Die Sicherheit von WordPress ist für jeden Website-Betreiber ein Thema von großer Bedeutung.
Wenn es Ihnen mit Ihrer Website ernst ist, müssen Sie auf die bewährten WordPress-Sicherheitsverfahren achten. Andernfalls könnten Sie zu den über 10.000 Websites gehören, die Google jeden Tag wegen Malware und Phishing auf die schwarze Liste setzt.
In diesem Leitfaden geben wir Ihnen unsere besten WordPress-Sicherheitstipps, damit Sie Ihre Website vor Hackern und Malware schützen können.
Obwohl die WordPress-Kernsoftware sehr sicher ist und regelmäßig von Hunderten von Entwicklern überprüft wird, gibt es immer noch eine Menge zu tun, um die Sicherheit Ihrer Website zu gewährleisten.
Bei WPBeginner sind wir der Meinung, dass Sicherheit nicht nur mit der Beseitigung von Risiken zu tun hat. Es geht auch um Risikominderung. Als Website-Besitzer können Sie eine Menge tun, um die Sicherheit von WordPress zu verbessern, selbst wenn Sie technisch nicht versiert sind.
In diesem Artikel haben wir eine Liste von Maßnahmen zusammengestellt, die Sie ergreifen können, um Ihre Website vor Sicherheitslücken zu schützen.
Um es Ihnen leicht zu machen, haben wir ein Inhaltsverzeichnis erstellt, das Ihnen hilft, sich in unserem ultimativen WordPress-Sicherheitsleitfaden zurechtzufinden.
Inhaltsübersicht
Grundlagen der WordPress-Sicherheit
- Warum WordPress-Sicherheit wichtig ist
- WordPress auf dem neuesten Stand halten
- Verwenden Sie sichere Kennwörter und Benutzerberechtigungen
- Verstehen Sie die Rolle des WordPress-Hostings
WordPress-Sicherheit in einfachen Schritten (ohne Programmierkenntnisse)
- Installieren Sie eine WordPress-Backup-Lösung
- Installieren Sie ein seriöses WordPress-Sicherheits-Plugin
- Aktivieren Sie eine Web Application Firewall (WAF)
- Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS
WordPress-Sicherheit für Heimwerker
- Ändern Sie den Standardbenutzernamen für Administratoren
- Dateibearbeitung deaktivieren
- Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen
- Anmeldeversuche begrenzen
- Zwei-Faktor-Authentifizierung (2FA) hinzufügen
- Ändern des WordPress-Datenbankpräfixes
- Passwortschutz für WordPress Admin und Login-Seite
- Verzeichnisindizierung und -durchsuchung deaktivieren
- XML-RPC in WordPress deaktivieren
- Untätige Benutzer in WordPress automatisch abmelden
- Sicherheitsfragen zum WordPress-Login hinzufügen
- Scannen von WordPress auf Malware und Schwachstellen
- Eine gehackte WordPress-Website reparieren
Sind Sie bereit? Dann fangen wir an.
Warum Website-Sicherheit wichtig ist
Eine gehackte WordPress-Website kann den Einnahmen und dem Ruf Ihres Unternehmens schweren Schaden zufügen. Hacker können Benutzerinformationen und Passwörter stehlen, bösartige Software installieren und sogar Malware an Ihre Benutzer verteilen.
Schlimmstenfalls müssen Sie Ransomware an Hacker zahlen, nur um wieder Zugang zu Ihrer Website zu erhalten.
Jeden Tag warnt Google 12-14 Millionen Nutzer, dass eine Website, die sie besuchen wollen, möglicherweise Malware enthält oder Informationen stiehlt.
Darüber hinaus werden von Google täglich mehr als 10.000 Websites wegen Malware oder Phishing auf die schwarze Liste gesetzt.
Genauso wie Geschäftsinhaber mit einem physischen Standort die Verantwortung haben, ihr Eigentum zu schützen, müssen Online-Geschäftsinhaber der Sicherheit ihres WordPress-Systems besondere Aufmerksamkeit schenken.
WordPress auf dem neuesten Stand halten
WordPress ist eine Open-Source-Software und wird regelmäßig gewartet und aktualisiert. Standardmäßig installiert WordPress automatisch kleinere Updates.
Bei größeren Versionen müssen Sie die Aktualisierung manuell anstoßen.
Für WordPress gibt es außerdem Tausende von Plugins und Themes, die Sie auf Ihrer Website installieren können. Diese Plugins und Themes werden von Drittentwicklern gepflegt, die auch regelmäßig Updates veröffentlichen.
Diese WordPress-Updates sind entscheidend für die Sicherheit und Stabilität Ihrer WordPress-Website. Sie müssen sicherstellen, dass Ihr WordPress-Kern, Ihre Plugins und Ihr Theme auf dem neuesten Stand sind.
Verwenden Sie sichere Kennwörter und Benutzerberechtigungen
Die häufigsten WordPress-Hacking-Versuche verwenden gestohlene Passwörter. Sie können dies erschweren, indem Sie stärkere Passwörter verwenden, die für Ihre Website einzigartig sind.
Dabei geht es nicht nur um den WordPress-Verwaltungsbereich. Denken Sie daran, sichere Passwörter für Ihre FTP-Konten, Datenbanken, WordPress-Hosting-Konten und benutzerdefinierte E-Mail-Adressen zu erstellen, die den Domainnamen Ihrer Website verwenden.
Viele Anfänger verwenden ungern sichere Passwörter, weil sie schwer zu merken sind. Das Gute daran ist, dass Sie sich keine Passwörter mehr merken müssen, weil Sie einfach einen Passwortmanager verwenden können.
In unserem Leitfaden zur Verwaltung von WordPress-Passwörtern finden Sie weitere Informationen.
Eine weitere Möglichkeit, das Risiko zu verringern, besteht darin, niemandem Zugang zu Ihrem WordPress-Administratorkonto zu gewähren, wenn Sie es nicht unbedingt müssen.
Wenn Sie ein großes Team oder Gastautoren haben, dann stellen Sie sicher, dass Sie die Benutzerrollen und Fähigkeiten in WordPress verstehen, bevor Sie neue Benutzerkonten und Autoren zu Ihrer WordPress-Website hinzufügen.
Verstehen Sie die Rolle des WordPress-Hostings
Ihr WordPress-Hosting-Service spielt die wichtigste Rolle für die Sicherheit Ihrer WordPress-Website. Ein guter Shared-Hosting-Anbieter wie Hostinger, Bluehost oder SiteGround ergreift zusätzliche Maßnahmen zum Schutz seiner Server vor gängigen Bedrohungen.
Hier sind nur einige Beispiele dafür, wie gute Webhosting-Unternehmen im Hintergrund arbeiten, um Ihre Websites und Daten zu schützen:
- Sie überwachen ihr Netzwerk kontinuierlich auf verdächtige Aktivitäten.
- Alle guten Hosting-Unternehmen verfügen über Tools zur Verhinderung groß angelegter DDoS-Angriffe.
- Sie halten ihre Serversoftware, PHP-Versionen und Hardware auf dem neuesten Stand, um zu verhindern, dass Hacker eine bekannte Sicherheitslücke in einer alten Version ausnutzen.
- Sie verfügen über einsatzbereite Disaster-Recovery- und Unfallpläne, die es ihnen ermöglichen, Ihre Daten im Falle eines größeren Unfalls zu schützen.
Bei einem Shared-Hosting-Tarif teilen Sie die Serverressourcen mit vielen anderen Kunden. Es besteht das Risiko einer seitenübergreifenden Kontamination, bei der ein Hacker eine benachbarte Website nutzen kann, um Ihre Website anzugreifen.
Im Gegensatz dazu bietet ein verwalteter WordPress-Hosting-Dienst eine sicherere Plattform für Ihre Website. Managed-WordPress-Hosting-Unternehmen bieten automatische Backups, automatische WordPress-Updates und erweiterte Sicherheitskonfigurationen zum Schutz Ihrer Website
Wir empfehlen WP Engine als unseren bevorzugten Anbieter für verwaltetes WordPress-Hosting. Sie sind auch der beliebteste Anbieter in der Branche.
Stellen Sie sicher, dass Sie das beste Angebot erhalten, indem Sie unseren speziellen WP Engine-Gutschein verwenden.
WordPress-Sicherheit in ein paar einfachen Schritten (ohne Programmierung)
Wir wissen, dass die Verbesserung der WordPress-Sicherheit ein erschreckender Gedanke für Anfänger sein kann, vor allem, wenn Sie nicht technisch versiert sind. Raten Sie mal – Sie sind nicht allein.
Wir haben Tausenden von WordPress-Benutzern bei der Härtung ihrer WordPress-Sicherheit geholfen.
Wir zeigen Ihnen, wie Sie die Sicherheit von WordPress mit nur wenigen Klicks verbessern können (kein Programmieren erforderlich).
Wenn du zeigen und klicken kannst, kannst du das auch!
1. Installieren Sie eine WordPress-Backup-Lösung
Backups sind Ihre erste Verteidigung gegen jeden WordPress-Angriff. Denken Sie daran, dass nichts zu 100 % sicher ist. Wenn Regierungswebsites gehackt werden können, dann kann das auch Ihre sein.
Mit Backups können Sie Ihre WordPress-Website schnell wiederherstellen, falls etwas Schlimmes passieren sollte.
Es gibt viele kostenlose und kostenpflichtige WordPress-Backup-Plugins, die Sie verwenden können. Das Wichtigste, was Sie im Zusammenhang mit Backups wissen müssen, ist, dass Sie regelmäßig vollständige Backups der Website an einem entfernten Ort speichern müssen (nicht in Ihrem Hosting-Konto).
Wir empfehlen, sie in einem Cloud-Dienst wie Amazon, Dropbox oder in privaten Clouds wie Stash zu speichern.
Je nachdem, wie häufig Sie Ihre Website aktualisieren, ist die ideale Einstellung entweder eine tägliche Sicherung oder eine Sicherung in Echtzeit.
Glücklicherweise kann dies mit Plugins wie Duplicator, UpdraftPlus oder BlogVault leicht bewerkstelligt werden. Sie sind beide zuverlässig und vor allem einfach zu bedienen (keine Codierung erforderlich).
Weitere Einzelheiten finden Sie in unserem Leitfaden zum Sichern Ihrer WordPress-Website.
Installieren Sie ein seriöses WordPress-Sicherheits-Plugin
Nach den Backups müssen wir als Nächstes ein Prüf- und Überwachungssystem einrichten, das alles, was auf Ihrer Website passiert, im Auge behält.
Dazu gehören die Überwachung der Dateiintegrität, fehlgeschlagene Anmeldeversuche, Malware-Scans und vieles mehr.
Glücklicherweise können Sie dies leicht beheben, indem Sie eines der besten WordPress-Sicherheits-Plugins wie Sucuri installieren.
Sie müssen das kostenlose Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Jetzt können Sie auf dem Sucuri Security “ Dashboard sehen, ob das Plugin unmittelbare Probleme mit Ihrem WordPress-Code gefunden hat.
Als Nächstes müssen Sie zur Seite Sucuri Security “ Settings navigieren und auf die Registerkarte „Hardening“ klicken.
Die Standardeinstellungen sind für die meisten Websites gut geeignet. Sie können sie also aktivieren, indem Sie bei jeder Option auf die Schaltfläche „Härtung anwenden“ klicken.
Auf diese Weise können Sie die Schlüsselbereiche, die Hacker häufig für ihre Angriffe nutzen, absichern.
Tipp: Wir werden später in diesem Artikel weitere Möglichkeiten zur Absicherung Ihrer Website behandeln, z. B. das Ändern des Datenbankpräfixes und des Administrator-Benutzernamens. Diese sind jedoch eher technischer Natur und erfordern möglicherweise Programmierkenntnisse.
Nach dem Härtungsteil sind die anderen Standardeinstellungen des Plugins für die meisten Websites ausreichend und müssen nicht geändert werden.
Das Einzige, was wir empfehlen, ist die Anpassung der E-Mail-Benachrichtigungen, die Sie auf der Registerkarte „Benachrichtigungen“ auf der Einstellungsseite finden.
Standardmäßig erhalten Sie eine Vielzahl von E-Mail-Benachrichtigungen, die Ihren Posteingang verstopfen können.
Wir empfehlen, Warnmeldungen nur für wichtige Aktionen zu aktivieren, über die Sie benachrichtigt werden möchten, z. B. für Plugin-Änderungen und neue Benutzerregistrierungen.
Dieses WordPress-Sicherheits-Plugin ist sehr leistungsfähig. Durchstöbern Sie alle Registerkarten und Einstellungen, um zu sehen, was es alles kann, wie z. B. Malware-Scans, Audit-Protokolle, Nachverfolgung fehlgeschlagener Anmeldeversuche und mehr.
Weitere Informationen finden Sie in unserem ausführlichen Sucuri-Test.
Aktivieren Sie eine Web Application Firewall (WAF)
Der einfachste Weg, Ihre Website zu schützen und sich auf die Sicherheit von WordPress zu verlassen, ist die Verwendung einer Web Application Firewall (WAF).
Eine Website-Firewall blockiert jeglichen bösartigen Datenverkehr, bevor er Ihre Website überhaupt erreicht.
- Eine Website-Firewall auf DNS-Ebene leitet den Datenverkehr Ihrer Website über ihre Cloud-Proxyserver. So kann sie nur echten Datenverkehr an Ihren Webserver senden.
- Eine Firewall auf Anwendungsebene prüft den Datenverkehr, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist bei der Reduzierung der Serverlast nicht so effizient wie die Firewall auf DNS-Ebene.
Weitere Informationen finden Sie in unserer Liste der besten WordPress-Firewall-Plugins.
Wir haben Sucuri auf WPBeginner viele Jahre lang verwendet und empfehlen es immer noch als eine der besten Web Application Firewalls für WordPress. Vor kurzem sind wir von Sucuri zu Cloudflare gewechselt, weil wir ein größeres CDN-Netzwerk mit Funktionen benötigten, die sich mehr auf Unternehmenskunden konzentrieren.
Lesen Sie, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in einem Monat zu blockieren.
Das Beste an der Firewall von Sucuri ist, dass sie auch eine Garantie für die Beseitigung von Malware und die Entfernung von schwarzen Listen enthält. Das heißt, wenn Sie unter ihrer Aufsicht gehackt werden, garantieren sie, Ihre Website zu reparieren, egal wie viele Seiten Sie haben.
Dies ist eine ziemlich starke Garantie, denn die Reparatur von gehackten Websites ist teuer. Sicherheitsexperten verlangen normalerweise mehr als 250 Dollar pro Stunde, während Sie das gesamte Sucuri-Sicherheitspaket für 199 Dollar für ein ganzes Jahr erhalten können.
Allerdings ist Sucuri nicht der einzige Anbieter von Firewalls auf DNS-Ebene, den es gibt. Der andere beliebte Konkurrent ist Cloudflare. Siehe unseren Vergleich von Sucuri und Cloudflare (Vor- und Nachteile).
Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS
SSL (Secure Sockets Layer) ist ein Protokoll, das die Datenübertragung zwischen Ihrer Website und dem Browser des Benutzers verschlüsselt. Diese Verschlüsselung macht es für jemanden schwieriger, Informationen auszuspähen und zu stehlen.
Sobald Sie SSL aktiviert haben, verwendet Ihre Website-Adresse HTTPS anstelle von HTTP. Sie sehen dann auch ein Vorhängeschloss oder ein ähnliches Symbol neben der Adresse Ihrer Website im Browser.
SSL-Zertifikate werden in der Regel von Zertifizierungsstellen ausgestellt, und ihre Preise reichen von 80 bis zu Hunderten von Dollar pro Jahr. Aufgrund der zusätzlichen Kosten haben sich die meisten Website-Besitzer in der Vergangenheit dafür entschieden, weiterhin das unsichere Protokoll zu verwenden.
Um dieses Problem zu lösen, hat die gemeinnützige Organisation Let’s Encrypt beschlossen, Website-Betreibern kostenlose SSL-Zertifikate anzubieten. Ihr Projekt wird von Google Chrome, Facebook, Mozilla und vielen anderen Unternehmen unterstützt.
Es ist einfacher denn je, SSL für alle Ihre WordPress-Websites zu verwenden. Viele Hosting-Unternehmen bieten jetzt ein kostenloses SSL-Zertifikat für Ihre WordPress-Website an.
Wenn Ihr Hosting-Unternehmen kein SSL-Zertifikat anbietet, können Sie ein SSL-Zertifikat bei Domain.com erwerben. Sie haben die besten und zuverlässigsten SSL-Angebote auf dem Markt. Das Zertifikat wird mit einer 10.000-Dollar-Sicherheitsgarantie und einem TrustLogo-Sicherheitssiegel geliefert.
WordPress-Sicherheit für Heimwerker
Wenn Sie alles tun, was wir bisher erwähnt haben, dann sind Sie in ziemlich guter Verfassung.
Aber wie immer gibt es noch mehr, was Sie tun können, um die Sicherheit Ihres WordPress zu erhöhen.
Beachten Sie, dass einige dieser Schritte Programmierkenntnisse erfordern.
Ändern Sie den Standardbenutzernamen für Administratoren
Früher war der Standard-Benutzername für WordPress-Administratoren „admin“. Da Benutzernamen die Hälfte der Anmeldedaten ausmachen, war es für Hacker einfacher, Brute-Force-Angriffe durchzuführen.
Glücklicherweise hat WordPress dies inzwischen geändert und verlangt nun, dass Sie bei der Installation von WordPress einen eigenen Benutzernamen auswählen.
Einige 1-Klick-WordPress-Installationsprogramme setzen den Standardbenutzernamen des Administrators jedoch immer noch auf „admin“. Wenn Sie feststellen, dass dies der Fall ist, ist es wahrscheinlich eine gute Idee, Ihr Webhosting zu wechseln.
Da WordPress es nicht zulässt, dass Sie Benutzernamen standardmäßig ändern, gibt es drei Methoden, die Sie verwenden können, um den Benutzernamen zu ändern.
- Erstellen Sie einen neuen Administrator-Benutzernamen und löschen Sie den alten.
- Verwenden Sie das Plugin Username Changer
- Benutzernamen von phpMyAdmin aktualisieren
Wir haben alle drei Punkte in unserer ausführlichen Anleitung zum Ändern des WordPress-Benutzernamens behandelt.
Hinweis: Um das klarzustellen, geht es hier darum, den Benutzernamen „admin“ zu ändern, nicht die Administratorrolle, die manchmal auch „admin“ genannt wird.
Dateibearbeitung deaktivieren
WordPress verfügt über einen integrierten Code-Editor, mit dem Sie Ihre Theme- und Plugin-Dateien direkt im WordPress-Adminbereich bearbeiten können.
In den falschen Händen kann diese Funktion ein Sicherheitsrisiko darstellen, weshalb wir empfehlen, sie zu deaktivieren.
Sie können dies ganz einfach tun, indem Sie den folgenden Code in Ihre wp-config.php-Datei einfügen oder mit einem Code-Snippet-Plugin wie WPCode (empfohlen):
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
In unserer Anleitung zum Deaktivieren von Theme- und Plugin-Editoren im WordPress-Admin-Panel zeigen wir Ihnen Schritt für Schritt, wie Sie dies tun können.
Alternativ können Sie dies mit einem Klick über die Härtungsfunktion des oben erwähnten kostenlosen Sucuri-Plugins tun.
Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen
Eine weitere Möglichkeit, die Sicherheit von WordPress zu erhöhen, besteht darin, die Ausführung von PHP-Dateien in Verzeichnissen zu deaktivieren, in denen sie nicht benötigt werden, wie z. B. /wp-content/uploads/.
Sie können dies tun, indem Sie einen Texteditor wie Notepad öffnen und diesen Code einfügen:
<Files *.php>
deny from all
</Files>
Als Nächstes müssen Sie diese Datei als .htaccess speichern und sie mit einem FTP-Client in den Ordner /wp-content/uploads/ Ihrer Website hochladen.
Eine genauere Erklärung finden Sie in unserer Anleitung, wie Sie die Ausführung von PHP in bestimmten WordPress-Verzeichnissen deaktivieren können.
Alternativ können Sie dies auch mit der oben erwähnten Härtungsfunktion des kostenlosen Sucuri-Plugins mit nur einem Klick erledigen.
Anmeldeversuche begrenzen
Standardmäßig erlaubt WordPress den Nutzern, sich so oft anzumelden, wie sie wollen. Dies macht Ihre WordPress-Website anfällig für Brute-Force-Angriffe. Dabei versuchen Hacker, Passwörter zu knacken, indem sie versuchen, sich mit verschiedenen Kombinationen anzumelden.
Dies lässt sich leicht beheben, indem die Anzahl der fehlgeschlagenen Anmeldeversuche eines Benutzers begrenzt wird. Wenn Sie die bereits erwähnte Web Application Firewall verwenden, wird dies automatisch behoben.
Wenn Sie die Firewall jedoch nicht eingerichtet haben, können Sie die folgenden Schritte ausführen.
Zunächst müssen Sie das kostenlose Plugin Limit Login Attempts Reloaded installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Nach der Aktivierung beginnt das Plugin, die Anzahl der Anmeldeversuche der Benutzer zu begrenzen.
Die Standardeinstellungen sind für die meisten Websites geeignet. Sie können sie jedoch anpassen, indem Sie die Seite Einstellungen “ Anmeldeversuche beschränken aufrufen und oben auf die Registerkarte „Einstellungen“ klicken. Um zum Beispiel die GDPR-Gesetze einzuhalten, können Sie auf das Kontrollkästchen „GDPR-Compliance“ klicken.
Detaillierte Anweisungen finden Sie in unserem Leitfaden darüber, wie und warum Sie Anmeldeversuche in WordPress begrenzen sollten.
Zwei-Faktor-Authentifizierung (2FA) hinzufügen
Die Zwei-Faktor-Authentifizierungsmethode erfordert 2 verschiedene Schritte für die Anmeldung der Benutzer:
- Der erste Schritt ist die Eingabe des Benutzernamens und des Passworts.
- Im zweiten Schritt müssen Sie einen Code von einem Gerät oder einer App in Ihrem Besitz verwenden, auf das bzw. die Hacker keinen Zugriff haben, z. B. von Ihrem Smartphone.
Bei den meisten großen Online-Websites wie Google, Facebook und Twitter können Sie diese Funktion für Ihre Konten aktivieren. Sie können die gleiche Funktion auch zu Ihrer WordPress-Website hinzufügen.
Zunächst müssen Sie das Plugin WP 2FA – Two-factor Authentication installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.
Ein benutzerfreundlicher Assistent hilft Ihnen bei der Einrichtung des Plugins und anschließend erhalten Sie einen QR-Code.
Sie müssen den QR-Code mit einer Authentifizierungs-App auf Ihrem Telefon scannen, z. B. Google Authenticator, Authy und LastPass Authenticator.
Wir empfehlen die Verwendung von LastPass Authenticator oder Authy, da sie es Ihnen ermöglichen, Ihre Konten in der Cloud zu sichern. Dies ist sehr nützlich, falls Ihr Telefon verloren geht, zurückgesetzt wird oder Sie ein neues Telefon kaufen. Alle Ihre Kontoanmeldungen lassen sich leicht wiederherstellen.
Die meisten dieser Apps funktionieren auf ähnliche Weise, und wenn Sie Authy verwenden, klicken Sie einfach auf die Schaltfläche „+“ oder „Konto hinzufügen“ in der Authentifizierungs-App.
Damit können Sie den QR-Code auf Ihrem Computer mit der Kamera Ihres Telefons scannen. Möglicherweise müssen Sie der App zunächst die Berechtigung zum Zugriff auf die Kamera erteilen.
Nachdem Sie dem Konto einen Namen gegeben haben, können Sie es speichern.
Wenn Sie sich das nächste Mal bei Ihrer Website anmelden, werden Sie nach der Eingabe Ihres Passworts nach dem Code für die Zwei-Faktor-Authentifizierung gefragt.
Öffnen Sie einfach die Authenticator-App auf Ihrem Telefon, und Sie sehen einen einmaligen Code.
Sie können dann den Code auf Ihrer Website eingeben, um die Anmeldung abzuschließen.
Ändern des WordPress-Datenbankpräfixes
WordPress verwendet standardmäßig wp_ als Präfix für alle Tabellen in Ihrer WordPress-Datenbank.
Wenn Ihre WordPress-Website das Standard-Datenbankpräfix verwendet, ist es für Hacker einfacher, den Namen Ihrer Tabelle zu erraten. Deshalb empfehlen wir, es zu ändern.
Sie können Ihr Datenbank-Präfix ändern, indem Sie unserer Schritt-für-Schritt-Anleitung folgen, wie Sie das WordPress-Datenbank-Präfix ändern, um die Sicherheit zu verbessern.
Hinweis: Das Ändern des Datenbankpräfixes kann Ihre Website zerstören, wenn es nicht richtig gemacht wird. Tun Sie dies nur, wenn Sie sich mit Ihren Programmierkenntnissen sicher fühlen.
Passwortschutz für WordPress Admin und Login-Seite
Normalerweise können Hacker Ihren wp-admin-Ordner und Ihre Anmeldeseite ohne jegliche Einschränkungen anfordern. Dies ermöglicht ihnen, ihre Hacking-Tricks auszuprobieren oder DDoS-Angriffe durchzuführen.
Sie können einen zusätzlichen Passwortschutz auf Server-Ebene hinzufügen, der diese Anfragen effektiv blockiert.
Folgen Sie einfach unserer Schritt-für-Schritt-Anleitung, wie Sie Ihr WordPress-Admin-Verzeichnis (wp-admin) mit einem Passwort schützen können.
Verzeichnisindizierung und -durchsuchung deaktivieren
Wenn Sie die Adresse eines Ihrer Website-Ordner in einen Webbrowser eingeben, wird Ihnen die Webseite index.html angezeigt, sofern sie existiert. Existiert sie nicht, wird Ihnen stattdessen eine Liste der Dateien in diesem Ordner angezeigt. Dies wird als „Directory Browsing“ bezeichnet.
Das Durchsuchen von Verzeichnissen kann von Hackern genutzt werden, um herauszufinden, ob Sie Dateien mit bekannten Sicherheitslücken haben, so dass sie diese Dateien ausnutzen können, um sich Zugang zu verschaffen.
Das Durchsuchen von Verzeichnissen kann auch von anderen Personen verwendet werden, um Ihre Dateien einzusehen, Bilder zu kopieren, Ihre Verzeichnisstruktur herauszufinden und andere Informationen zu erhalten. Aus diesem Grund wird dringend empfohlen, die Verzeichnisindizierung und das Durchsuchen zu deaktivieren.
Sie müssen sich mit FTP oder dem Dateimanager Ihres Hosting-Anbieters mit Ihrer Website verbinden. Suchen Sie dann die .htaccess-Datei im Stammverzeichnis Ihrer Website. Wenn Sie sie dort nicht sehen können, lesen Sie unsere Anleitung, warum Sie die .htaccess-Datei in WordPress nicht sehen können.
Danach müssen Sie die folgende Zeile am Ende der .htaccess-Datei hinzufügen:
Optionen -Indizes
Vergessen Sie nicht, die .htaccess-Datei zu speichern und wieder auf Ihre Website hochzuladen.
Weitere Informationen zu diesem Thema finden Sie in unserem Artikel über die Deaktivierung des Directory Browsing in WordPress.
XML-RPC in WordPress deaktivieren
XML-RPC ist eine WordPress-Kern-API, die dabei hilft, Ihre WordPress-Website mit Web- und Mobilanwendungen zu verbinden. Sie ist seit WordPress 3.5 standardmäßig aktiviert.
Aufgrund seiner Leistungsfähigkeit kann XML-RPC jedoch Brute-Force-Angriffe erheblich verstärken.
Wenn ein Hacker zum Beispiel 500 verschiedene Passwörter auf Ihrer Website ausprobieren wollte, müsste er 500 verschiedene Anmeldeversuche unternehmen. Dies kann durch das Limit Login Attempts Reloaded Plugin abgefangen und blockiert werden.
Aber mit XML-RPC kann ein Hacker die Funktion system.multicall verwenden, um Tausende von Passwörtern mit sagen wir 20 oder 50 Anfragen auszuprobieren.
Wenn Sie XML-RPC nicht verwenden, empfehlen wir Ihnen daher, es zu deaktivieren.
Es gibt 3 Möglichkeiten, XML-RPC in WordPress zu deaktivieren, und wir haben alle in unserer Schritt-für-Schritt-Anleitung zur Deaktivierung von XML-RPC in WordPress behandelt.
Tipp: Die .htaccess-Methode ist die beste, weil sie am wenigsten ressourcenintensiv ist. Die anderen Methoden sind für Anfänger einfacher.
Alternativ dazu wird dies automatisch erledigt, wenn Sie, wie bereits erwähnt, eine Web Application Firewall (WAF) verwenden.
Untätige Benutzer in WordPress automatisch abmelden
Eingeloggte Benutzer können sich manchmal vom Bildschirm entfernen, was ein Sicherheitsrisiko darstellt. Jemand kann ihre Sitzung entführen, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.
Aus diesem Grund melden viele Bank- und Finanzseiten inaktive Benutzer automatisch ab. Sie können eine ähnliche Funktion auch auf Ihrer WordPress-Website einrichten.
Sie müssen das Plugin “ Inactive Logout“ installieren und aktivieren. Rufen Sie nach der Aktivierung die Seite Einstellungen “ Inaktives Logout auf, um die Logout-Einstellungen anzupassen.
Legen Sie einfach die Zeitdauer fest und fügen Sie eine Abmeldemeldung hinzu. Vergessen Sie dann nicht, auf die Schaltfläche „Änderungen speichern“ unten auf der Seite zu klicken, um Ihre Einstellungen zu speichern.
Eine Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zum automatischen Abmelden untätiger Benutzer in WordPress.
Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm
Durch das Hinzufügen einer Sicherheitsfrage zu Ihrem WordPress-Anmeldebildschirm wird es noch schwieriger für jemanden, sich unbefugt Zugang zu verschaffen.
Sie können Sicherheitsfragen hinzufügen, indem Sie das Zwei-Faktor-Authentifizierungs-Plugin installieren. Nach der Aktivierung müssen Sie die Seite Mehrfaktor-Authentifizierung “ Zweifaktor besuchen, um die Einstellungen des Plugins zu konfigurieren.
Damit können Sie verschiedene Arten der Zwei-Faktor-Authentifizierung zu Ihrer Website hinzufügen, einschließlich Sicherheitsfragen.
Ausführlichere Anweisungen finden Sie in unserem Tutorial über das Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm.
Scannen von WordPress auf Malware und Schwachstellen
Wenn Sie ein WordPress-Sicherheits-Plugin installiert haben, wird es routinemäßig nach Malware und Anzeichen von Sicherheitsverletzungen suchen.
Wenn Sie jedoch einen plötzlichen Rückgang des Website-Traffics oder des Suchrankings feststellen, sollten Sie manuell nach Malware suchen. Sie können dies mit Ihrem WordPress-Sicherheits-Plugin oder einem der besten Malware- und Sicherheitsscanner tun.
Die Durchführung dieser Online-Scans ist ganz einfach. Sie geben einfach die URL Ihrer Website ein, und die Crawler durchsuchen Ihre Website nach bekannter Malware und bösartigem Code.
Denken Sie daran, dass die meisten WordPress-Sicherheitsscanner Sie nur warnen können, wenn Ihre Website Malware enthält. Sie können die Malware nicht entfernen oder eine gehackte WordPress-Website säubern.
Dies bringt uns zum nächsten Abschnitt, der Bereinigung von Malware und gehackten WordPress-Seiten.
Eine gehackte WordPress-Website reparieren
Viele WordPress-Benutzer erkennen die Bedeutung von Backups und Website-Sicherheit erst, wenn ihre Website gehackt wird.
Hacker installieren Hintertüren auf den betroffenen Websites, und wenn diese Hintertüren nicht ordnungsgemäß repariert werden, wird Ihre Website wahrscheinlich erneut gehackt.
Für die Abenteuerlustigen und Heimwerker haben wir eine Schritt-für-Schritt-Anleitung zur Behebung einer gehackten WordPress-Website zusammengestellt.
Die Bereinigung einer WordPress-Website kann jedoch sehr schwierig und zeitaufwändig sein. Wir raten dazu, dies von einem Profi erledigen zu lassen.
Wenn Sie für die Verwendung des oben erwähnten Sucuri-Sicherheits-Plugins bezahlen, ist die Reparatur einer gehackten Website im Preis inbegriffen.
Sie können auch den WPBeginner Pro Services Reparaturservice für gehackte Websites nutzen. Dies erfordert eine einmalige Zahlung von $249 und beinhaltet eine erstklassige Dateibestimmung, die Entfernung von bösartigem Code, Software- und Sicherheitsupdates und ein bereinigtes Website-Backup.
Wir garantieren, dass wir Ihre Website reparieren oder Ihnen Ihr Geld zurückgeben. Außerdem decken wir Ihre Website 30 Tage lang nach der Reparatur ab. Wenn Sie also in dieser Zeit erneut gehackt werden, sind wir zur Stelle, um das Problem zu beheben.
Wir säubern und sichern WordPress-Websites seit mehr als 10 Jahren. Sie können also beruhigt sein, wenn Sie unseren Service zur Reparatur gehackter Websites nutzen.
Bonus-Tipp: Beauftragen Sie einen WordPress-Wartungsdienst
Als vielbeschäftigter Kleinunternehmer haben Sie vielleicht keine Zeit, die Sicherheit Ihrer Website zu überwachen und sie vor Schwachstellen zu schützen. Um Ihnen die Arbeit zu erleichtern, können Sie einen WordPress-Wartungsservice für die 24/7-Sicherheitsüberwachung beauftragen.
WPBeginner Pro Services bietet umfassende WordPress-Website-Wartung zu einem erschwinglichen Preis. Dazu gehören Sicherheitsüberwachung, regelmäßige Cloud-Backups, WordPress-Updates, Überwachung der Betriebszeit und vieles mehr.
Wählen Sie einfach ein monatliches Wartungspaket, das Ihren Bedürfnissen entspricht, und Sie erhalten eine sicherere WordPress-Website und zusätzliche freie Zeit, um an anderen Aspekten Ihres Unternehmens zu arbeiten.
Wenn Sie weitere Empfehlungen wünschen, können Sie sich unsere Auswahl der besten Website-Wartungsdienste für WordPress ansehen.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die besten Praktiken für WordPress-Sicherheit zu lernen und die besten WordPress-Sicherheits-Plugins für Ihre Website zu entdecken. Vielleicht interessieren Sie sich auch für unseren ultimativen WordPress-SEO-Leitfaden zur Verbesserung Ihrer SEO-Rankings und unsere Expertentipps zur Beschleunigung von WordPress.
Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.
Syed Balkhi says
Hey WPBeginner readers,
Did you know you can win exciting prizes by commenting on WPBeginner?
Every month, our top blog commenters will win HUGE rewards, including premium WordPress plugin licenses and cash prizes.
You can get more details about the contest from here.
Start sharing your thoughts below to stand a chance to win!
Leanne says
This is one of the best tutorial sites (on any subject matter) I have found. Thank you I will refer wpbeginner to others – awesome site!
WPBeginner Support says
You’re welcome and glad you’ve found our content helpful
Admin
Daniel says
You know there are guys charging more than $50 or $100 dollars to teach you how to do all of this, and you gave it for free! Thanks heaps guys!
WPBeginner Support says
You’re welcome
Admin
Power says
Thanks for the article, its really useful
WPBeginner Support says
You’re welcome
Admin
Mydas says
This was super-useful. I have the coding skills to implement all of it, and now I can take much better care of my and my clients‘ WordPress installations. Thank you for the info, it’s so complete that I can’t believe it’s free xD
WPBeginner Support says
You’re welcome, glad our guide was helpful
Admin
Splendor Edesiri says
Please do I need a VPN to access my WordPress site from the backend as part of my WordPress site security.
WPBeginner Support says
No, that is not required
Admin
Kam says
Thank you for this article. It is essential reading!
If you have a host like Bluehost, is it essential to have backup with a plugin such as Updraft plus + remote storage? After all, hosting providers should be providing backup?
WPBeginner Support says
While some hosts offer backups, we still recommend creating your own backups for safety
Admin
Kyle B. says
Changing the database prefix won’t make any difference. Other than that, not a bad article.
WPBeginner Support says
Thanks for sharing your opinion and glad you liked our article
Admin
kalmoa says
just an FYI, with Nginx there is no directory-level configuration file like Apache’s .htaccess. All configuration has to be done at the server level by an administrator, and WordPress cannot modify the configuration, like it can with Apache. So the part about ‚Disable PHP File Execution‘, cannot be completed by wordpress installs running on Nginx. That includes myself, who is running my wordpress install on Vultr. Their one-click wordpress install gets deployed on Nginx (ubuntu 18.04)
WPBeginner Support says
Thank you for sharing this for the users who specifically are using Nginx for their site.
Admin
Tom says
What is the best method to update plugins if I have several that need updating? Update one at a time and see if the updated plugin breaks any of the functionality on the website?
WPBeginner Support says
If you are concerned an update would break your site, we would recommend testing the update by following our guide on how to create a staging environment below:
https://www.wpbeginner.com/wp-tutorials/how-to-create-staging-environment-for-a-wordpress-site/
Admin
Kartik Satija says
Amazing article, very well articulated and documented.
Thank you all so much for this.
More power to you guys, keep up the good work.
Cheers,
Kartik.
WPBeginner Support says
Glad you found our guide helpful
Admin
MIMIFTAH says
Very Informative content. Thanks
WPBeginner Support says
You’re welcome
Admin
Liz says
Great article. I have a question about the hardening options. I read that enabling hardening on all options can cause some plugins or the theme to break/not work properly. If this happens, how difficult is it to fix? It seems like there’s more to it than just reverting the hardening option. Any insight you could offer would be greatly appreciated. Thanks!
WPBeginner Support says
It would depend on the specific hardening recommendation, plugin, and error message for the difficulty should an error appear. Otherwise, most plugins shouldn’t have an issue
Admin
Gary Starling says
Very helpful suggestions and well explained from the basic to the complex
Thank you four your explanations
WPBeginner Support says
You’re welcome, glad our article could be helpful
Admin
Andrei says
Hi guys,
After the first user enumeration, brute force a security plugin will block that IP address.
If you password protect the wp-admin directory the plugin can no longer block that IP.
Is that a correct assessment?
WPBeginner Support says
Correct, there would be a similar load to a blocked IP but if you need many new users to access your site then limiting login attempts would be better than password protecting your wp-admin
Admin
Andrei says
Ok, I finally understood how this works and sharing here for everyone. Password protecting wp-admin is done at the server (Apache/Nginx) level. If a user enumeration, brute force is unable to bypass the server level, it would not be able to touch PHP/MySQL. Thus, password protecting wp-admin does not put additional load on the database.
Peter says
Very informative and helpful, I have configured all the hardening procedure you mentioned, Thanks a lot.
WPBeginner Support says
You’re welcome, glad our guide was helpful
Admin
Aqib khan says
i will always follow you.i will always love you and always share such a fresh and cool content to make us smile.Thank You.
WPBeginner Support says
Thank you, glad you’ve enjoyed our content
Admin
mahmoud says
I love this site. you’re offering precious information.
I’m a beginner and this is helpful.
but can I only have a strong password and disable indexing to do the matter?
what about all these plugins I think they will affect the site speed or this not installed on the site?
WPBeginner Support says
For your concern with plugins slowing down your site, you shouldn’t need to worry, we explain our reasoning behind this here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Krishna says
Hi WP Beginner Team,
Thanks for such a brief explanation of WordPress security. This article was very useful and let know the value of wp security for the users and website owner.
THANKS AGAIN…
WPBeginner Support says
You’re welcome, glad our article was helpful
Admin
Kushal says
I used all plugin that you mentioned sucuri, itheams, wp serber and jetpack. How many plugin can I use on my website.
WPBeginner Support says
We would recommend sticking with only one plugin for a specific feature but for in general how many plugins to use you would want to take a look at our article here: https://www.wpbeginner.com/opinion/how-many-wordpress-plugins-should-you-install-on-your-site/
Admin
Leighann says
This was SO helpful. Thanks for the information and saving me so much time!
WPBeginner Support says
You’re welcome, glad our guide could be helpful
Admin
Dietrich says
Hi
Is it okay to use Sucuri and Wordfence at the same time? I installed Wordfence since Sucuri’s free version doesn’t have a firewall feature.
WPBeginner Support says
We would not recommend using both, multiple security tools can conflict with each other and cause issues with your site.
Admin
Yiannis Christodoulou says
Very helpful article.
Thank you for sharing.
WPBeginner Support says
You’re welcome, glad our article could help
Admin
Steve Schultz says
Your free Sucuri Security plugin link is broken … 404 error.
WPBeginner Support says
Thanks for letting us know, the link should be fixed
Admin
Monty parihar says
Now my website is secured, after read your post immidiatly we install security plugin. Thank u WP Beginner.
WPBeginner Support says
You’re welcome
Admin
Melvin Adame says
Amazing read! Security should always be the #1 priority for any website owner, for their sake and their visitors.
WPBeginner Support says
Thank you, glad you like our content
Admin
Adil says
Thanks for all this info!
WPBeginner Support says
You’re welcome
Admin
Mark Bunner says
Some good tips here. I have already used a lot of them; but it gives a few other areas to think about.
WPBeginner Support says
Thank you, glad you like our recommendations
Admin
Chukwuemeka Ebuka says
Am very grateful for this article, all thanks to wpbeginner.com.
WPBeginner Support says
You’re welcome, glad our article could be helpful
Admin
Heidi says
Great article, thanks! I think I’ve done most of these things now (except ones requiring coding). I did however have a problem setting a password for the admin folder. While I worked out how to do this in cPanel (under ‚directory privacy‘), when I went back to my dashboard I found I was locked out. Then I spent over an hour on chat support with Bluehost only to discover what I suspected – that when you log in to WP from Bluehost it takes you straight to the admin area, so there is no opportunity to login to the admin folder, which means you just get locked out. Guess this is a problem with Bluehost and the only solution they gave me was install a plugin
WPBeginner Support says
If you’re using their link from the hosting dashboard to log into your site that may be true but if you add /wp-admin to your domain then it should take you to the login page which will bring up the additional login requirement
Admin
Heidi says
Ok great thanks, I’ll try that.
Julian Song says
Awesome article on security. Setup WordPress is easy, but to managed it need lots of study & research. Your blog helps the community more than you can imagine. I even share your blog on the recent WordPress meet-up as one of the best guidelines.
WPBeginner Support says
Thank you for your kind words and sharing our articles
Admin
Malith says
Thank you very much!
WPBeginner Support says
You’re welcome, glad our guide could be helpful
Admin
Shiva Prasad says
Thanks for being a good mentor and for guiding me on the right path. I will always be thankful to you.
WPBeginner Support says
Glad our guides could help you
Admin
Majid says
Hi,
I am new to wordpress, I am using bluehost to host my website, when I cliked on the wordpress button, it automatically took me to cPanel, without asking any password, which passwords are we talking about?
P.S at the right top corner I could see Howdy, my name…does that mean is that my username?
I do’t remember installing wordpress on bluehost, neither did I enter any username or password separately for wordpress.
Please help.
WPBeginner Support says
That is BlueHost’s tool to make setting up your WordPress site easier, our article is talking about the password for your WordPress site. You can change your password for your site under Users>Your Profile. The name next to Howdy should be your username.
Admin
Terence Vickers says
You may have a typo in the XML-RPC section which is a bit confusing.
Presently reads: „This is why if you’re not using XML-RPC, then we recommend that you disable it.“
If I’m not using i There would likely be no way to disable it.
WPBeginner Support says
Apologies for any confusion, with that statement we mean if you’re not using it for a specific plugin or other need then we would recommend disabling it rather than meaning if it is disabled to disable it. We’ll look into clarifying that
Admin
Syed Gallani says
I understand keeping wordpress updated is essential for security, but is it really necessary ,from security point of view, to update all the plugins. How outdated plugins can make your website more prone to being hacked?
WPBeginner Support says
It would depend on the plugin for how it could make your site vulnerable but some plugins may have code that could be out of date for a newly discovered issue with a piece of code.
Admin
David Anozie says
A big thank you! Your the boss.
WPBeginner Support says
Thank you for being one of our readers
Admin
Nick says
Would blocking Search Engine Spiders (via robots.txt) from Indexing directories help with security?
WPBeginner Support says
No, it would only mean those search crawlers would not look at your site.
Admin
寒星 says
It’s turely helpful to maintaining WP. I love it and thank you so much.
WPBeginner Support says
You’re welcome, glad our article was helpful
Admin
peg says
i’m learning the hard way! : ) i’m so glad to have found you. i have a hacked 5-year old site hosted on godaddy (can’t get into the admin at all) … they want $300 to fix it, so i’m rebuilding on bluehost and implementing your security suggestions. looking forward to learning much more! thank you so much for this resource.
WPBeginner Support says
You’re welcome, glad our guide can help
Admin
Jeff Moyer says
Great comprehensive list thank you! Limiting the amount of login attempts I find is a big one since it will discourage a lot of hackers right from the get go. It might be frustrating if you lost or forget your passwords but still well worth it.
WPBeginner Support says
You’re welcome, glad you liked our article
Admin
Tanmay Kapse says
An awesomely detailed post!! each and every thing is described perfectly. Keep up the good work
WPBeginner Support says
Thank you, glad you liked our content
Admin
Sunny Chawla says
Much obliged to you for supportive page improve my site
WPBeginner Support says
Glad our guide could be helpful
Admin
Santhosh Naikar says
What are things I need to worry when it is hosted on a internal network[Has access to only systems with in our office network]?
WPBeginner Support says
Your main concern for an intranet would be to ensure each user has the correct privileges for their role, after that it would be protecting yourself from brute force attacks and similar.
Admin
steven suslick says
I find this and many of the posts very helpful. I have a hack related question. Google analytics is reporting strange pages that do not actually existing in my posts. The all seem to have a /?s= for example /?s=dox. I can not seem to locate source any suggestions?
WPBeginner Support says
Those pages are from users using the search on your site, for the second someone searched for the word dox
Admin
Emmanuel Ikechukwu says
This is the best wordpress online tutor i have come across so far.
WPBeginner Support says
Glad our articles are helpful
Admin
Bobbie Camp says
Found this article to be very helpful. I am very new and not „techy“ and need all the assistance I can get. Appreciate your easy to read instructions.
WPBeginner Support says
Glad our articles could help
Admin
Jemes says
It is very helpful. Thanks
WPBeginner Support says
You’re welcome
Admin
NICHOLAS AMOL GOMES says
Thank you for helpful page improve my site
WPBeginner Support says
You’re welcome
Admin
Brad Vincent says
Hey guys,
I must agree with your mentions of Sucuri – they have sorted out a couple of hacked sites of mine over the years. Worth every penny!
I am really loving these extended posts with all the info I need. I have been following your website speed post and that has made a big difference to my sites. After I have finished with that I will be following this one for sure.
Awesome work and much appreciated.
WPBeginner Support says
Thank you, glad you find our articles helpful
Admin
Brian says
What are your thoughts on Wordfence and Sucuri on the same WP installation? They seem to have some similar functionality so was wondering how much more I get with both versus just one security tool. Is Wordfence a reasonable alternative?
WPBeginner Support says
We would recommend only one at a time to prevent conflicts between the plugins.
Admin
Mark says
I use Wordfence and Sucuri for different functions. While they may at first appear to be competitors, they are actually complementary. I’ve had no issues running both … so far … but of course there are incompatibilities among plugins in general.