zu den häufigsten Bedrohungen gehören das Erraten von Passwörtern, die Installation schädlicher Software (Malware) und das Ausnutzen von Schwachstellen im Code Ihrer Website, um Informationen zu stehlen oder die Kontrolle zu übernehmen.
Wie oft sollte ich meine WordPress-Website aktualisieren?
Es ist sehr wichtig, Ihre WordPress-Website, Themes und Plugins auf dem neuesten Stand zu halten. Neue Updates enthalten oft Korrekturen für Sicherheitsprobleme. Versuchen Sie, automatische Updates zu verwenden oder prüfen Sie mindestens einmal pro Woche selbst auf Updates und installieren Sie diese schnell.
Benötige ich ein spezielles Plugin für die Sicherheit?
Sie müssen kein Sicherheit-Plugin verwenden, aber sie können Ihre Website erheblich sicherer machen. Sicherheit-Plugins fungieren als zusätzliche Wachen für Ihre Website und schützen Sie vor Hackern und Malware.
Woher weiß ich, ob jemand meine Website gehackt hat?
Wenn Sie seltsame Dinge auf Ihrer Website bemerken, könnte dies ein Zeichen dafür sein, dass Sie gehackt wurden. Dies könnte beinhalten, dass neue Benutzer oder Dateien angezeigt werden, die Sie nicht erstellt haben, Ihre Website Besucher auf andere Websites weiterleitet, Ihre Website langsam läuft oder Sie Warnungen von Google oder Ihrem Webhosting-Anbieter erhalten.
Was soll ich tun, wenn meine Website gehackt wird?
Wenn Sie glauben, dass Ihre Website gehackt wurde, geraten Sie nicht in Panik, sondern handeln Sie schnell. Sie können sich an Ihr Webhosting-Unternehmen wenden und um Hilfe bitten. Sie können auch ein Sicherheitspaket verwenden oder einen Sicherheitsexperten bitten, Ihre Website zu bereinigen.
Wenn Sie ein Backup Ihrer Website haben, stellen Sie es aus diesem Backup wieder her. Stellen Sie sicher, dass Sie alle Ihre Passwörter ändern, einschließlich der für Ihren WordPress-Adminbereich, Ihre Datenbank und Ihr FTP.
Wir hoffen, dieser Artikel hat Ihnen geholfen, die besten Praktiken zum Schutz Ihrer Website und unsere empfohlenen WordPress-Sicherheitschecklisten zu lernen. Möglicherweise möchten Sie auch unsere Liste der Top-Gründe, warum WordPress-Websites gehackt werden und unsere Expertenauswahl der besten WordPress-Sicherheits-Plugins sehen.
Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.
Fred Laxton
Sehr gute und umfassende Anleitung, vielen Dank!
Ich würde hinzufügen, dass es eine gute Idee ist, die WP-Login-URL zu ändern, indem Sie ein Plugin wie dieses verwenden:
WPS Hide Login
Ich verwende für jede WP-Site, die ich mit diesem Plugin erstelle, einen benutzerdefinierten Login. Dies ist sehr hilfreich (zusammen mit Login-Ratenbegrenzern, wie Sie erwähnt haben usw.), um Hacking-Versuche zu blockieren.
WPBeginner Support
Changing your login URL is not a security measure, it is more for customizing the login experience. For changing the login URL we would recommend taking a look at our article below
https://www.wpbeginner.com/plugins/how-to-add-custom-login-url-in-wordpress/
Admin
Olaf
Wow, das ist wirklich eine unglaublich umfassende Anleitung zur WordPress-Sicherheit. Ich priorisiere die Sicherheit von Websites über alles andere, aber ehrlich gesagt, selbst ich habe wahrscheinlich noch nie so viele verschiedene Maßnahmen ergriffen, um WordPress schwerer angreifbar zu machen. Ich wage zu behaupten, dass, wenn jemand auch nur 50 % der von Ihnen aufgeführten Lösungen und Techniken anwendet, seine Website praktisch kugelsicher sein wird.
Moinuddin Waheed
Zur Sicherheit der WordPress-Website möchte ich auf die Verwendung von Firewall-Plugins aufmerksam machen.
Die Verwendung des richtigen Plugins wie Cloudflare CDN oder Sucuri kann die Website vor allen Arten von Angriffen schützen, da es den bösartigen Zugriff herausfiltert.
Ich benutze Cloudflare schon seit langer Zeit und kann seine Benutzerfreundlichkeit für Sicherheit und Leistung bestätigen.
Oyatogun Oluwaseun Samuel
Das ist sehr aufschlussreich. Ich würde auch hinzufügen, dass der Schutz des Zugangs zu Ihrer Arbeitsstation oder Ihrem Computerlabor ebenfalls sehr wichtig ist, da wir heutzutage als Teil der Sicherheit starke Passwörter verwenden, um auf unsere WordPress-Sites zuzugreifen, die man sich nicht leicht merken kann, was uns zwingt, sie im Webbrowser zu speichern, der zum Zugriff auf unsere WordPress-Sites verwendet wird. Jeder, der Zugang zu Ihrem Computer und diesen Browsern hat, könnte die gespeicherten Benutzernamen und Passwörter leicht verwenden, um sich bei Ihrer WordPress-Site anzumelden und Chaos anzurichten. Zweitens denke ich, dass es wirklich besser ist, sich vor Ransomware zu schützen, da die Wiedererlangung des Zugangs zu Ihrer WordPress-Site auch nach Zahlung des Lösegelds nicht garantiert ist. Können Sie mir bitte sagen, wie man weiß, ob Google eine Website wegen Malware und Phishing auf die schwarze Liste gesetzt hat?
WPBeginner Support
Sie möchten unseren Leitfaden unten verwenden, wenn Sie sich nach einem Malware- oder Phishing-Angriff Sorgen um Ihre Website machen, um Hilfe bei der Suche und Wiederherstellung von einer Strafe zu erhalten.
https://www.wpbeginner.com/beginners-guide/how-to-recover-a-wordpress-site-from-a-google-search-penalty/
Admin
Oyatogun Oluwaseun Samuel
Vielen Dank für Ihre Antwort, ich werde dem Link folgen und mehr erfahren. Ich freue mich über diese Antwort.
uzoma ichetaonye
Wow.. das ist ein ziemlich umfangreicher Artikel über Möglichkeiten, Ihre Website vor Hackern zu schützen.
ABER LASSEN SIE MICH IHNEN DIESEN TIPP GEBEN: Klicken Sie beim Surfen im Internet NICHT, ich wiederhole, NICHT auf zufällige Links, die sehr verdächtig und spammy aussehen, oder laden Sie keine Dateien herunter, die unerwartet auf Ihrem Bildschirm oder anderswo ohne Aufforderung erscheinen. Greifen Sie immer zu echter Software und nicht zu einer Null-Version.
Auf diese Weise erhalten Hacker Zugriff auf Ihre Anmeldedaten und nutzen diese, um sich Zugang zu Ihrer Website zu verschaffen.
Ich habe einen Fehler gemacht, als ich zufällig auf einen bestimmten Link geklickt habe, um einen bestimmten Link herunterzuladen, und meine Website wurde gehackt, aber ich habe sie endlich wieder unter Kontrolle.
Bleiben Sie also einfach von nicht autorisierten und verdächtigen Links fern, die spezielle Angebote versprechen, um Sie anzulocken.
SEIEN SIE EINFACH VORSICHTIG UND SICHER.
Dayo Olobayo
Danke Uzoma, dass Sie Ihre Erfahrungen geteilt haben. Dies ist eine großartige Erinnerung daran, dass Hacker hinterhältig sein können. Sie haben absolut Recht, wenn Sie verdächtige Links und Downloads vermeiden. Es ist ein super wichtiger Schritt zur Website-Sicherheit. Schön, dass Sie Ihre Website zurückbekommen haben!
Jiří Vaněk
Dies ist im Allgemeinen das Problem bei allen gecrackten Plugins. Viele Leute, die denken, sie sparen viel Geld bei Originalsoftware, entscheiden sich für eine gecrackte Version, die von inoffiziellen Quellen heruntergeladen wurde. Der knifflige Teil ist, dass das Plugin funktioniert und das tut, was es tun soll. Was für diese Leute großartig ist, ist, dass es kostenlos ist und sie potenziell Hunderte von Dollar gespart haben. Aber das Plugin tut nicht nur das, was es tun soll – es tut auch das, was der Hacker will. Nach einiger Zeit stellen diese Website-Besitzer fest, dass sie die Kontrolle verloren haben, und die Wiederherstellung der Website in ihren ursprünglichen Zustand kann mehr kosten, als wenn sie das Plugin von einer offiziellen Quelle bezahlt hätten. Manchmal kann die Reparatur der Website sogar unmöglich sein. Ich habe mehrere Websites gesehen, bei denen am Ende alle Daten gelöscht werden mussten und alles von vorne beginnen musste, ordnungsgemäß, mit kostenpflichtigen Plugins, nicht mit gecrackten.
Moinuddin Waheed
Ich kann dieser Tatsache, dass bösartige Links Tore zu Sicherheitsbedrohungen sind, nicht mehr zustimmen.
Spammer verwenden zweifelhafte Links und versuchen mit allen Mitteln, auf die Website zuzugreifen.
Daher kann es nicht genug betont werden, dass Sie nur auf das klicken, worüber Sie sich sicher sind, und niemals auf zufällige Links klicken.
Mrteesurez
Kein seriöses Unternehmen wird die Macht der Sicherheit im Hinblick auf Websites, insbesondere WordPress, unterschätzen. Seine Popularität macht es zu einem Brennpunkt für Hacker.
Ich rate neu installierten WordPress-Sites, zuerst die meisten dieser Sicherheitsmaßnahmen zu implementieren, bevor sie gestartet werden oder den Betrieb aufnehmen.
Kushal Phalak
Toller Artikel! Letztes Jahr wurde meine Website gehackt (auf eine andere verdächtige Website umgeleitet), daher halte ich Sicherheitsmaßnahmen für unerlässlich. In meinem Fall musste ich meine Website löschen und hatte Glück, dass mein Hosting-Anbieter eine Backup-Funktion hatte. Seitdem habe ich Wordfence zur Sicherung meiner Websites verwendet, bin aber zu Sucuri gewechselt, da es Dienste wie DDoS-Schutz und CDN anbot.
Moinuddin Waheed
Ich war in einer ähnlichen Situation, in der ich für die Website eines angesehenen Instituts gearbeitet habe.
Nachdem alles finalisiert war, fragte mich der Direktor nach einem Datum, damit er eine Pressemitteilung planen konnte.
Ich schlug ihm selbstbewusst ein bestimmtes Datum vor und vor dem geplanten Datum
wurde meine Website beschädigt und leider hatte ich keinen Backup-Plan parat.
Ich war völlig am Boden zerstört und arbeitete den ganzen Tag daran, sie wieder in den vorherigen funktionierenden Zustand zu versetzen.
Ich denke, es ist notwendig, dass wir jedem Detail im Zusammenhang mit der Sicherheit Beachtung schenken.
Ayanda Temitayo
Bitte, ich möchte fragen, ob es sicherheitstechnisch ratsam ist, die URL der Standard-Login-Seite auf eine andere benutzerdefinierte URL zu ändern. Zum Beispiel von yourwebsite.com/wp-login zu yourwebsite.com/andererName-login
Ich habe einmal ein Plugin verwendet, um meine Login-URL in eine andere URL zu ändern, zu der niemand leicht gelangen kann. Einer meiner SEO-Leute sagte, es wäre für Hacker einfach, meine Website zu hacken, wenn das Plugin anfällig wäre, und ich würde alles auf meiner Website verlieren, wenn ich weiterhin eine benutzerdefinierte Route zur Login-Seite verwende.
Was ist Ihre Meinung zur Änderung der Standard-Login-Route?
WPBeginner Support
Das Ändern Ihrer Login-URL ist eine persönliche Präferenz und nicht speziell zur Sicherheit.
Admin
al amin Sheikh
Zwei wichtige Dinge auf einer Website – Leistung und Sicherheit.
Schön erklärt, wie wir unsere Website vor Hackern schützen können. Danke, WPB.
WPBeginner Support
You’re welcome
Admin
Moinuddin Waheed
Richtig gesagt über die zwei wichtigsten Dinge jeder Website.
Sicherheit und Leistung.
Ich denke, im Falle von WordPress können diese beiden weitgehend durch einen guten Hosting-Anbieter und die Verwendung guter Themes und Plugins erreicht werden.
Meistens kann ein falsches Plugin eine Sicherheitslücke verursachen, ohne dass Sie es überhaupt bemerken.
Natürlich sind auch andere Aspekte gleichermaßen wichtig zu berücksichtigen.
mohadese esmaeeli
Hallo, vielen Dank für diesen ausgezeichneten Artikel. Ich möchte auch ein paar weitere Punkte zu dieser Liste hinzufügen, wie z. B. die Verwendung des Google reCAPTCHA-Plugins, den Einsatz von sicherheitsbezogener Hardware auf dem Server, die Untersuchung von Sicherheitstools in der Hosting-Umgebung, wie z. B. Imunify360, und das regelmäßige Ändern von Passwörtern in kurzen Abständen.
WPBeginner Support
Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer
Admin
Fajri
Wow, die Methode zum Deaktivieren von XML-RPC in WordPress ist für mich völlig neu.
Ich werde versuchen, es anzuwenden, um meine Websites sicherer zu machen. Danke für diese Information, Team!
WPBeginner Support
Glad you found our article helpful
Admin
Murad Prodhan
WPbeginner ist eine der besten Websites für unsere Community. Dieser Artikel ist sehr hilfreich für mich. Danke WPbeginner.
WPBeginner Support
You’re welcome, glad the guide was helpful
Admin
Jiří Vaněk
Das ist ein großartiger Artikel. Viele Dinge hier sind mir nie in den Sinn gekommen, obwohl ich versucht habe, WordPress so gut wie möglich abzusichern. Ich habe gerade einen Ausschnitt kopiert, um Fehlermeldungen beim Anmelden bei WordPress zu verbergen, und werde ihn auf meiner Website anwenden. Wahrscheinlich wird es nicht nur bei dieser Sache bleiben. Dieser Artikel ist wirklich eine fantastische Liste großartiger Tipps. Vielen Dank, dass Sie das Bewusstsein für Sicherheit schärfen. Tolle Arbeit.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Etop Udoekene
Vielen Dank. Diese Informationen kommen mir gerade rechtzeitig, da ich gerade dabei bin, meine Website nach dem Diebstahl meines früheren Laptops und Android-Telefons wieder einzurichten.
Ich bin wirklich dankbar.
WPBeginner Support
Gern geschehen, hoffentlich werden die Dinge besser und wir hoffen, dass unser Leitfaden Ihnen dabei hilft, Ihre Website danach sicher zu halten.
Admin
Mark Ellsworth
Vielen Dank – sehr gut organisiert und umfassend! Dies wird definitiv bei einem fortlaufenden und herausfordernden Problem mit WordPress-Installationen helfen.
WPBeginner Support
Glad you found our security guide helpful
Admin
Ifakayode Femi
Ich habe diesen Artikel geliebt und speichere diese Seite für die Zukunft, da ich mich möglicherweise nicht an die Namen der meisten hier aufgeführten Plugins erinnern kann, aber ehrlich gesagt hilft dieser Artikel sehr.
Vielen Dank, dass Sie sich die Zeit genommen haben, dies zu verfassen
Millionen Dank
WPBeginner Support
Glad you found our guide and recommendations helpful!
Admin
Nikhil
Danke, Sir, diese Informationen sind sehr wichtig, vielen Dank, Sir
WPBeginner Support
Gern geschehen, freut uns zu hören, dass unser Artikel hilfreich war!
Admin
Yasin
Ich bin sehr dankbar für diesen Artikel, alles dank wpbeginner.com.
WPBeginner Support
Gern geschehen, ich freue mich, dass Sie unseren Leitfaden hilfreich fanden!
Admin
Belinda Viret
Vielen Dank für den großartigen Rat!
WPBeginner Support
Gern geschehen!
Admin
Marko Kozlica
Wow! Umfangreicher und gründlicher Artikel für Anfänger und erfahrene WordPress-Nutzer gleichermaßen. Machen Sie weiter so!
WPBeginner Support
Wir freuen uns, dass Sie unseren Artikel hilfreich fanden!
Admin
Federico
Wirklich guter Leitfaden, sehr nützlich!
WPBeginner Support
Freut mich, dass Sie das denken!
Admin
Claudio Lopes
Ich folge den Tipps und habe das Gefühl, dass meine Website sicherer ist.
WPBeginner Support
Schön zu hören, dass Ihnen unser Leitfaden helfen konnte!
Admin
Bob De Maria
Hallo,
Ich bin ganz neu hier und das war meine erste E-Mail und ich bin sehr froh, dass ich mich angemeldet habe. Sie haben einen meiner Bedenken angesprochen, der ganz oben auf meiner Liste steht.
Ich kann Ihnen nicht genug für ein sehr gut geschriebenes und sehr geschätztes Tutorial danken.
Mit freundlichen Grüßen,
Bob De Maria
WPBeginner Support
Schön zu hören, dass unser Leitfaden hilfreich war!
Admin
Kimberly
FYI: Sicherheitsproblem beim WP Security Questions Plugin. Es wurde von wordpress.org entfernt.
WPBeginner Support
Thank you for letting us know, we will be sure to look for an alternative we would recommend
Admin
MS
Hallo Leute! Vielen Dank für diese nützlichen Ressourcen. Eine Frage: Beeinflusst das alles die Ladezeit meiner Website/Seiten???
WPBeginner Support
Diese sollten keine größeren Änderungen an der Geschwindigkeit Ihrer Website verursachen.
Admin
John
Nette Artikel,
Hilft die Verwendung von reCAPTCHA in Formularen bei der Sicherung?
WPBeginner Support
reCAPTCHA dient mehr der Spam-Abwehr als der Sicherheit.
Admin
tim jackz
Hallo Team,
Wenn ich zwei Sicherheit-Plugins auf meiner WordPress-Website installiere, gibt es dann Nachteile für meine Website?
WPBeginner Support
Sie sollten sich beim Support der Plugins erkundigen, die Sie verwenden möchten. Einige funktionieren zusammen, aber andere versuchen, dieselben Aufgaben auszuführen, was zu Konflikten führen kann.
Admin
Diego
Meine Wordpress-Website läuft mit WordPress 5.1.8, das Teil des 5.1-Zweigs ist und zuletzt im November 2020 aktualisiert wurde. Die aktuelle Wordpress-Version ist 5.6.2.
Ich verstehe all diese verschiedenen Zweige von WP nicht ganz.
Sollte ich trotzdem ein Upgrade durchführen?
WPBeginner Support
Anstatt ein Upgrade durchzuführen, müssen Sie Ihre Website aktualisieren. Sie können sich unseren Leitfaden unten ansehen, wie Sie Ihre Website sicher aktualisieren:
https://www.wpbeginner.com/beginners-guide/ultimate-guide-to-upgrade-wordpress-for-beginners-infograph/
Admin
Julia
Also zahle ich Premium und die kostenlosen Plugins sind nur für Unternehmen, gibt es einen Weg darum herum. Sie lassen uns keine Plugins bezahlen. Premium und darunter dürfen sie überhaupt nicht benutzen.
WPBeginner Support
Das wäre eine Einschränkung von WordPress.com. Für den Unterschied zwischen WordPress.com und WordPress.org empfehlen wir, sich unseren Artikel unten anzusehen:
https://www.wpbeginner.com/beginners-guide/self-hosted-wordpress-org-vs-free-wordpress-com-infograph/
Admin
Trisha
Tolles Tutorial, danke! Wenn ich meine 404-Fehlerprotokolle durchgehe, sehe ich viele Bots, die auf nicht existierende Plugins in meinem /plugins-Ordner zugreifen... Ich bin nicht übermäßig besorgt, da die gesuchten Plugins nicht existieren (daher die 404), ABER gibt es eine Möglichkeit, meinen /plugins-Ordner zu schützen, ohne den normalen Plugin-Betrieb zu beeinträchtigen? Ist das ratsam? Sollte ich mir überhaupt Sorgen machen?
WPBeginner Support
Das sollte normalerweise kein Grund zur Sorge sein, es sei denn, das Plugin ist auf Ihrer Website, dann möchten Sie vielleicht sicherstellen, dass Sie das Plugin auf dem neuesten Stand halten, falls der Bot nach einem Plugin mit einer Sicherheitslücke gesucht hat.
Admin
Ish
Ich habe eine WordPress-Seite übernommen, woher weiß ich, ob meine Seite ein Cloud-Backup-Konto hat, bevor ich sie übernommen habe?
WPBeginner Support
Sie müssten Ihre aktiven Plugins überprüfen und sich an Ihren Hosting-Provider wenden, um zu sehen, was für Ihre Website aktiv ist.
Admin
Lu
Wie kann ich herausfinden, ob meine Website XML-RPC verwendet? Wirklich nützlich wie immer. Danke.
WPBeginner Support
Wenn Ihre WordPress-Version auf dem neuesten Stand ist, sollte sie normalerweise auf Ihrer Website aktiv sein.
Admin
Julie Taylor
Sehr hilfreiche Informationen. Ich würde gerne Ihre Gedanken zu Folgendem erfahren: Wenn ich all diese Sicherheitssituationen implementieren würde, insbesondere diejenigen, die Code usw. betreffen, wirkt sich das darauf aus, dass Google die Website finden kann und SEO effektiv funktioniert?
WPBeginner Support
Die Sicherheitsempfehlungen sollten sich nicht auf das SEO Ihrer Website auswirken
Admin
MooN Minhas
Danke für die nette Information.
WPBeginner Support
Glad you found it helpful
Admin
Samuel
Gilt dieser Leitfaden auch für WordPress.com-Benutzer?
WPBeginner Support
No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow
Admin
Leanne
Dies ist eine der besten Tutorial-Seiten (zu jedem Thema), die ich je gefunden habe. Danke, ich werde wpbeginner weiterempfehlen – großartige Seite!
WPBeginner Support
You’re welcome and glad you’ve found our content helpful
Admin
Daniel
Sie wissen, dass es Leute gibt, die mehr als 50 oder 100 Dollar verlangen, um Ihnen beizubringen, wie man all das macht, und Sie haben es kostenlos gegeben! Vielen Dank, Leute!
WPBeginner Support
You’re welcome
Admin
Leistung
Danke für den Artikel, er ist wirklich nützlich
WPBeginner Support
You’re welcome
Admin
Mydas
Das war super nützlich. Ich habe die Programmierkenntnisse, um alles davon zu implementieren, und jetzt kann ich mich viel besser um meine und die WordPress-Installationen meiner Kunden kümmern. Danke für die Info, sie ist so vollständig, dass ich nicht glauben kann, dass sie kostenlos ist xD
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri
Bitte, benötige ich ein VPN, um von außerhalb auf meine WordPress-Site zuzugreifen, als Teil der Sicherheit meiner WordPress-Site?
WPBeginner Support
Nein, das ist nicht erforderlich
Admin
uzoma ichetaonye
Ich glaube nicht, dass Sie ein VPN benötigen, um über das Backend auf Ihre Website zuzugreifen.
VPNs werden verwendet, um Ihre Identität zu verschleiern oder zu helfen oder auf eine Website zuzugreifen, die von Ihrem Standort aus blockiert wurde.
Kam
Vielen Dank für diesen Artikel. Er ist essenziell zu lesen!
Wenn Sie einen Hoster wie Bluehost haben, ist es dann unerlässlich, ein Backup mit einem Plugin wie Updraft plus + Remote-Speicher zu haben? Schließlich sollten die Hosting-Anbieter Backups bereitstellen?
WPBeginner Support
Obwohl einige Hoster Backups anbieten, empfehlen wir dennoch, eigene Backups zur Sicherheit zu erstellen.
Admin
Kyle B.
Das Ändern des Datenbankpräfixes macht keinen Unterschied. Ansonsten kein schlechter Artikel.
WPBeginner Support
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa
Nur zur Information: Bei Nginx gibt es keine Verzeichnis-spezifische Konfigurationsdatei wie bei Apache .htaccess. Die gesamte Konfiguration muss auf Server-Ebene von einem Administrator vorgenommen werden, und WordPress kann die Konfiguration nicht ändern, wie es bei Apache möglich ist. Der Teil über 'PHP-Dateiausführung deaktivieren' kann daher nicht von WordPress-Installationen, die auf Nginx laufen, ausgeführt werden. Das schließt mich selbst ein, da ich meine WordPress-Installation auf Vultr betreibe. Deren Ein-Klick-WordPress-Installation wird auf Nginx (Ubuntu 18.04) bereitgestellt.
WPBeginner Support
Vielen Dank für das Teilen dieser Informationen für Benutzer, die Nginx speziell für ihre Website verwenden.
Admin
Tom
Was ist die beste Methode, um Plugins zu aktualisieren, wenn mehrere aktualisiert werden müssen? Aktualisiere ich sie einzeln und prüfe, ob das aktualisierte Plugin die Funktionalität der Website beeinträchtigt?
WPBeginner Support
Wenn Sie Bedenken haben, dass ein Update Ihre Website beeinträchtigen könnte, empfehlen wir Ihnen, das Update zu testen, indem Sie unserer Anleitung zum Erstellen einer Staging-Umgebung unten folgen:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija
Toller Artikel, sehr gut formuliert und dokumentiert.
Vielen Dank an alle dafür.
Weiter so, macht weiter so.
Prost,
Kartik.
WPBeginner Support
Glad you found our guide helpful
Admin
MIMIFTAH
Sehr informative Inhalte. Danke
WPBeginner Support
You’re welcome
Admin
Liz
Toller Artikel. Ich habe eine Frage zu den Härtungsoptionen. Ich habe gelesen, dass die Aktivierung der Härtung für alle Optionen dazu führen kann, dass einige Plugins oder das Theme fehlerhaft werden/nicht richtig funktionieren. Wenn das passiert, wie schwierig ist es zu beheben? Es scheint, als ob mehr dahinter steckt, als nur die Härtungsoption rückgängig zu machen. Jede Einsicht, die Sie anbieten könnten, wäre sehr willkommen. Danke!
WPBeginner Support
Es würde von der spezifischen Härtungsempfehlung, dem Plugin und der Fehlermeldung abhängen, wie schwierig es ist, wenn ein Fehler auftritt. Ansonsten sollten die meisten Plugins kein Problem darstellen
Admin
Gary Starling
Sehr hilfreiche Vorschläge und gut erklärt, vom Einfachen bis zum Komplexen
Vielen Dank für Ihre Erklärungen
WPBeginner Support
You’re welcome, glad our article could be helpful
Admin
Andrei
Hallo Leute,
Nach der ersten Benutzeraufzählung blockiert ein Brute-Force-Sicherheit-Plugin diese IP-Adresse.
Wenn Sie das wp-admin-Verzeichnis mit einem Passwort schützen, kann das Plugin diese IP nicht mehr blockieren.
Ist das eine korrekte Einschätzung?
WPBeginner Support
Richtig, es würde eine ähnliche Belastung wie eine blockierte IP geben, aber wenn Sie möchten, dass viele neue Benutzer auf Ihre Website zugreifen, dann wäre die Begrenzung der Anmeldeversuche besser als der Passwortschutz Ihres wp-admin
Admin
Andrei
Ok, ich habe endlich verstanden, wie das funktioniert und teile es hier für alle mit. Das Passwortschutz für wp-admin erfolgt auf Server-Ebene (Apache/Nginx). Wenn ein Brute-Force-Angriff zur Benutzeraufzählung den Server-Level nicht umgehen kann, kann er PHP/MySQL nicht berühren. Daher belastet der Passwortschutz von wp-admin die Datenbank nicht zusätzlich.
Peter
Sehr informativ und hilfreich, ich habe alle von Ihnen erwähnten Härtungsverfahren konfiguriert, vielen Dank.
WPBeginner Support
You’re welcome, glad our guide was helpful
Admin