Wesentliche WordPress-Sicherheits-Tweaks, Tipps & Tricks – Zusammenfassung:
Grundlegende WordPress-Sicherheitstipps:
- Ändern Sie Ihren Admin-Benutzernamen
- Starkes WordPress-Passwort
- WordPress-Website aktualisieren
- Beste Sicherheits-WordPress-Plugins
- WordPress SSL-Zertifikat
- WordPress Dateiberechtigungen
- Cloud Managed WordPress Hosting
Erweiterte WordPress-Sicherheitstipps:
- Authentifizierungsschicht auf Serverebene
- WordPress-Einschränkung WP-Config.PHP
- WordPress Login-Hinweise
- WordPress Admin URL ändern
Die überwältigende Popularität von WordPress macht es zu einem Ziel für Hacker. Insbesondere gibt es Tausende von Angriffen durch Bots (Netzwerke von Computern, die mit bösartiger Software infiziert sind), die versuchen, sich durch Brute-Force-Verfahren Zugang zu diesen Websites zu verschaffen.
Die meisten dieser Angriffe nutzen die einfachste Methode, um sich Zugang zu einer Website zu verschaffen: Sie probieren so lange Kombinationen aus Benutzernamen und Kennwort aus, bis sie sich anmelden können. Diese Methode beruht auf Benutzerfehlern, da viele WordPress-Benutzer sich ihrer Verantwortung für die Sicherheit ihrer Website nicht bewusst sind.
Wenn das der Fall ist, können die Botnets unzählige Male versuchen, sich bei diesen Websites anzumelden, da es einfach nichts gibt, was sie daran hindert.
Warum ist WordPress das Ziel von Hackern?
Seit Dezember 2020 ist WordPress CMS die am häufigsten verwendete Form von Skripten, die im Website-Entwicklungsprozess im gesamten WWW eingesetzt werden. Handgeschriebene Sprachen (mit Ausnahme der Content Management Systeme / CMS. HTML ist ein gutes Beispiel) sind die meistgenutzte Art von Websites seit der Geburt des WEB. Und ab Dezember 2020 wird dieser Titel von WordPress vergeben.
Benutzer, die ihre Website nicht proaktiv schützen oder alte Plugins/WordPress-Versionen nicht aktualisieren, können unwissentlich potenziell schwerwiegende Sicherheitslücken auf ihrer Website aussetzen. Hier sind einige Tipps, wie Sie Ihre Website besser gegen Angriffe schützen können.
Wenn Sie keine Zeit haben, Ihre Business-Website zu verwalten, sollten Sie sich dies ansehen: WordPress Wartung – WordPress Wartungsvertrag und Service
Ist eine WordPress-Website sicher?
Ja und Nein. Alles kann gehackt werden, und WordPress CMS macht da keine Ausnahme. Aber wenn Sie meinen Ratschlag unten befolgen, werden Sie Ihre WordPress-Website sichern.
Im Allgemeinen ist WordPress CMS eine der sichersten Formen des Webs. WordPress leidet hin und wieder unter kleineren Sicherheitsproblemen. Einige dieser Sicherheitslücken werden dank der aktiven Entwicklergemeinschaft schnell behoben. Die meisten Sicherheitsprobleme können jedoch vermieden werden, indem das WordPress-Setup gehärtet wird.
Dieser Leitfaden erzwingt den Ansatz besserer Sicherheitspraktiken, die Sie befolgen können, um Ihre Einrichtung vor allgemeinen Bedrohungen zu schützen. Sie werden einige gängige Korrekturen kennenlernen, die Ihrer WordPress-Einrichtung helfen können. Sie werden auch erfahren, welche Dateien geändert werden müssen, um die Sicherheit zu erhöhen.
Nehmen Sie WordPress-Sicherheitsprobleme niemals auf die leichte Schulter!
Selbst geringfügige Änderungen an Plug-ins oder Themes können zu einer Sicherheitslücke in WordPress führen. Denken Sie daran, dass sich die Software weiterentwickelt und damit auch die Sicherheitslücken. Das Beste, was Sie tun können, ist, Vorsichtsmaßnahmen zu treffen und die häufigsten Gründe zu vermeiden, aus denen Sicherheitslücken Ihre WordPress-Website beeinträchtigen können.
Grundlegende WordPress-Sicherheitstipps für eine sichere WordPress-Installation:

ACHTUNG! BEVOR SIE ETWAS ÄNDERN, ERSTELLEN SIE EINE SICHERHEITSKOPIE IHRER WORDPRESS-SEITE!
1. Ändern Sie den Benutzernamen des WordPress-Administrators
Verwenden Sie nicht admin als Benutzernamen für Ihre Website. Dies ist der am häufigsten verwendete Benutzername für diese Angriffe. Andere zu vermeidende Benutzernamen sind administrator, manager, root, support, test und user.
So ändern Sie einen Benutzernamen in WordPress:
- Melden Sie sich mit Ihrem Administratorkonto an und fügen Sie einen neuen Benutzer mit Administratorrechten hinzu. Vergewissern Sie sich, dass Ihr Anzeigename nicht mit Ihrem Benutzernamen identisch ist.
- Loggen Sie sich anschließend aus und melden Sie sich als Ihr neuer Benutzer an. Löschen Sie Ihr altes Administratorkonto.
- Sie werden gefragt, was mit den Beiträgen dieses Benutzers geschehen soll. Wählen Sie „Alle Beiträge zuordnen zu“ und wählen Sie Ihren neuen Benutzernamen.
2. Starkes WordPress-Passwort: Seien Sie kreativ!
Wenn Sie ein WordPress-Passwort erstellen, das Zahlen, Symbole, Klein- und Großbuchstaben und viele Zeichen enthält, machen Sie es diesen fiesen Bots viel schwerer, Ihr Passwort zu erraten. Hier ist eine Liste von Passwörtern, die Sie unbedingt vermeiden sollten:
Die schlimmsten WordPress-Passwörter des Jahres 2020 – Sie müssen jedes davon vermeiden:
123456
123456789
picture1
password
12345678
111111
123123
12345
…und so weiter. Sie haben die Idee: Wählen Sie Ihre p4S$W0rDs mit Kreativität!
Ich würde auch vorschlagen, Passwörter wie „WordPress“ und „admin“ zu vermeiden – Sie verstehen, was ich meine.
Starkes Passwort=Sichere Website.
Wie erzwinge ich sichere Passwörter in WordPress?
Es gibt einige Dienste, die die Generierung sicherer und längerer Passwörter anbieten (sogar cPanel bietet Ihnen diese Art von Funktion). Hier sind einige der Optionen, um sichere Passwörter zu generieren. Sie können auch Programme wie Lastpass verwenden, um Ihre Passwörter zu speichern und sie für das Autologin zu verwenden.
Beste WordPress Passwort-Manager:
Speichern Sie die Passwörter nicht in normalen Text- oder Word-Dateien. Speichern Sie die Passwörter nicht in den FTP-Programmen. Speichern Sie keine Passwörter in einem Programm, das anderen Benutzern als Ihnen Zugang gewährt.
3. Aktualisieren Sie Ihre WordPress-Website!

WordPress wird in regelmäßigen Abständen aktualisiert und damit werden Probleme behoben. Aufgetretene Sicherheitsprobleme werden behoben, und wenn Sie nicht aktualisieren, schaffen Sie Sicherheitslücken. Es ist wichtig, dass Sie Ihre WordPress-Installation auf dem neuesten Stand halten, vor allem bei Plugins und Themes.
Da dies der Fall ist, ist es auch eine gute Idee, alle Plugins zu entfernen, die nicht auf Ihrer Website verwendet werden. Sichern Sie Ihre Website immer, bevor Sie Änderungen vornehmen (Installation neuer Plugins, Anpassung des Themas, Aktualisierung von Plugins oder des Themas usw.).
4. Beste WordPress-Sicherheits-Plugins
Brauchen Sie ein WordPress Sicherheits-Plugin?
Ein starkes WordPress-Sicherheits-Plugin kann für eine nicht-technische Person viel bequemer und zeitsparender sein. Wenn Sie jedoch genügend Zeit haben und Ihre Website auch ohne ein Sicherheits-Plugin sichern möchten, können Sie die Tipps aus diesem Artikel (im Abschnitt „Fortgeschrittene“) befolgen.
Kostenloses oder Premium-WordPress-Sicherheits-Plugin?
Es ist nicht einfach, das für Ihre Einrichtung geeignete Plugin auszuwählen. Einige der Premium-Plugins sind geeignet, wenn Ihre WordPress-Daten für Ihr Unternehmen wichtig sind. Wenn Sie einen Hobby-Blog oder einen nicht-kommerziellen Blog betreiben, müssen Sie nicht in ein Premium-Plugin investieren. Denken Sie daran: Je wichtiger die Daten sind, die von WordPress verwaltet werden, desto strenger sollte Ihre Sicherheitseinrichtung sein.
Wie viele WordPress-Sicherheitsplugins sollte ich verwenden?
Kurze Antwort: So wenige wie möglich. Vermeiden Sie die Verwendung unnötiger Plugins und vergessen Sie nicht, die inaktiven zu löschen.
Ich habe viele Plugins aufgelistet, aus denen Sie wählen und die Sie in Ihrem Dashboard installieren können. Sie müssen jedoch nicht eine Vielzahl von Plugins installieren. Wenn Sie zum Beispiel die Geschwindigkeit Ihrer Website optimieren wollen, sollten Sie nicht 3 Cache-Plugins, 5 Bildoptimierer oder 500 CDN-Plugins installieren (Sie haben die Idee). Sie sollten ein Plugin verwenden, das viele Funktionen enthält (Bildoptimierung, Caching, Skriptoptimierung usw.). Das gilt auch für das Sicherheits-Plugin: Installieren Sie ein gutes Plugin und das war’s. Es ist unlogisch, 3 Plugins gleichzeitig für das gleiche Ziel zu verwenden. Bitte beachten Sie, dass einige Hoster bestimmte WordPress-Plugins nicht zulassen.
Welches ist das beste Sicherheits-Plugin für WordPress?
Um das beste Sicherheits-Plugin für Ihre WordPress-Website auszuwählen, sollten Sie die folgende Checkliste verwenden:
- Die Anzahl der Downloads. Wählen Sie das am häufigsten heruntergeladene Plugin.
- Wie viele Probleme auf der offiziellen Seite des Plugins, auf WordPress.org, gemeldet werden.
- Die Aktivität der Plugin-Autoren im Forum. Eine weitere gute Möglichkeit ist, auf Reddit nach ihm zu suchen.
- Die Anzahl der Updates für das Plugin.
- Ignorieren Sie die Sternebewertung des Plugins.
- Wie das Plugin eindeutige Namespace-Elemente verwendet.
- Wie das Plugin die Einstellungs-API in den Funktionen nutzt.
- Die Hooks, Filter und Aktionen innerhalb des Plugins.
- Ob das Plugin ordnungsgemäß bereinigte Daten und MySQL-Anweisungen hat.
- Die Plugins, die Nonces anstelle von Browser-Cookies verwenden. Wenn mehr als ein Plugin die gleiche Aufgabe erfüllt, wählen Sie das Plugin mit den meisten Downloads und Bewertungen.
- Der Ruf des Plugin-Autors in der WordPress-Commun
Dies sind die Kriterien, auf die Sie bei der Auswahl des Sicherheits-Plugins aus dem WordPress-Support-Repository achten sollten. Wenn Sie sich entscheiden, die Premium-Version des Plugins zu installieren, müssen Sie online nach Bewertungen suchen. Testen Sie auch das kostenlose Plugin oder den Testdienst, bevor Sie das Plugin kaufen.
a. Die besten WordPress-Sicherheits-Plugins im Jahr 2021 – Diejenigen, die ich persönlich verwendet habe
Im Folgenden zeige ich Ihnen die besten WordPress-Sicherheits-Plugins im Jahr 2021 und nicht nur. Die Installation einiger der wichtigsten Plugins aus der Liste unten kann die Sicherheit Ihrer WordPress-Einrichtung gewährleisten. Hier sind einige der Plugins, die ich persönlich auf vielen WordPress-Seiten verwendet habe.
Sucuri
Sucuri ist eines der meistgenutzten WordPress-Sicherheits-Plugins im Jahr 2021. Es gibt eine kostenlose und eine Premium-Version. Sucuri bietet auch Vorschläge zur Verbesserung der Sicherheit und Tweaks, um Ihre Website sicher zu halten. Sucuri Security hat die folgenden Funktionen: Auditing, Malware Scanner und Security Hardening.
Wordfence
Wordfence ist ein sehr unkompliziertes und einfach zu verwendendes Plugin. Es fungiert als Firewall und Antivirenprogramm und macht Vorschläge, wie Sie die Sicherheit Ihrer Website verbessern können. Schauen Sie sich unbedingt den Abschnitt „Live Traffic“ an. Dort können Sie alle fehlgeschlagenen Anmeldeversuche auf Ihrer Website sehen, das ist überraschend.
iThemes Security (Früher Better WordPress Security)
iThemes Security Mit diesem Plugin erhalten Sie einen detaillierteren Überblick über die Möglichkeiten zum Schutz Ihrer Website und über kompliziertere Sicherheitsoptionen. Seien Sie vorsichtig, wenn Sie Einstellungen aktivieren, die mit anderen Themen oder Plugins in Konflikt geraten könnten. Diese sind im Systemstatus blau hervorgehoben.
b. Andere WordPress-Sicherheits-Plugins:
All In One WP Security & Firewall
Mit diesem Plugin können Sie einige grundlegende Sicherheitsüberprüfungen Ihrer WordPress-Einrichtung durchführen. Sie können einige Korrekturen auf Ihrer Plugin-Optionen-Seite vornehmen. Sie können dieses Plugin installieren, den Scan durchführen und die minimalen Sicherheitsprobleme beheben. Sobald Sie die grundlegenden Sicherheitsprobleme behoben haben, können Sie das Plugin deinstallieren.
Shield Security
WordPress Firewall verhindert SQL-Injection-Angriffe, Brute-Force-Angriffe und Spambot-Registrierungsangriffe. Außerdem werden Sie per E-Mail benachrichtigt, wenn ein Live-Angriff auf Ihrer Website stattfindet. Wenn Sie die E-Mail-Benachrichtigungen nicht mögen, können Sie sie deaktivieren. Das Programm verfügt außerdem über eine praktische Funktion, mit der Sie die IP-Adresse blockieren können, die regelmäßig versucht, Ihre WordPress-Einrichtung anzugreifen. Für zusätzlichen Schutz können Sie auch bestimmte IP-Adressen auf eine schwarze Liste setzen. Wenn Sie einige der IP-Adressen in eine Whitelist aufnehmen möchten, bietet das Plugin eine Option, mit der Sie dies tun können.
Block Bad Queries
Das Plugin Block Bad Queries wurde entwickelt, um die Anfrage-URI im WordPress-Dashboard zu überwachen. Auf diese Weise kann es einige der häufigsten Angriffe herausfiltern. Dieses Plugin prüft auf übermäßig lange Anfragestrings (d. h. mehr als 255 Zeichen) sowie auf das Vorhandensein von „eval(“ oder „base64“ in der Anfrage-URI. Block Bad Queries erfüllt eine völlig andere Aufgabe als WordPress Firewall 2. Daher ist es notwendig, dieses Plugin zusammen mit WordPress Firewall 2 zu installieren.
Website File Changes Monitor
Es verfolgt jede Änderung in der WordPress-Installation. Es protokolliert die Änderungen in den Dateien der WordPress-Verzeichnisse. Es benachrichtigt Sie über die Änderungen, die in den Dateien stattfinden. Wenn ein Hacker Zugang zu Ihren Themes und Plugins erhält und neue Informationen in eine der Dateien schreibt, erhalten Sie eine Benachrichtigung über die Änderungen. Dieses Plugin ist praktisch, um zu verstehen, welche Datei in den vorherigen Zustand zurückversetzt werden soll. Sie können die gesicherten Dateien verwenden, um die unbeeinflusste Datei an dieser Stelle wiederherzustellen. Um dies zu tun, müssen Sie ein anderes Backup-Plugin verwenden oder regelmäßig ein manuelles Backup durchführen.
Limit Login Attempts Reloaded
Installieren Sie das Plugin und legen Sie die Anzahl der Versuche auf der Plugin-Optionen-Seite fest. Sie können auch die Anzahl der Minuten einstellen, die die Sperre auf einer Anmeldeseite bestehen bleiben soll. Das Plugin protokolliert auch die Anzahl der Versuche und die Anzahl der Sperren, die gesetzt wurden.
AntiVirus
Das AntiVirus-Plugin hilft Ihnen bei der Einrichtung von WordPress, indem es die Dateien auf Malware und Viren überprüft. Dieses Plugin erkennt jede einzelne Datei-Änderung und meldet sie im Dashboard. Manchmal kommt es zu Fehlalarmen, wenn es eine Änderung in require_once, includes und anderen aktualisierten Snippets auslöst, die zwar echt sind, aber als bösartiger Code gemeldet werden. Wenn ein Thema eval, base64_decode oder shell_exec verwendet, wird es im Bericht gemeldet. Sie können dann solche Themes durch solche ersetzen, die einen sichereren Code haben.
BCRYPT
Installieren Sie das Plugin „bcrypt“ für Passwörter Github Page. Dadurch wird die Stärke der verschlüsselten Kennwörter in Ihrer SQL-Datenbank erheblich verbessert.
Fail2Ban
Verwenden Sie fail2ban zusammen mit WP Fail2ban Redux. Auf diese Weise werden potenzielle Hacker, die Ihre Website nach Schwachstellen durchsuchen, frühzeitig erkannt und ausgeschlossen.
WP-Bruiser
WP-Bruiser wird hauptsächlich als No-Captcha-Methode verwendet, um Spam-Bots in Ihren Kommentar-, Kontakt-, Registrierungs- und Anmeldeformularen zu blockieren, enthält aber auch einige nützliche Brute-Force-Schutzmaßnahmen und eine Funktion, die Sie benachrichtigt, sobald sich ein Administrator anmeldet. Diese Funktionen sind kostenlos verfügbar. Dies ist eine großartige, leichtgewichtige Option.
c. WordPress Datenbank Backup Plugins:
Sie können sich viel Kopfzerbrechen über die Wiederherstellung Ihrer Website ersparen, wenn Sie regelmäßig Backups erstellen. Sie können einige der Plugins so programmieren, dass sie Ihre Website automatisch sichern, wenn Sie etwas veröffentlichen oder zu bestimmten Zeiten in der Woche. Wenn es um WordPress-Backups geht, gibt es eine Vielzahl von Lösungen. Hier werden wir drei Methoden besprechen: Plugins, gehostete Backup-Dienste und manuelle Backups.
WordPress-Backup-Plugins – Mit diesen Plugins können Sie Backups Ihrer WordPress-Beiträge, Kommentare und anderer Einstellungen erstellen und an einem beliebigen Ort speichern. Einige von ihnen bieten die Möglichkeit, Ihr Backup per E-Mail zu versenden oder es auf einen Remote-Server wie Amazon S3, Dropbox oder einen anderen Backup-Service hochzuladen.
Manuelles Backup – Bei dieser Methode müssen Sie selbst ein Backup der Einrichtung erstellen und es sicher aufbewahren. Sie müssen die gesicherten Daten an einem anderen Ort als auf dem Hosting-Server speichern. Es gibt kostenlose und kostenpflichtige Backup-Plugins für WordPress. Sie können eines auswählen, das Ihren Anforderungen entspricht.
Hosted Backup Service – Diese Dienste integrieren sich in die WordPress-Einrichtung und erstellen regelmäßig einen Schnappschuss der WordPress-Einrichtung. Es handelt sich im Grunde um Plugins, die mit dem Backup-Server verbunden sind. In diesem Artikel werde ich über die ersten beiden Methoden sprechen.
Die meisten der kostenlosen Plugins, die die Daten zu Dropbox hochladen oder per E-Mail versenden, werden von den Mitgliedern der WordPress-Community bevorzugt. Wenn Ihre WordPress-Daten kritisch sind, dann ist ein Abonnement eines Dienstes wie Vaultpress oder Codevault eine viel bessere Option. Sie können auch Premium-Plugins wie BackupBuddy oder Backupify verwenden, um Ihre Daten zu sichern.
Je wichtiger Ihre Daten sind, desto besser ist eine gehostete Lösung für Ihr Backup.
Hier sind einige der Backup-Plugins, die Ihre Backup- und Überwachungsanforderungen erfüllen können:
WP-DB Manager
Dieses kostenlose Plugin ist sehr praktisch, um Ihre Datenbank zu optimieren. Es sendet auch die Sicherungskopie per E-Mail an den Administrator oder einen bestimmten Benutzer. Das Plugin ist nicht einfach zu benutzen, da es keinen speziellen Punkt für den Neuling gibt, von dem er lernen und den er benutzen kann. Wenn Sie jedoch mit WordPress und seinen verschiedenen Plugin-Konfigurationen vertraut sind, ist es nicht schwer, das Plugin zu verwenden.
BackWPup
Dies ist ein kostenloses Plugin, das sehr praktisch ist, um Ihre Datenbanksicherung auf externe Dienste wie Dropbox, Amazon S3, Google Drive und einige andere Sicherungsdienste hochzuladen. Eine Wiederherstellungsoption für eine Neuinstallation ist im Plugin enthalten. Es hat keinen aktiven Support in den Foren, aber für ein kostenloses Plugin erledigt es seine Aufgabe und hat keine kritischen Bugs.
Sehr beliebt für das Sichern der Datenbank. Es ist sehr einfach, dieses Plugin zu verwenden. Es erledigt nur eine Aufgabe – die Sicherung der Kerndatenbank. Sie können den Ort der Sicherung nicht wählen. Sie können keine Beiträge und andere Dateien sichern. Es gibt nicht viel Unterstützung für dieses Plugin. Aber in Anbetracht der Benutzerfreundlichkeit und der schnellen Sicherung der Datenbank ist dieses Plugin perfekt für Neulinge, die keine anderen fortgeschrittenen Plugins verwenden können.
Manuelle Sicherung
Wenn Sie sich keine andere Methode des Sicherungsdienstes leisten können, können Sie Ihre WordPress-Website manuell auf Google Drive, Dropbox oder einem lokalen Computer sichern. Bei dieser Methode können Sie eines der Datenbank-Backup-Plugins verwenden, um das vom Plugin generierte Archiv herunterzuladen. Alternativ dazu können Sie auch die Daten aus dem Ordner /uploads sichern, um Bilder und andere Mediendateien zu sichern. Beiträge und Kommentare sowie die wichtigsten Einstellungen können mit den folgenden Anweisungen heruntergeladen werden.
Klicken Sie auf Tools und gehen Sie dann auf die Export-Seite. Auf dieser Seite müssen Sie alle Beiträge und Seiten auswählen und auf die Schaltfläche Exportieren klicken. Sie erhalten eine WXRS-Datei, die die Daten aus dem WordPress-Kern enthält. Dabei handelt es sich im Grunde um eine XML-Datei mit strukturierten Daten, die Sie zur Wiederherstellung Ihrer Beiträge verwenden können. Wenn Sie sich keine Premium-Plugins oder Dienste für die Sicherung leisten können. Sie können kostenlose Plugins verwenden, die das Backup auf Dropbox oder Google Drive speichern können. Diese beiden Backup-Dienste können Ihre Blog-Backups kostenlos hosten. Wenn Ihr Backup zufällig das Datenlimit dieser Dienste überschreitet, können Sie ein Jahresabonnement für die Speicherung abschließen.
Ich erwähne, dass ich ein Fan der manuellen WordPress-Sicherung bin, und ich empfehle nicht, irgendein Plugin in den Sicherungs-/Wiederherstellungsprozess einzubeziehen. Wenn Sie lernen möchten, wie Sie Ihre WordPress-Website manuell sichern können, schauen Sie hier nach: Wie Sie Ihre Website von cPanel aus sichern
5. Installieren Sie ein SSL-Zertifikat (Secure Sockets Layer):

Heutzutage haben Sie zwei Möglichkeiten für SSL-Zertifikate: Kostenloses SSL-Zertifikat und Premium SSL-Zertifikat.
Einer der besten Anbieter von kostenlosen SSL-Zertifikaten ist Let’s Encrypt. Der entsprechende Hosting-Provider des Jahres 2022 fügt diese Funktion kostenlos für seine Hosting-Kunden hinzu.
Bei den Premium-SSL-Zertifikaten haben Sie viele Möglichkeiten. Premium-SSL-Zertifikate sind eine erweiterte Form des Standard-SSL-Zertifikats, das von eCommerce-Websites zur Sicherung von Online-Transaktionen verwendet wird. Natürlich können Sie diese Art von SSL-Zertifikat auch für Ihre einfache WordPress-Site verwenden, aber für mittlere und große Sites, auf denen Menschen persönliche Daten, Kreditkarteninformationen usw. angeben, ist die Verwendung eines Premium-SSL-Zertifikats zwingend erforderlich.
Der Preis für ein Premium-SSL-Zertifikat beginnt bei $5/Jahr und reicht bis zu $1.999/Jahr für ein DigiCert (formerly by VeriSign) SSL certificate.
Warum sollte man ein SSL-Zertifikat verwenden?
Es wird nicht nur Ihre WordPress-Site sichern, sondern die Verwendung eines SSL-Zertifikats im Jahr 2022 ist ein MUSS. Ohne SSL sind Ihre Website-Besucher und Kunden einem höheren Risiko ausgesetzt, dass ihre Daten gestohlen werden. Auch die Sicherheit Ihrer Website ist ohne Verschlüsselung gefährdet. SSL schützt Ihre Website vor Phishing-Betrug, Datenmissbrauch und vielen anderen Bedrohungen. Letztendlich schafft es eine sichere Umgebung sowohl für Besucher als auch für Website-Besitzer.
6. Dateiberechtigungen
Jede Datei auf einem Linux- oder Unix-basierten Webserver hat Lese-, Schreib- und Ausführungsrechte. Die Benutzer, die auf diese Dateien zugreifen, werden in drei Gruppen eingeteilt: Benutzer (Eigentümer), Gruppe und die Welt. Sie können Ihre Website sicherer machen, wenn Sie die Dateiberechtigungen so einstellen, dass anonyme Benutzer und Gruppen sie nicht ändern können. Wie Sie sehen können, legt der Webserver standardmäßig einige Berechtigungsstufen für Sie fest. Allgemeine Berechtigungen, die Sie auf einem Webserver finden.
755 - Der Benutzer kann eine Datei lesen, schreiben und ausführen, während die Gruppe und die Welt die Datei ausführen und lesen können. 644 - Der Benutzer kann lesen und schreiben, während die Gruppe und die Welt lesen können. 777 - Benutzer, Gruppe und die Welt können lesen, schreiben und ausführen. 400 - Benutzer kann nur lesen. Gruppe und Welt haben keine Berechtigungen. 444 - Alle Benutzerebenen können lesen. 600 - Benutzer kann lesen und schreiben, während Welt und Gruppe keine Berechtigungen haben.
Wie Sie an diesen Berechtigungen sehen können, sollten Sie bei 644 und 755 bleiben, wenn Sie die Berechtigungsstufen ändern. Standardmäßig setzt WordPress die Dateiberechtigung auf 644 und die Ordnerberechtigung auf 755.
Sie sollten niemals eine Datei oder einen Ordner auf die Berechtigung 777 setzen. Bei einigen Cache-Plug-ins müssen Sie die Berechtigung für den Plug-in-Ordner auf 755 setzen, wenn Ihr Webserver die Berechtigung 644 vorschreibt. Die Berechtigungseinstellungen variieren von einem Host zum anderen. Sie hängen auch von dem Betriebssystem ab, das auf dem Hosting-Account verwendet wird. Es kann sein, dass die Berechtigungsstufe für Windows-Server völlig anders eingestellt ist.
Wenn Sie die Dateien über FTP oder einen webbasierten Uploader auf den Webserver hochladen, überprüfen Sie die Berechtigungen.
7. Denken Sie über Cloud Managed WordPress Hosting Services nach
Das Hosten Ihrer WordPress-Plattform auf billigen, gemeinsam genutzten Servern kann Ihre Website einem größeren Risiko aussetzen – Sie haben keine Kontrolle darüber, was andere Benutzer auf demselben Server tun, und das kann Ihre Website möglicherweise gefährden.
Außerdem kann sich die Leistung mit der Zeit verschlechtern, wenn der Hosting-Anbieter mehr Nutzer auf dem Server hinzufügt und Sie untereinander um Ressourcen kämpfen müssen.
Warum sollte man ein billiges Shared WordPress Hosting vermeiden und ein teures wählen?
Ein guter gehosteter WordPress-Dienst kann dazu beitragen, dass Ihre Website schnell und sicher ist:
- Bereitstellung von ständig aktualisierten Servern/aktuellen Sicherheitspatches
- Bereitstellung einer Firewall (Software oder Hardware) – auch mit aktuellen Sicherheits-Patches
- Überwachung der Systemleistung auf ungewöhnliche Aktivitäten (Datenbankanfragen, Anmeldeversuche usw.)
- Techniker, die die Situation verstehen und sofortige Hilfe leisten können
- Sicherung und Wiederherstellung von Diensten im Falle einer gefährdeten Website
Erweiterte WordPress-Sicherheitstipps – Sichere WordPress-Website

ACHTUNG! SICHERN SIE IHRE WEBSITE, BEVOR SIE EINE DER FOLGENDEN ÄNDERUNGEN VORNEHMEN. MACHEN SIE AUSSERDEM NACH JEDER ÄNDERUNG, DIE SIE VORNEHMEN, EIN BACKUP, UM WICHTIGE ZEIT ZU SPAREN!
1. Hinzufügen einer Authentifizierungsschicht auf Serverebene
Wenn jeder auf Ihren /wp-admin-Anmeldebildschirm zugreifen kann, ist es für Hacker und Bots einfacher, Schaden anzurichten.
Eine zusätzliche Sicherheitsebene auf Serverebene stellt sicher, dass Sie der Einzige sind, der die Kontrolle darüber hat, wer auf /wp-admin zugreifen kann und wer nicht. Um eine WordPress-Website zu sichern, sollten Sie die folgenden Tipps befolgen:
Es gibt mehrere Möglichkeiten, dies zu tun:
a. IP-Beschränkung /wp-admin
Setzen Sie nur Ihre IP-Adresse (und die derjenigen, denen Sie vertrauen) in Ihrer .htaccess-Datei auf eine weiße Liste, um sicherzustellen, dass /wp-admin nur für autorisierte Personen zugänglich ist.
b. Fügen Sie diese Zeilen zu Ihrer .htaccess-Datei hinzu:
# ALLOW USER BY IP order deny,allow deny from all allow from YOUR.IP.GOES.HERE Find out your IP address here http://www.whatismyip.com/
c. Hinzufügen der HTTP-Authentifizierung zu /Wp-admin
Fügen Sie einen zusätzlichen Benutzernamen/Passwort-Zugang über .htpasswd zu /wp-admin hinzu. Die Benutzer können die WP-Anmeldeseite erst dann sehen, wenn sie den entsprechenden Benutzernamen und das Passwort auf der .htpasswd-Ebene angeben.
2. Beschränken Sie den Zugriff auf WP-CONFIG.PHP
Wenn Sie Zugriff auf die Datei haben, ändern Sie die Berechtigung auf 0644. Wenn Sie keinen Zugriff haben, bitten Sie Ihren Hosting-Anbieter, dies zu tun.
3. Stoppen Sie die Login-Hinweise:
Ich weiß nicht, warum WordPress diese Einstellung beibehält, aber Sie müssen sie so schnell wie möglich wieder loswerden. Um die Anmeldehinweise zu deaktivieren, müssen Sie den folgenden Code in die Datei Function.PHP einfügen:
function no_wordpress_errors(){ return 'What the heck are you doing?! Back off!'; } add_filter( 'login_errors', 'no_wordpress_errors' );
4. WordPress Admin URL ändern
Gehen Sie folgendermaßen vor, um die WordPress-Admin-URL zu ändern:
1. Hinzufügen einer Konstante zur wp-confing.php
define('WP_ADMIN_DIR', 'secret-folder'); define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);
2. Fügen Sie folgenden Filter in die functions.php ein
add_filter('site_url', 'wpadmin_filter', 10, 3); function wpadmin_filter( $url, $path, $orig_scheme ) { $old = array( "/(wp-admin)/"); $admin_dir = WP_ADMIN_DIR; $new = array($admin_dir); return preg_replace( $old, $new, $url, 1); }
3. Fügen Sie der .htaccess-Datei Folgendes hinzu
RewriteRule ^secret-folder/(.*) wp-admin/$1?%{QUERY_STRING} [L]
Nach diesen Schritten wird Ihre WordPress-Admin-URL wie folgt aussehen: http://www.yoursite.com/hidden-folder/
Sichere WordPress-Website: Fazit
Obwohl die Zahl der Hackerangriffe auf WordPress stark zugenommen hat, können Sie Ihre Website mit ein paar Anpassungen und etwas Aufmerksamkeit vor Hackern schützen. Matthew Mullengweg, der Gründungsentwickler von WordPress, weist in seinem Blog darauf hin, dass Sie, wenn Sie Ihren Administrator-Benutzernamen ändern, ein sicheres Passwort verwenden und Ihre Website auf dem neuesten Stand halten, „99 % der Websites da draußen voraus sind und wahrscheinlich nie ein Problem haben werden“.