Fachlich kompetent
Äußerst flexibel
Absolut zuverlässig
WordPress

Ultimativer Leitfaden für ein sicheres WordPress-System

Stefan ThalerWordPress Experte | Seokratie Österreich

Du möchtest verhindern, dass Deine WordPress-Website gehackt wird? Wie Du das beliebteste Content-Management-System der Welt schützt und wie Du Deine Website sicher für Dich und Deine Besucher machst, verrate ich Dir in diesem Beitrag.

sicheres WordPress - ultimativer Leitfaden

Sichere das meist genutzte Content-Management-System der Welt und schütze dadurch Deine Website

Ist WordPress ein sicheres System?

Grundsätzlich ist WordPress ein sicheres Content-Management-System. Trotzdem werden jährlich tausende WordPress-Websites gehackt. Doch warum ist das so? Durch das breite Anwendungsspektrum von WordPress ist es mit über 65% Marktanteil das meistgenutzte Content-Management-System der Welt (Quelle: w3techs / Stand: 02/2022). Gerade daher ist es für Hacker ein „begehrtes“ Angriffsziel. Die häufigste Ursache für erfolgreiche Angriffe auf WordPress-Websites sind veraltete Systeme bzw. veraltete Erweiterungen (Plugins), sowie eine sogenannte SQL-Injection (Angriff auf Deine Datenbank).

Statistik: Verwendung der 2022 verwendeten CMS-Systeme weltweit

Verwendung der 2022 verwendeten CMS-Systeme weltweit

Darum solltest Du Deine WordPress-Website sichern

Ganz einfach: Ein Hack Deiner Website verursacht einen sehr hohen Zeitaufwand (Offline-Stellen der Seite, Rechner und Server überprüfen, Neuinstallation usw.) und Umsatzverlust (Besucher-/Traffic-Strom ist unterbrochen, es kommen keine Anfragen/Leads herein). Im schlimmsten Fall büßt Du sogar aufgebautes Vertrauen bei Deinen Kunden und schädigst den Ruf Deiner Marke.

Quick-Fact: Ein im Jahr 2020 von IBM veröffentlichter Bericht ergab, dass es durchschnittlich 280 Tage dauert, bis einem Website-Betreiber ein Hack überhaupt auffällt. Man kann sich in etwa vorstellen, welcher Schaden in 280 Tagen angerichtet werden kann. Sorge daher vor!

Allgemeine Sicherheits-Tipps

Verwende ein gültiges SSL-Zertifikat

„SSL“ steht für Secure Sockets Layer – das bedeutet, dass Deine Website-Daten verschlüsselt übertragen werden. Doch wozu benötigst Du ein SSL-Zertifikat für Deine WordPress-Website?

  1. Sicherheit & Vertrauen: Ein SSL-Zertifikat verschlüsselt bei der Übermittlung alle Daten (z.B. eingegebene Formulardaten oder persönliche Daten bei Bestellabschlüssen). Web-Browser zeigen Besuchern Deine Website als vertrauenswürdig an – somit steigerst Du zusätzlich zur Sicherheit auch das Vertrauen Deiner User.
  2. Ranking: Bereits 2014 gab Google bekannt, dass deren Algorithmen berücksichtigen ob sichere und verschlüsselte Verbindungen verwendet werden.

Die meisten Hoster bieten kostenlos eine SSL-Absicherung mittels „Let’s encrypt Zertifikat“ an.

Quick Fact: Ein Let’s encrypt Zertifikat ist im Gegensatz zu kostenpflichtigen SSL-Zertifikaten nur 90 Tage gültig, es wird aber in der Regel vom Hoster automatisch nach Ablaufzeit verlängert.

Um die Umleitung von http auf https zu garantieren, solltest Du auf jeden Fall in die .htaccess-Datei Deines Servers folgenden Code hinterlegen:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

Sichere Installation von WordPress

Wähle einen individuellen Datenbank-Tabellenpräfix

Bei der Installation von WordPress wirst Du nach einer gewünschten Datenbank-Tabellenpräfix gefragt. WordPress ist ein datenbankbasiertes System und deshalb ist die Datenbank für Hacker ein beliebtes Ziel. Als Standard ist bei der Installation das Präfix „wp_“ hinterlegt. Warum solltest Du dieses Standardpräfix nicht verwenden? Mit dem WordPress-Standardpräfix machst Du es dem Hacker leicht, da nicht lange nach Deiner Tabellenpräfix gesucht werden muss.

Solltest Du bereits die Installation mit dem Standardpräfix durchgeführt haben, kann ich Dir folgendes WordPress-Plugin zur nachträglichen Änderung empfehlen: Brozzme DB Prefix & Tools Addons.

Einfache Änderung der Datenbank-Tabellenpräfix mittels Plugin

Einfache Änderung der Datenbank-Tabellenpräfix mittels Plugin

Räume das Root-Verzeichnis nach der Installation auf

Normalerweise sollten folgende Dateien aus dem Root-Verzeichnis automatisch gelöscht werden: installation.php und update.php. Am besten prüfst Du das trotzdem nochmal nach. Viele Hoster bieten automatisierte Installationsverfahren an und ich habe schon oft erlebt, dass je nach Hoster diese Dateien nach der Installation noch vorhanden sind. Lösche am besten auch die readme.html Datei und (wenn vorhanden) auch die liesmich.html. Über diese Dateien können Hacker die WordPress-Version Deiner Seite herausfinden und sind somit schon wieder einen Schritt weiter. Du siehst bereits, dass es auch kleine Maßnahmen Hackern schwerer machen Deine Website zu knacken.

Halte WordPress und Dein System immer Up-to-date

Arbeite mit der aktueller WordPress Version

Bei jeder Aktualisierung des WordPress-Core werden auch bekannte Sicherheitslücken geschlossen. Laut aktuellen Statistiken von wordpress.org verwenden jedoch nur rund 40% aller WordPress-User die aktuelle Version (Stand: 03/2022).

Über 40% der WordPress-Benutzer verwenden eine veraltete Version

Über 40% der WordPress-Benutzer verwenden eine veraltete Version

Verwende also möglichst immer die aktuelle WordPress-Version. Natürlich musst Du dabei auf die Kompatibilität Deiner verwendeten Plugins achten. Im Zweifelsfall empfehle ich aber immer eine aktuelle WordPress-Version einem nicht kompatiblen Plugin vorzuziehen.

Aktualisiere Deine PHP-Version

Das Aktualisieren von Deiner PHP-Version hat mehrere Vorteile: Natürlich steht an erster Stelle die Sicherheit, jedoch sind neue PHP-Versionen oft auch schneller, benötigen weniger Speicher und enthalten auch neue Funktionen und Verbesserungen. Laut wordpress.org verwenden nur knapp 4% aller WordPress-User eine der aktuellen 8.x PHP-Versionen. WordPress empfiehlt zwar die Verwendung einer PHP-Version ab 7.4, jedoch wird in nächster Zeit auch WordPress den Sprung auf die Version 8.x wagen (müssen).

Verwendete PHP-Versionen bei WordPress weltweit

Verwendete PHP-Versionen bei WordPress weltweit

Bevor Du Deine PHP-Version updatest, erstelle unbedingt ein Backup Deiner Website, um im Zweifelsfall wieder downgraden zu können. Im Anschluss aktualisierst Du den WordPress-Core, Dein Theme und Deine Plugins. Erst dann solltest Du Deine PHP-Version updaten. Solltest Du Deine PHP-Version nicht selbst updaten können, frag einfach Deinen Hoster. Dieser ist Dir dabei sicher behilflich.

Verwende aktuelle Themes und Plugins

Wie bei der Aktualisierung vom WordPress-Core, werden auch bei neuen Versionen von Plugins und Themes bekannte Sicherheitslücken geschlossen. Auch hier gilt: vor jedem Update unbedingt ein Backup erstellen. Ich empfehle ebenso, die automatische Aktualisierung von Plugins zu deaktivieren, um unerwünschte Aktualisierungen zu vermeiden. Lieber einmal pro Woche auf Aktualisierungen prüfen und im Anschluss die Seite checken, als auf das System zu vertrauen und plötzlich eine nicht funktionierende Website zu haben.

So sicherst Du Dein WordPress-Backend

Verwende sichere Benutzernamen und Passwörter

Der meistgenutzte Word-Press-Benutzername ist „admin“. Früher wurde dieser Benutzer automatisch von WordPress bei der Installation angelegt. Aber auch heute gibt es noch unzählige WordPress-Websites mit diesem Benutzer. Benutze einen individuellen Benutzernamen aus einer beliebigen Buchstabenkombination – klopf einfach mal auf Deine Tastatur. 😉 Dein Spitzname sowie Dein öffentlicher Name sollten auf keinen Fall im Benutzernamen enthalten sein, denn dies erscheinen in den Autorenarchiven:

Im Backend soll sich Dein Benutzername vom Spitznamen und vom öffentlichen Namen unterscheiden

Im Backend soll sich Dein Benutzername vom Spitznamen und vom öffentlichen Namen unterscheiden

Dein öffentlicher Name ist im Frontend in der URL sichtbar:

Der öffentliche Name ist im Frontend in der URL sichtbar

Auch bei den Passwörtern solltest Du unbedingt auf sichere Passwörter setzen. Laut einer Übersicht von nordpass ist das häufigste verwendete Passwort immer noch 123456. Nicht gerade schwer zu erraten, oder? 😉

Meist verwendete Passwörter 2020 laut nordpass

Meist verwendete Passwörter 2020 laut nordpass

Die gesamte Liste der Top 200 häufigsten genutzten Passwörter findest Du hier: nordpass.com

Aber was ist ein sicheres Passwort?

  • Mindestens 12 Zeichen
  • Groß- und Kleinbuchstaben
  • Zahlen
  • Sonderzeichen wie z. B.: ?!_

Mein Tipp für Dich: Benutze einfach einen Passwortgenerator, wie z. B. https://www.passwort-generator.at/

Oder noch einfacher, bau Dir Eselsbrücken aus Akronymen. Das ist immer der erste Buchstabe in einem Wort: „Im Sommer 2020 hatte es jeden Tag mehr als 40 Grad im Schatten!“ wird zum Passwort: IS2020hejTma40GiS!

Nutze die 2-Faktor-Authentifizierung

Durch die 2-Faktor-Authentifizierung bei Anmeldung im WordPress-Backend kannst Du einen weiteren Schritt setzen, um Deine Seite sicherer zu gestalten. Nachdem Du Dich eingeloggt hast, musst Du zusätzlich einen Code eingeben, den Du per E-Mail oder direkt in einer Authentifizierungsapp erhältst. Tipp: Nutze dazu das Plugin Two-Factor – hier kostenlos erhältlich. Zusätzlich empfehle ich Dir die Authenticator App von Google – erhältlich für Android und iOS. Damit hast Du die zeitlich begrenzten Codes immer mit dabei.

Schränke die Login-Versuche ein

Zusätzlich zu den oben genannten Maßnahmen, solltest Du die Login-Versuche Deiner Benutzer einschränken. So wird eine IP-Adresse für Deine Website gesperrt, wenn jemand versucht sich mehrmals mit falschem Benutzernamen oder Passwort einzuloggen. Dazu benutze ich das Plugin Limit Login Attempts Reloaded. Du kannst Dich auch per E-Mail benachrichtigen lassen, falls jemand gesperrt wurde. Ebenso kannst Du IP-Adressen manuell sperren oder freigeben.

Einfache Einstellungen, um Login-Versuche zu limitieren

Einfache Einstellungen, um Login-Versuche zu limitieren

Beobachte die Logins

Um alle Logins im Blick zu behalten, empfehle ich Dir folgendes Plugin: Users Login Monitor. Dieses Plugin ist gut und einfach gecoded und gibt Dir direkt im Dashboard einen Überblick über eingeloggte User.

Überblick der eingeloggten User

Überblick der eingeloggten User

Sichere Deine Login-Seite mit .htaccess

Oft bieten Hoster diesen Service schon direkt an. Frag einfach Deinen Hoster, ob er das für Dich übernehmen kann. Besonders bei nginx-Servern ist dieser Schritt etwas komplizierter und Du solltest genau wissen was Du machst. Solltest Du einen apache-Server verwenden und FTP-Zugriff auf Deine Daten haben, kannst Du das aber auch ganz einfach selbst erledigen:

  1. Lege auf Deinem Server im Root-Verzeichnis jeweils eine Datei mit dem Namen .htpasswd und eine Datei mit dem Namen .htaccess an.
  2. Erstelle mit einem .htpasswd-Generator (z. B. https://htpasswdgenerator.de/) den Inhalt der .htpasswd Datei mit selbstgewähltem Benutzer und Passwort (sicheres Passwort mit Sonderzeichen und Zahlen).
    Der generierte Code sieht dann in etwa so aus:

    Benutzername: $apr1$78nz1roc$DjjXdT1S2SskJhrNdjgph1
  3. Kopiere Deinen generierten Code in die .htpasswd-Datei und sichere diese.
  4. Füge in die zuvor erstellte .htaccess folgenden Code ein:
    AuthName "Geschützer Bereich"
    AuthType Basic
    AuthUserFile /WP-Rootverzeichnis/.htpasswd
    require valid-user
    
    Order allow,deny
    Allow from all
    Satisfy any
  5. Und schon ist der Backend Bereich Deiner WordPress-Website um eine Stufe mehr geschützt.

Verwende Plugins und Themes nur aus sicheren Quellen

Achte darauf, dass Du Plugins und Themes nur aus sicheren Quellen installierst. Auch sollten diese immer vor kurzem aktualisiert worden sein und mit der aktuellen WordPress-Version kompatibel sein. Vertrauenswürdige Quellen sind unter anderem:

Lösche Standard-Themes

Solltest Du ein Standard-Theme von WordPress benutzen – wirf es raus. Du benötigst es ohnehin nicht und für Hacker sind Standard-Inhalte sowie Standard-Konfigurationen immer ein einfaches Ziel.

Erstelle regelmäßige ein Backup

Es gibt nichts Schlimmeres, als nach einer Hacker-Attacke mit leeren Händen dazustehen. Sichere deshalb Deine Seite regelmäßig, damit Du nach Cyber-Attacken Deine Website schnell wiederherstellen kannst. Ein Backup ist auch sinnvoll, wenn Aktualisierungen fehlschlagen und Du schnell wieder eine funktionierende Website haben willst.

Regelmäßige, automatisierte Backups sparen Zeit und Nerven

Regelmäßige, automatisierte Backups sparen Zeit und Nerven

Ich empfehle Dir das Plugin UpdraftPlus WordPress Backup Plugin. Bereits in der kostenlosen Version kannst Du die Sicherungen auf verschiedenen Orten (wie z. B. Google Drive, Dropbox, etc.) speichern lassen. Je nach vorhandenen Speicherkapazitäten, kannst Du beliebig oft Sicherungen erstellen und aufbewahren. Unbedingt solltest Du darauf achten, Datenbank und Dateien zu sichern, um wirklich auf alle Eventualitäten vorbereitet zu sein. Ich persönliche sichere aufgrund des geringen Speicherbedarfs die Datenbank 2x täglich und Dateien 1x täglich und bewahre alle Backups für mindestens eine Woche auf. Tipp: Sichere Deine Backups nicht auf dem gleichen Server wie Deine Website – so bist Du sicher, auch wenn der Hacker Zugriff auf Deine Serverdaten hat.

Schütze Deine Formulare

In meinem Beispiel zeige ich Dir, wie Du im Plugin „Contact Form 7“ ganz einfach Deine Kontaktformulare mittels Google reCAPTCHA schützen kannst. Auch bei anderen Formular-Plugins funktioniert die Einbindung auf ähnliche Weise.

Bei Contact Form 7 funktioniert das ganz einfach: Unter dem Menüpunkt Formulare >> Integration kann das reCAPTCHA v3 von Google direkt eingebunden werden. Der große Vorteil der v3 Version ist, dass keine klassischen Captcha Checkboxen zur Bestätigung verwendet werden müssen.

reCAPTCHA bei Contact Form 7 einbinden

reCAPTCHA bei Contact Form 7 einbinden

Als Erstes musst Du unter https://www.google.com/recaptcha/admin/create ein reCAPTCHA anlegen. Dazu benötigst Du ein Google Konto. Gib unter „Label“ einen Namen ein, um Dein reCAPTCHA auch später wiederzuerkennen (z. B. v3 für deinewebsite.at), dann wählst Du unter reCAPTCHA-Typ die Version 3 aus. Bei „Domains“ gibst Du Deine Website-Domain ein (z. B. deinewebsite.at) und bestätigst mit Enter. Nun kannst Du bei Inhaber noch weitere Website-Inhaber,  wie z. B. Deinen Webentwickler hinzufügen. Du musst noch die Nutzungsbedingungen akzeptieren und kannst Dir optional Benachrichtigungen senden lassen, falls Probleme mit dem reCAPTCHA auftauchen.

Beispiel für reCAPTCHA Integration

Beispiel für reCAPTCHA Integration

Mit Klick auf „Senden“ werden der Websiteschlüssel und der geheime Schlüssel erstellt. Diese Schlüssel musst Du nur im Plugin hinterlegen und schon sind Deine Formulare geschützt.

Verwende Safety Plugins

Der WordPress-Markt ist überschwemmt mit kostenlosen und kostenpflichtigen Plugins für die Sicherung Deiner Website. Empfehlenswert und ein absoluter Alleskönner ist hierbei Wordfence Security – Firewall & Malware Scan. Das Plugin hat eine integrierte Firewall und scannt Deine Seite regelmäßig nach Malware. Auch eine Zwei-Faktoren-Authentifizierung für Deinen Login ist bereits integriert.

Aus eigener Erfahrung kann ich das Plugin BBQ Firewall nicht empfehlen. Auf einigen Websites, bei denen ich das Plugin in Verwendung hatte, hat es den Google Bot sowie den Bot einiger Tools, wie
z. B. ahrefs blockiert.

Sperre die Kommentarfunktion

Solltest Du WordPress nicht als Blog verwenden, sondern einfach nur als Website, solltest Du die Kommentarfunktion sperren. Das geht ganz einfach in den WordPress-Einstellungen. Unter dem Menüpunkt Einstellungen >> Diskussion – deaktivierst Du einfach den Punkt „Erlaube Besuchern, neue Beiträge zu kommentieren“.

Sperre die Kommentarfunktion bei Seiten ohne Blogfunktion

Sperre die Kommentarfunktion bei Seiten ohne Blogfunktion

Profi-Tipps

Solltest Du einige (wenige) Programmierkenntnisse besitzen und Zugang zu den benötigten Dateien haben, habe ich noch ein paar ganz spezielle Tipps. Wichtig sind hier vor allem die functions.php Deines Child-Themes und die .htaccess-Datei Deines Servers. Solltest Du Dir nicht sicher sein, lass von diesen Dateien besser die Finger. 😊

Verstecke Deine WordPress-Version

Um Deine WordPress-Version zu verstecken, reicht ein kleiner Codesnippet. Kopiere folgenden Code in die functions.php Deines Child-Themes und schon kann niemand mehr Deine WordPress-Version sehen:

remove_action('wp_head', 'wp_generator');

Verwende HTTP-Security-Header

Wenn ein User Deine Website besucht, sendet Dein Server – einfach gesagt – eine HTTP-Header-Antwort zurück. In dieser Antwort informiert Dein Server den Browser Deines Besuchers über Fehlercodes (wie z. B. 404-Fehlerseite oder 500-Serverfehler), Cache-Informationen und andere Status. HTTP-Security-Header sind ein Teil dieser Antwort und werden verwendet, um Websites vor Bedrohungen zu schützen. Welche HTTP-Security-Header es gibt und wie diese im Einzelnen funktionieren, werde ich hier nicht näher erklären – das würde deutlich den Rahmen dieses Posts sprengen. 😉

Es gibt viele Plugins, mit welchen Du diesen HTTP-Security-Header in WordPress einbauen kannst
(z. B. HTTP-Headers). Am einfachsten funktioniert das jedoch direkt über die .htaccess-Datei. Füge einfach folgenden Code ein und Du bist auf der sicheren Seite:

<ifModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header set X-XSS-Protection "1; mode=block"
Header set X-Content-Type-Options nosniff
Header set X-Frame-Options DENY
Header set Referrer-Policy: no-referrer-when-downgrade
Header always set Content-Security-Policy "upgrade-insecure-requests"
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Header set Permissions-Policy "accelerometer=Origin(), autoplay=(), camera=(), gyroscope=(), magnetometer=(), microphone=(), payment=(), publickey-credentials-get=(), usb=()"
</ifModule>

Damit werden die wichtigsten HTTP-Security-Header gesetzt.

Unter https://securityheaders.com/ kannst Du Deine Website scannen und checken ob der HTTP-Security-Header bei Dir richtig implementiert ist.

Verhindere SQL-Injection

Eine SQL-Injection ist eine Attacke auf Deine Datenbank. Dadurch kann es sein, dass Hacker an sensible Daten Deiner Benutzer kommen oder Deine Website manipulieren können. Im Groben funktioniert eine SQL-Injection so: Theoretisch kann jeder Besucher in Deiner Datenbank Einträge erstellen, sei es über die Kommentarfunktion oder über ein Kontaktformular. Die eingegebenen Daten werden von WordPress direkt in die Datenbanktabellen übertragen. Hacker machen sich diese Eigenschaft gern zu nutzen und versuchen, indem sie Codes und Funktionen in die Datenbank übermitteln, so Zugriff auf Deine Datenbank zu erhalten. Klingt erschreckend einfach, nicht wahr?

Mit einer SQL-Injection können Einträge in Deiner Datenbank gehackt werden

Mit einer SQL-Injection können Einträge in Deiner Datenbank gehackt werden

Eine SQL-Injection kann man leider nie vollständig umgehen, jedoch schützt Dich folgender Code in 99% der Fälle. Mit dem nächsten Schritt (7G Absicherung) kann eine solche SQL-Injection verhindert werden.

Verwende 7G Absicherung

Die sogenannte 7G Absicherung ist ein leistungsstarker .htaccess-Schutz, welcher im Hintergrund eine Reihe von Server Befehlen prüft und jede HTTP-Anforderung an Deine Website scannt. Viele Hoster stellen die 7G Absicherung bereits standardmäßig zur Verfügung und meist ist sie schon in der .htaccess-Datei integriert.

Einige Vorteile von 7G:

  • Einfach zu implementieren (Plug & Play)
  • SQL Injection wird verhindert
  • Keine Konfiguration erforderlich
  • Umfangreicher Firewall-Schutz
  • Geringe Datenmenge (ca. 12KB)
  • Reduziert zusätzlich die Serverlast
  • 100% WordPress-kompatibel
  • Völlig kostenlos
  • Eingebautes Logging zum Nachrüsten

Es gibt aber auch einen Nachteil der 7G Firewall: Um sie selbst einzubauen musst Du wissen, welche Serverart verwendet wird (apache oder Nginx), da es zwei unterschiedliche Firewalls für die jeweiligen Serverarten gibt. Für apache Server ist der Code einfach in der .htaccess zu hinterlegen. Für Nginx-Server ist zurzeit nur eine Beta-Version erhältlich. Wenn Du einen Nginx-Server hast, solltest Du der Anleitung von Jeff Star folgen und auch über ausgezeichnete Programmierkenntnisse verfügen.

Solltest Du das WordPress-Plugin „Jetpack“ benutzen gibt es noch einen weiteren Nachteil der 7G Firewall: Auf Grund der vielen Serveranfragen von Jetpack an Deine Website, werden die Anfragen nach einer gewissen Zeit ausgesperrt und Jetpack benachrichtigt Dich, dass Deine Website offline ist (obwohl sie das natürlich nicht ist).

Willst Du fit in Online Marketing werden?

Mit unserem Newsletter bekommst Du automatisch die neuesten Seokratie-Beiträge direkt in Dein Postfach!

Hier geht es zum Anmeldeformular.

Jeff Star ist ein amerikanischer Webentwickler, der sich auf Websicherheit spezialisiert hat und ein absoluter Profi hinsichtlich WordPress ist. Er hat folgenden Code entwickelt und zur freien Verwendung auf apache Servern freigegeben (Den gesamten Code findest Du hier als Download oder in unserer Beispiel .htaccess-Datei).

Sperre Deine wp-config.php und xmlrpc.php

Die Dateien wp-config.php und xmlrpc.php stellen für Deine WordPress-Website ein erhöhtes Risiko dar. Da Hacker mit diesen Dateien direkten Zugriff auf Dein WordPress-System bekommen, sind sie natürlich ein beliebtes Ziel. Am besten ist es, diese Dateien in der .htaccess für externen Zugriff zu sperren:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

Fazit

Ein sicheres WordPress-System ist absolut kein Hexenwerk. Für eventuelle Hackerangriffe vorbereitet zu sein ist heutzutage ein absolutes Muss. Hier nochmal die wichtigsten Punkte für ein sicheres WordPress-System zur Übersicht:

  • Sichere den Zugang zu Deinem Admin-Bereich
  • Erstelle regelmäßig Backups, um im Fall einer Attacke eine alte Version einspielen zu können
  • Halte Dein WordPress-System und alle Erweiterung stets aktuell
  • Sperre gewisse Dateien gegen unerwünschten Zugriff

Noch ein Punkt zum Schluss: Den so oft gehörten Tipp, den Login-Pfad /wp-admin zu verschieben, halte ich persönlich für wenig sinnvoll. Für Hacker ist es ein Leichtes, den neuen Pfad herauszufinden und Deine Seite zu attackieren.

Download .htaccess

Hier haben wir für Dich eine Beispiel-.htaccess erstellt, die Du herunterladen kannst und auf Deinem Server gegen Deine Standard-Konfiguration austauschen kannst. Bitte beachte, dass die angebotenen .htaccess-Datei nur auf apache-Servern läuft und wir keine Garantie übernehmen können. Bei unseren Tests hat diese Datei jedoch einwandfrei funktioniert. Sichere in jedem Fall vor dem Einspielen Deine alte .htaccess-Datei. Falls etwas nicht funktionieren sollte, kannst Du somit jederzeit zu Deiner alten Konfiguration zurückkehren.

» .htaccess-Datei jetzt downloaden

Bildnachweise: Titelbild: Chris Ryan/KOTO – Adobe Stock; Bild 1: Grafik von Seokratie.at, Bild 2: Screenshot seokratie.at, Bild 3: Screenshot Brozzme DB Prefix & Tools Addons, Bild 4 & 5: wordpress.org, Bild 6 & 7: Screenshot WordPress Seokratie.at, Bild 8: nordpass.com, Bild 9: Screenshot Limit Login Attempts Reloaded, Bild 10: Screenshot Users Login Monitor, Bild 11: Contact Form 7 Screenshot, Bild 12 & 13: Google reCaptcha, Bild 14: seokratie.at WordPress, Bild 15: SQL Injection by seokratie.at, Backups erstellen: leszekglasner – Adobe Stock

Wie können wir Dir weiterhelfen?

  • Lass uns miteinander sprechen

    kostenlos & unverbindlich

    Dein Ansprechpartner:
    Julian Dziki
  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Werde fit in SEO!
Werde fit in SEO!
Unser kostenloser SEO-Kurs bringt Dir 5 Tage lang täglich SEO-Wissen in Dein E-Mail-Postfach und unseren Newsletter. Über 15.000 Abonnenten vertrauen uns bereits.
Abonnieren
Du kannst Dich jederzeit wieder abmelden.
close-link