Der ultimative WordPress-Sicherheitsleitfaden – Schritt für Schritt (2024)

Die Sicherheit von WordPress ist für jeden Website-Betreiber ein Thema von großer Bedeutung.

Wenn es Ihnen mit Ihrer Website ernst ist, müssen Sie auf die bewährten WordPress-Sicherheitsverfahren achten. Andernfalls könnten Sie zu den über 10.000 Websites gehören, die Google jeden Tag wegen Malware und Phishing auf die schwarze Liste setzt.

In diesem Leitfaden geben wir Ihnen unsere besten WordPress-Sicherheitstipps, damit Sie Ihre Website vor Hackern und Malware schützen können.

Obwohl die WordPress-Kernsoftware sehr sicher ist und regelmäßig von Hunderten von Entwicklern überprüft wird, gibt es immer noch eine Menge zu tun, um die Sicherheit Ihrer Website zu gewährleisten.

Bei WPBeginner sind wir der Meinung, dass Sicherheit nicht nur mit der Beseitigung von Risiken zu tun hat. Es geht auch um Risikominderung. Als Website-Besitzer können Sie eine Menge tun, um die Sicherheit von WordPress zu verbessern, selbst wenn Sie technisch nicht versiert sind.

In diesem Artikel haben wir eine Liste von Maßnahmen zusammengestellt, die Sie ergreifen können, um Ihre Website vor Sicherheitslücken zu schützen.

Um es Ihnen leicht zu machen, haben wir ein Inhaltsverzeichnis erstellt, das Ihnen hilft, sich in unserem ultimativen WordPress-Sicherheitsleitfaden zurechtzufinden.

Inhaltsübersicht

Grundlagen der WordPress-Sicherheit

• Warum WordPress-Sicherheit wichtig ist
• WordPress auf dem neuesten Stand halten
• Verwenden Sie sichere Kennwörter und Benutzerberechtigungen
• Verstehen Sie die Rolle des WordPress-Hostings

WordPress-Sicherheit in einfachen Schritten (ohne Programmierkenntnisse)

• Installieren Sie eine WordPress-Backup-Lösung
• Installieren Sie ein seriöses WordPress-Sicherheits-Plugin
• Aktivieren Sie eine Web Application Firewall (WAF)
• Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS

WordPress-Sicherheit für Heimwerker

• Ändern Sie den Standardbenutzernamen für Administratoren
• Dateibearbeitung deaktivieren
• Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen
• Anmeldeversuche begrenzen
• Zwei-Faktor-Authentifizierung (2FA) hinzufügen
• Ändern des WordPress-Datenbankpräfixes
• Passwortschutz für WordPress Admin und Login-Seite
• Verzeichnisindizierung und -durchsuchung deaktivieren
• XML-RPC in WordPress deaktivieren
• Untätige Benutzer in WordPress automatisch abmelden
• Sicherheitsfragen zum WordPress-Login hinzufügen
• Scannen von WordPress auf Malware und Schwachstellen
• Eine gehackte WordPress-Website reparieren

Sind Sie bereit? Dann fangen wir an.

Warum Website-Sicherheit wichtig ist

Eine gehackte WordPress-Website kann den Einnahmen und dem Ruf Ihres Unternehmens schweren Schaden zufügen. Hacker können Benutzerinformationen und Passwörter stehlen, bösartige Software installieren und sogar Malware an Ihre Benutzer verteilen.

Schlimmstenfalls müssen Sie Ransomware an Hacker zahlen, nur um wieder Zugang zu Ihrer Website zu erhalten.

Jeden Tag warnt Google 12-14 Millionen Nutzer, dass eine Website, die sie besuchen wollen, möglicherweise Malware enthält oder Informationen stiehlt.

Darüber hinaus werden von Google täglich mehr als 10.000 Websites wegen Malware oder Phishing auf die schwarze Liste gesetzt.

Genauso wie Geschäftsinhaber mit einem physischen Standort die Verantwortung haben, ihr Eigentum zu schützen, müssen Online-Geschäftsinhaber der Sicherheit ihres WordPress-Systems besondere Aufmerksamkeit schenken.

[Zurück zum Anfang ↑]

WordPress auf dem neuesten Stand halten

WordPress ist eine Open-Source-Software und wird regelmäßig gewartet und aktualisiert. Standardmäßig installiert WordPress automatisch kleinere Updates.

Bei größeren Versionen müssen Sie die Aktualisierung manuell anstoßen.

Für WordPress gibt es außerdem Tausende von Plugins und Themes, die Sie auf Ihrer Website installieren können. Diese Plugins und Themes werden von Drittentwicklern gepflegt, die auch regelmäßig Updates veröffentlichen.

Diese WordPress-Updates sind entscheidend für die Sicherheit und Stabilität Ihrer WordPress-Website. Sie müssen sicherstellen, dass Ihr WordPress-Kern, Ihre Plugins und Ihr Theme auf dem neuesten Stand sind.

[Zurück zum Anfang ↑]

Verwenden Sie sichere Kennwörter und Benutzerberechtigungen

Die häufigsten WordPress-Hacking-Versuche verwenden gestohlene Passwörter. Sie können dies erschweren, indem Sie stärkere Passwörter verwenden, die für Ihre Website einzigartig sind.

Dabei geht es nicht nur um den WordPress-Verwaltungsbereich. Denken Sie daran, sichere Passwörter für Ihre FTP-Konten, Datenbanken, WordPress-Hosting-Konten und benutzerdefinierte E-Mail-Adressen zu erstellen, die den Domainnamen Ihrer Website verwenden.

Viele Anfänger verwenden ungern sichere Passwörter, weil sie schwer zu merken sind. Das Gute daran ist, dass Sie sich keine Passwörter mehr merken müssen, weil Sie einfach einen Passwortmanager verwenden können.

In unserem Leitfaden zur Verwaltung von WordPress-Passwörtern finden Sie weitere Informationen.

Eine weitere Möglichkeit, das Risiko zu verringern, besteht darin, niemandem Zugang zu Ihrem WordPress-Administratorkonto zu gewähren, wenn Sie es nicht unbedingt müssen.

Wenn Sie ein großes Team oder Gastautoren haben, dann stellen Sie sicher, dass Sie die Benutzerrollen und Fähigkeiten in WordPress verstehen, bevor Sie neue Benutzerkonten und Autoren zu Ihrer WordPress-Website hinzufügen.

[Zurück zum Anfang ↑]

Verstehen Sie die Rolle des WordPress-Hostings

Ihr WordPress-Hosting-Service spielt die wichtigste Rolle für die Sicherheit Ihrer WordPress-Website. Ein guter Shared-Hosting-Anbieter wie Hostinger, Bluehost oder SiteGround ergreift zusätzliche Maßnahmen zum Schutz seiner Server vor gängigen Bedrohungen.

Hier sind nur einige Beispiele dafür, wie gute Webhosting-Unternehmen im Hintergrund arbeiten, um Ihre Websites und Daten zu schützen:

• Sie überwachen ihr Netzwerk kontinuierlich auf verdächtige Aktivitäten.
• Alle guten Hosting-Unternehmen verfügen über Tools zur Verhinderung groß angelegter DDoS-Angriffe.
• Sie halten ihre Serversoftware, PHP-Versionen und Hardware auf dem neuesten Stand, um zu verhindern, dass Hacker eine bekannte Sicherheitslücke in einer alten Version ausnutzen.
• Sie verfügen über einsatzbereite Disaster-Recovery- und Unfallpläne, die es ihnen ermöglichen, Ihre Daten im Falle eines größeren Unfalls zu schützen.

Bei einem Shared-Hosting-Tarif teilen Sie die Serverressourcen mit vielen anderen Kunden. Es besteht das Risiko einer seitenübergreifenden Kontamination, bei der ein Hacker eine benachbarte Website nutzen kann, um Ihre Website anzugreifen.

Im Gegensatz dazu bietet ein verwalteter WordPress-Hosting-Dienst eine sicherere Plattform für Ihre Website. Managed-WordPress-Hosting-Unternehmen bieten automatische Backups, automatische WordPress-Updates und erweiterte Sicherheitskonfigurationen zum Schutz Ihrer Website

Wir empfehlen WP Engine als unseren bevorzugten Anbieter für verwaltetes WordPress-Hosting. Sie sind auch der beliebteste Anbieter in der Branche.

Stellen Sie sicher, dass Sie das beste Angebot erhalten, indem Sie unseren speziellen WP Engine-Gutschein verwenden.

[Zurück zum Anfang ↑]

WordPress-Sicherheit in ein paar einfachen Schritten (ohne Programmierung)

Wir wissen, dass die Verbesserung der WordPress-Sicherheit ein erschreckender Gedanke für Anfänger sein kann, vor allem, wenn Sie nicht technisch versiert sind. Raten Sie mal – Sie sind nicht allein.

Wir haben Tausenden von WordPress-Benutzern bei der Härtung ihrer WordPress-Sicherheit geholfen.

Wir zeigen Ihnen, wie Sie die Sicherheit von WordPress mit nur wenigen Klicks verbessern können (kein Programmieren erforderlich).

Wenn du zeigen und klicken kannst, kannst du das auch!

1. Installieren Sie eine WordPress-Backup-Lösung

Backups sind Ihre erste Verteidigung gegen jeden WordPress-Angriff. Denken Sie daran, dass nichts zu 100 % sicher ist. Wenn Regierungswebsites gehackt werden können, dann kann das auch Ihre sein.

Mit Backups können Sie Ihre WordPress-Website schnell wiederherstellen, falls etwas Schlimmes passieren sollte.

Es gibt viele kostenlose und kostenpflichtige WordPress-Backup-Plugins, die Sie verwenden können. Das Wichtigste, was Sie im Zusammenhang mit Backups wissen müssen, ist, dass Sie regelmäßig vollständige Backups der Website an einem entfernten Ort speichern müssen (nicht in Ihrem Hosting-Konto).

Wir empfehlen, sie in einem Cloud-Dienst wie Amazon, Dropbox oder in privaten Clouds wie Stash zu speichern.

Je nachdem, wie häufig Sie Ihre Website aktualisieren, ist die ideale Einstellung entweder eine tägliche Sicherung oder eine Sicherung in Echtzeit.

Glücklicherweise kann dies mit Plugins wie Duplicator, UpdraftPlus oder BlogVault leicht bewerkstelligt werden. Sie sind beide zuverlässig und vor allem einfach zu bedienen (keine Codierung erforderlich).

Weitere Einzelheiten finden Sie in unserem Leitfaden zum Sichern Ihrer WordPress-Website.

[Zurück zum Anfang ↑]

Installieren Sie ein seriöses WordPress-Sicherheits-Plugin

Nach den Backups müssen wir als Nächstes ein Prüf- und Überwachungssystem einrichten, das alles, was auf Ihrer Website passiert, im Auge behält.

Dazu gehören die Überwachung der Dateiintegrität, fehlgeschlagene Anmeldeversuche, Malware-Scans und vieles mehr.

Glücklicherweise können Sie dies leicht beheben, indem Sie eines der besten WordPress-Sicherheits-Plugins wie Sucuri installieren.

Sie müssen das kostenlose Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Jetzt können Sie auf dem Sucuri Security “ Dashboard sehen, ob das Plugin unmittelbare Probleme mit Ihrem WordPress-Code gefunden hat.

Als Nächstes müssen Sie zur Seite Sucuri Security “ Settings navigieren und auf die Registerkarte „Hardening“ klicken.

Die Standardeinstellungen sind für die meisten Websites gut geeignet. Sie können sie also aktivieren, indem Sie bei jeder Option auf die Schaltfläche „Härtung anwenden“ klicken.

Auf diese Weise können Sie die Schlüsselbereiche, die Hacker häufig für ihre Angriffe nutzen, absichern.

Nach dem Härtungsteil sind die anderen Standardeinstellungen des Plugins für die meisten Websites ausreichend und müssen nicht geändert werden.

Das Einzige, was wir empfehlen, ist die Anpassung der E-Mail-Benachrichtigungen, die Sie auf der Registerkarte „Benachrichtigungen“ auf der Einstellungsseite finden.

Standardmäßig erhalten Sie eine Vielzahl von E-Mail-Benachrichtigungen, die Ihren Posteingang verstopfen können.

Wir empfehlen, Warnmeldungen nur für wichtige Aktionen zu aktivieren, über die Sie benachrichtigt werden möchten, z. B. für Plugin-Änderungen und neue Benutzerregistrierungen.

Dieses WordPress-Sicherheits-Plugin ist sehr leistungsfähig. Durchstöbern Sie alle Registerkarten und Einstellungen, um zu sehen, was es alles kann, wie z. B. Malware-Scans, Audit-Protokolle, Nachverfolgung fehlgeschlagener Anmeldeversuche und mehr.

Weitere Informationen finden Sie in unserem ausführlichen Sucuri-Test.

Aktivieren Sie eine Web Application Firewall (WAF)

Der einfachste Weg, Ihre Website zu schützen und sich auf die Sicherheit von WordPress zu verlassen, ist die Verwendung einer Web Application Firewall (WAF).

Eine Website-Firewall blockiert jeglichen bösartigen Datenverkehr, bevor er Ihre Website überhaupt erreicht.

• Eine Website-Firewall auf DNS-Ebene leitet den Datenverkehr Ihrer Website über ihre Cloud-Proxyserver. So kann sie nur echten Datenverkehr an Ihren Webserver senden.
• Eine Firewall auf Anwendungsebene prüft den Datenverkehr, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist bei der Reduzierung der Serverlast nicht so effizient wie die Firewall auf DNS-Ebene.

Weitere Informationen finden Sie in unserer Liste der besten WordPress-Firewall-Plugins.

Wir haben Sucuri auf WPBeginner viele Jahre lang verwendet und empfehlen es immer noch als eine der besten Web Application Firewalls für WordPress. Vor kurzem sind wir von Sucuri zu Cloudflare gewechselt, weil wir ein größeres CDN-Netzwerk mit Funktionen benötigten, die sich mehr auf Unternehmenskunden konzentrieren.

Lesen Sie, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in einem Monat zu blockieren.

Das Beste an der Firewall von Sucuri ist, dass sie auch eine Garantie für die Beseitigung von Malware und die Entfernung von schwarzen Listen enthält. Das heißt, wenn Sie unter ihrer Aufsicht gehackt werden, garantieren sie, Ihre Website zu reparieren, egal wie viele Seiten Sie haben.

Dies ist eine ziemlich starke Garantie, denn die Reparatur von gehackten Websites ist teuer. Sicherheitsexperten verlangen normalerweise mehr als 250 Dollar pro Stunde, während Sie das gesamte Sucuri-Sicherheitspaket für 199 Dollar für ein ganzes Jahr erhalten können.

Allerdings ist Sucuri nicht der einzige Anbieter von Firewalls auf DNS-Ebene, den es gibt. Der andere beliebte Konkurrent ist Cloudflare. Siehe unseren Vergleich von Sucuri und Cloudflare (Vor- und Nachteile).

[Zurück zum Anfang ↑]

Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS

SSL (Secure Sockets Layer) ist ein Protokoll, das die Datenübertragung zwischen Ihrer Website und dem Browser des Benutzers verschlüsselt. Diese Verschlüsselung macht es für jemanden schwieriger, Informationen auszuspähen und zu stehlen.

Sobald Sie SSL aktiviert haben, verwendet Ihre Website-Adresse HTTPS anstelle von HTTP. Sie sehen dann auch ein Vorhängeschloss oder ein ähnliches Symbol neben der Adresse Ihrer Website im Browser.

SSL-Zertifikate werden in der Regel von Zertifizierungsstellen ausgestellt, und ihre Preise reichen von 80 bis zu Hunderten von Dollar pro Jahr. Aufgrund der zusätzlichen Kosten haben sich die meisten Website-Besitzer in der Vergangenheit dafür entschieden, weiterhin das unsichere Protokoll zu verwenden.

Um dieses Problem zu lösen, hat die gemeinnützige Organisation Let’s Encrypt beschlossen, Website-Betreibern kostenlose SSL-Zertifikate anzubieten. Ihr Projekt wird von Google Chrome, Facebook, Mozilla und vielen anderen Unternehmen unterstützt.

Es ist einfacher denn je, SSL für alle Ihre WordPress-Websites zu verwenden. Viele Hosting-Unternehmen bieten jetzt ein kostenloses SSL-Zertifikat für Ihre WordPress-Website an.

Wenn Ihr Hosting-Unternehmen kein SSL-Zertifikat anbietet, können Sie ein SSL-Zertifikat bei Domain.com erwerben. Sie haben die besten und zuverlässigsten SSL-Angebote auf dem Markt. Das Zertifikat wird mit einer 10.000-Dollar-Sicherheitsgarantie und einem TrustLogo-Sicherheitssiegel geliefert.

WordPress-Sicherheit für Heimwerker

Wenn Sie alles tun, was wir bisher erwähnt haben, dann sind Sie in ziemlich guter Verfassung.

Aber wie immer gibt es noch mehr, was Sie tun können, um die Sicherheit Ihres WordPress zu erhöhen.

Beachten Sie, dass einige dieser Schritte Programmierkenntnisse erfordern.

Ändern Sie den Standardbenutzernamen für Administratoren

Früher war der Standard-Benutzername für WordPress-Administratoren „admin“. Da Benutzernamen die Hälfte der Anmeldedaten ausmachen, war es für Hacker einfacher, Brute-Force-Angriffe durchzuführen.

Glücklicherweise hat WordPress dies inzwischen geändert und verlangt nun, dass Sie bei der Installation von WordPress einen eigenen Benutzernamen auswählen.

Einige 1-Klick-WordPress-Installationsprogramme setzen den Standardbenutzernamen des Administrators jedoch immer noch auf „admin“. Wenn Sie feststellen, dass dies der Fall ist, ist es wahrscheinlich eine gute Idee, Ihr Webhosting zu wechseln.

Da WordPress es nicht zulässt, dass Sie Benutzernamen standardmäßig ändern, gibt es drei Methoden, die Sie verwenden können, um den Benutzernamen zu ändern.

1. Erstellen Sie einen neuen Administrator-Benutzernamen und löschen Sie den alten.
2. Verwenden Sie das Plugin Username Changer
3. Benutzernamen von phpMyAdmin aktualisieren

Wir haben alle drei Punkte in unserer ausführlichen Anleitung zum Ändern des WordPress-Benutzernamens behandelt.

[Zurück zum Anfang ↑]

Dateibearbeitung deaktivieren

WordPress verfügt über einen integrierten Code-Editor, mit dem Sie Ihre Theme- und Plugin-Dateien direkt im WordPress-Adminbereich bearbeiten können.

In den falschen Händen kann diese Funktion ein Sicherheitsrisiko darstellen, weshalb wir empfehlen, sie zu deaktivieren.

Sie können dies ganz einfach tun, indem Sie den folgenden Code in Ihre wp-config.php-Datei einfügen oder mit einem Code-Snippet-Plugin wie WPCode (empfohlen):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

In unserer Anleitung zum Deaktivieren von Theme- und Plugin-Editoren im WordPress-Admin-Panel zeigen wir Ihnen Schritt für Schritt, wie Sie dies tun können.

Alternativ können Sie dies mit einem Klick über die Härtungsfunktion des oben erwähnten kostenlosen Sucuri-Plugins tun.

[Zurück zum Anfang ↑]

Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen

Eine weitere Möglichkeit, die Sicherheit von WordPress zu erhöhen, besteht darin, die Ausführung von PHP-Dateien in Verzeichnissen zu deaktivieren, in denen sie nicht benötigt werden, wie z. B. /wp-content/uploads/.

Sie können dies tun, indem Sie einen Texteditor wie Notepad öffnen und diesen Code einfügen:

<Files *.php>
deny from all
</Files>

Als Nächstes müssen Sie diese Datei als .htaccess speichern und sie mit einem FTP-Client in den Ordner /wp-content/uploads/ Ihrer Website hochladen.

Eine genauere Erklärung finden Sie in unserer Anleitung, wie Sie die Ausführung von PHP in bestimmten WordPress-Verzeichnissen deaktivieren können.

Alternativ können Sie dies auch mit der oben erwähnten Härtungsfunktion des kostenlosen Sucuri-Plugins mit nur einem Klick erledigen.

[Zurück zum Anfang ↑]

Anmeldeversuche begrenzen

Standardmäßig erlaubt WordPress den Nutzern, sich so oft anzumelden, wie sie wollen. Dies macht Ihre WordPress-Website anfällig für Brute-Force-Angriffe. Dabei versuchen Hacker, Passwörter zu knacken, indem sie versuchen, sich mit verschiedenen Kombinationen anzumelden.

Dies lässt sich leicht beheben, indem die Anzahl der fehlgeschlagenen Anmeldeversuche eines Benutzers begrenzt wird. Wenn Sie die bereits erwähnte Web Application Firewall verwenden, wird dies automatisch behoben.

Wenn Sie die Firewall jedoch nicht eingerichtet haben, können Sie die folgenden Schritte ausführen.

Zunächst müssen Sie das kostenlose Plugin Limit Login Attempts Reloaded installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Nach der Aktivierung beginnt das Plugin, die Anzahl der Anmeldeversuche der Benutzer zu begrenzen.

Die Standardeinstellungen sind für die meisten Websites geeignet. Sie können sie jedoch anpassen, indem Sie die Seite Einstellungen “ Anmeldeversuche beschränken aufrufen und oben auf die Registerkarte „Einstellungen“ klicken. Um zum Beispiel die GDPR-Gesetze einzuhalten, können Sie auf das Kontrollkästchen „GDPR-Compliance“ klicken.

Detaillierte Anweisungen finden Sie in unserem Leitfaden darüber, wie und warum Sie Anmeldeversuche in WordPress begrenzen sollten.

[Zurück zum Anfang ↑]

Zwei-Faktor-Authentifizierung (2FA) hinzufügen

Die Zwei-Faktor-Authentifizierungsmethode erfordert 2 verschiedene Schritte für die Anmeldung der Benutzer:

1. Der erste Schritt ist die Eingabe des Benutzernamens und des Passworts.
2. Im zweiten Schritt müssen Sie einen Code von einem Gerät oder einer App in Ihrem Besitz verwenden, auf das bzw. die Hacker keinen Zugriff haben, z. B. von Ihrem Smartphone.

Bei den meisten großen Online-Websites wie Google, Facebook und Twitter können Sie diese Funktion für Ihre Konten aktivieren. Sie können die gleiche Funktion auch zu Ihrer WordPress-Website hinzufügen.

Zunächst müssen Sie das Plugin WP 2FA – Two-factor Authentication installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Ein benutzerfreundlicher Assistent hilft Ihnen bei der Einrichtung des Plugins und anschließend erhalten Sie einen QR-Code.

Sie müssen den QR-Code mit einer Authentifizierungs-App auf Ihrem Telefon scannen, z. B. Google Authenticator, Authy und LastPass Authenticator.

Wir empfehlen die Verwendung von LastPass Authenticator oder Authy, da sie es Ihnen ermöglichen, Ihre Konten in der Cloud zu sichern. Dies ist sehr nützlich, falls Ihr Telefon verloren geht, zurückgesetzt wird oder Sie ein neues Telefon kaufen. Alle Ihre Kontoanmeldungen lassen sich leicht wiederherstellen.

Die meisten dieser Apps funktionieren auf ähnliche Weise, und wenn Sie Authy verwenden, klicken Sie einfach auf die Schaltfläche „+“ oder „Konto hinzufügen“ in der Authentifizierungs-App.

Damit können Sie den QR-Code auf Ihrem Computer mit der Kamera Ihres Telefons scannen. Möglicherweise müssen Sie der App zunächst die Berechtigung zum Zugriff auf die Kamera erteilen.

Nachdem Sie dem Konto einen Namen gegeben haben, können Sie es speichern.

Wenn Sie sich das nächste Mal bei Ihrer Website anmelden, werden Sie nach der Eingabe Ihres Passworts nach dem Code für die Zwei-Faktor-Authentifizierung gefragt.

Öffnen Sie einfach die Authenticator-App auf Ihrem Telefon, und Sie sehen einen einmaligen Code.

Sie können dann den Code auf Ihrer Website eingeben, um die Anmeldung abzuschließen.

[Zurück zum Anfang ↑]

Ändern des WordPress-Datenbankpräfixes

WordPress verwendet standardmäßig wp_ als Präfix für alle Tabellen in Ihrer WordPress-Datenbank.

Wenn Ihre WordPress-Website das Standard-Datenbankpräfix verwendet, ist es für Hacker einfacher, den Namen Ihrer Tabelle zu erraten. Deshalb empfehlen wir, es zu ändern.

Sie können Ihr Datenbank-Präfix ändern, indem Sie unserer Schritt-für-Schritt-Anleitung folgen, wie Sie das WordPress-Datenbank-Präfix ändern, um die Sicherheit zu verbessern.

[Zurück zum Anfang ↑]

Passwortschutz für WordPress Admin und Login-Seite

Normalerweise können Hacker Ihren wp-admin-Ordner und Ihre Anmeldeseite ohne jegliche Einschränkungen anfordern. Dies ermöglicht ihnen, ihre Hacking-Tricks auszuprobieren oder DDoS-Angriffe durchzuführen.

Sie können einen zusätzlichen Passwortschutz auf Server-Ebene hinzufügen, der diese Anfragen effektiv blockiert.

Folgen Sie einfach unserer Schritt-für-Schritt-Anleitung, wie Sie Ihr WordPress-Admin-Verzeichnis (wp-admin) mit einem Passwort schützen können.

[Zurück zum Anfang ↑]

Verzeichnisindizierung und -durchsuchung deaktivieren

Wenn Sie die Adresse eines Ihrer Website-Ordner in einen Webbrowser eingeben, wird Ihnen die Webseite index.html angezeigt, sofern sie existiert. Existiert sie nicht, wird Ihnen stattdessen eine Liste der Dateien in diesem Ordner angezeigt. Dies wird als „Directory Browsing“ bezeichnet.

Das Durchsuchen von Verzeichnissen kann von Hackern genutzt werden, um herauszufinden, ob Sie Dateien mit bekannten Sicherheitslücken haben, so dass sie diese Dateien ausnutzen können, um sich Zugang zu verschaffen.

Das Durchsuchen von Verzeichnissen kann auch von anderen Personen verwendet werden, um Ihre Dateien einzusehen, Bilder zu kopieren, Ihre Verzeichnisstruktur herauszufinden und andere Informationen zu erhalten. Aus diesem Grund wird dringend empfohlen, die Verzeichnisindizierung und das Durchsuchen zu deaktivieren.

Sie müssen sich mit FTP oder dem Dateimanager Ihres Hosting-Anbieters mit Ihrer Website verbinden. Suchen Sie dann die .htaccess-Datei im Stammverzeichnis Ihrer Website. Wenn Sie sie dort nicht sehen können, lesen Sie unsere Anleitung, warum Sie die .htaccess-Datei in WordPress nicht sehen können.

Danach müssen Sie die folgende Zeile am Ende der .htaccess-Datei hinzufügen:

Optionen -Indizes

Vergessen Sie nicht, die .htaccess-Datei zu speichern und wieder auf Ihre Website hochzuladen.

Weitere Informationen zu diesem Thema finden Sie in unserem Artikel über die Deaktivierung des Directory Browsing in WordPress.

[Zurück zum Anfang ↑]

XML-RPC in WordPress deaktivieren

XML-RPC ist eine WordPress-Kern-API, die dabei hilft, Ihre WordPress-Website mit Web- und Mobilanwendungen zu verbinden. Sie ist seit WordPress 3.5 standardmäßig aktiviert.

Aufgrund seiner Leistungsfähigkeit kann XML-RPC jedoch Brute-Force-Angriffe erheblich verstärken.

Wenn ein Hacker zum Beispiel 500 verschiedene Passwörter auf Ihrer Website ausprobieren wollte, müsste er 500 verschiedene Anmeldeversuche unternehmen. Dies kann durch das Limit Login Attempts Reloaded Plugin abgefangen und blockiert werden.

Aber mit XML-RPC kann ein Hacker die Funktion system.multicall verwenden, um Tausende von Passwörtern mit sagen wir 20 oder 50 Anfragen auszuprobieren.

Wenn Sie XML-RPC nicht verwenden, empfehlen wir Ihnen daher, es zu deaktivieren.

Es gibt 3 Möglichkeiten, XML-RPC in WordPress zu deaktivieren, und wir haben alle in unserer Schritt-für-Schritt-Anleitung zur Deaktivierung von XML-RPC in WordPress behandelt.

Alternativ dazu wird dies automatisch erledigt, wenn Sie, wie bereits erwähnt, eine Web Application Firewall (WAF) verwenden.

[Zurück zum Anfang ↑]

Untätige Benutzer in WordPress automatisch abmelden

Eingeloggte Benutzer können sich manchmal vom Bildschirm entfernen, was ein Sicherheitsrisiko darstellt. Jemand kann ihre Sitzung entführen, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.

Aus diesem Grund melden viele Bank- und Finanzseiten inaktive Benutzer automatisch ab. Sie können eine ähnliche Funktion auch auf Ihrer WordPress-Website einrichten.

Sie müssen das Plugin “ Inactive Logout“ installieren und aktivieren. Rufen Sie nach der Aktivierung die Seite Einstellungen “ Inaktives Logout auf, um die Logout-Einstellungen anzupassen.

Legen Sie einfach die Zeitdauer fest und fügen Sie eine Abmeldemeldung hinzu. Vergessen Sie dann nicht, auf die Schaltfläche „Änderungen speichern“ unten auf der Seite zu klicken, um Ihre Einstellungen zu speichern.

Eine Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zum automatischen Abmelden untätiger Benutzer in WordPress.

[Zurück zum Anfang ↑]

Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm

Durch das Hinzufügen einer Sicherheitsfrage zu Ihrem WordPress-Anmeldebildschirm wird es noch schwieriger für jemanden, sich unbefugt Zugang zu verschaffen.

Sie können Sicherheitsfragen hinzufügen, indem Sie das Zwei-Faktor-Authentifizierungs-Plugin installieren. Nach der Aktivierung müssen Sie die Seite Mehrfaktor-Authentifizierung “ Zweifaktor besuchen, um die Einstellungen des Plugins zu konfigurieren.

Damit können Sie verschiedene Arten der Zwei-Faktor-Authentifizierung zu Ihrer Website hinzufügen, einschließlich Sicherheitsfragen.

Ausführlichere Anweisungen finden Sie in unserem Tutorial über das Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm.

[Zurück zum Anfang ↑]

Scannen von WordPress auf Malware und Schwachstellen

Wenn Sie ein WordPress-Sicherheits-Plugin installiert haben, wird es routinemäßig nach Malware und Anzeichen von Sicherheitsverletzungen suchen.

Wenn Sie jedoch einen plötzlichen Rückgang des Website-Traffics oder des Suchrankings feststellen, sollten Sie manuell nach Malware suchen. Sie können dies mit Ihrem WordPress-Sicherheits-Plugin oder einem der besten Malware- und Sicherheitsscanner tun.

Die Durchführung dieser Online-Scans ist ganz einfach. Sie geben einfach die URL Ihrer Website ein, und die Crawler durchsuchen Ihre Website nach bekannter Malware und bösartigem Code.

Denken Sie daran, dass die meisten WordPress-Sicherheitsscanner Sie nur warnen können, wenn Ihre Website Malware enthält. Sie können die Malware nicht entfernen oder eine gehackte WordPress-Website säubern.

Dies bringt uns zum nächsten Abschnitt, der Bereinigung von Malware und gehackten WordPress-Seiten.

[Zurück zum Anfang ↑]

Eine gehackte WordPress-Website reparieren

Viele WordPress-Benutzer erkennen die Bedeutung von Backups und Website-Sicherheit erst, wenn ihre Website gehackt wird.

Hacker installieren Hintertüren auf den betroffenen Websites, und wenn diese Hintertüren nicht ordnungsgemäß repariert werden, wird Ihre Website wahrscheinlich erneut gehackt.

Für die Abenteuerlustigen und Heimwerker haben wir eine Schritt-für-Schritt-Anleitung zur Behebung einer gehackten WordPress-Website zusammengestellt.

Die Bereinigung einer WordPress-Website kann jedoch sehr schwierig und zeitaufwändig sein. Wir raten dazu, dies von einem Profi erledigen zu lassen.

Wenn Sie für die Verwendung des oben erwähnten Sucuri-Sicherheits-Plugins bezahlen, ist die Reparatur einer gehackten Website im Preis inbegriffen.

Sie können auch den WPBeginner Pro Services Reparaturservice für gehackte Websites nutzen. Dies erfordert eine einmalige Zahlung von $249 und beinhaltet eine erstklassige Dateibestimmung, die Entfernung von bösartigem Code, Software- und Sicherheitsupdates und ein bereinigtes Website-Backup.

Wir garantieren, dass wir Ihre Website reparieren oder Ihnen Ihr Geld zurückgeben. Außerdem decken wir Ihre Website 30 Tage lang nach der Reparatur ab. Wenn Sie also in dieser Zeit erneut gehackt werden, sind wir zur Stelle, um das Problem zu beheben.

Wir säubern und sichern WordPress-Websites seit mehr als 10 Jahren. Sie können also beruhigt sein, wenn Sie unseren Service zur Reparatur gehackter Websites nutzen.

[Zurück zum Anfang ↑]

Bonus-Tipp: Identitätsdiebstahl und Netzwerkschutz

Als Inhaber eines kleinen Unternehmens ist es äußerst wichtig, Ihre digitale und finanzielle Identität zu schützen. Wenn Sie das nicht tun, kann das zu erheblichen Verlusten führen.

Hacker und Kriminelle können Ihre Identität nutzen, um den Domainnamen Ihrer Website zu stehlen, Ihre Bankkonten zu hacken und sogar Straftaten zu begehen, für die Sie haftbar gemacht werden können.

Im Jahr 2023 wurden der Federal Trade Commission (FTC) 5,7 Millionen Fälle von Identitätsdiebstahl und Kreditkartenbetrug gemeldet.

Aus diesem Grund empfehlen wir die Nutzung eines Identitätsdiebstahlschutzdienstes wie Aura. Wir empfehlen Aura und nutzen es selbst.

Sie bieten Schutz für Geräte und WLAN-Netzwerke durch ihr kostenloses VPN (virtuelles privates Netzwerk), das Ihre Internetverbindung mit militärischer Verschlüsselung sichert, wo immer Sie sich befinden.

Dies ist besonders praktisch, wenn Sie unterwegs sind oder an einem öffentlichen Ort wie Starbucks eine Verbindung zu Ihrem WordPress-Administrator herstellen möchten, damit Sie sicher und privat online arbeiten können.

Der Überwachungsdienst für das Dark Web nutzt ständig künstliche Intelligenz, um Sie zu warnen, wenn Ihre Passwörter, Sozialversicherungsnummern und Bankkonten kompromittiert wurden.

So können Sie schneller handeln und Ihre digitale Identität besser schützen.

[Zurück zum Anfang ↑]

Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die besten Praktiken für WordPress-Sicherheit zu lernen und die besten WordPress-Sicherheits-Plugins für Ihre Website zu entdecken. Vielleicht interessieren Sie sich auch für unseren ultimativen WordPress-SEO-Leitfaden zur Verbesserung Ihrer SEO-Rankings und unsere Expertentipps zur Beschleunigung von WordPress.

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.