Nützliche WordPress-Sicherheitstipps – Schritt für Schritt (2024)

In der digitalen Welt, in der die Cyber-Bedrohungen immer komplexer und ausgefeilter werden, ist die Sicherheit Ihrer WordPress-Website von entscheidender Bedeutung. Ganz gleich, ob Sie einen persönlichen Blog, einen E-Commerce-Shop oder eine Unternehmenswebsite betreiben, der Schutz vor Eindringlingen, Hackern und Malware sollte für Sie oberste Priorität haben.

Die Statistiken sind entmutigend: Laut WordPress Stats werden fast 70 % aller auf dieser Plattform erstellten Websites von Cyberkriminellen angegriffen. Die Folgen dieser Angriffe können katastrophal sein – vom Diebstahl vertraulicher Daten bis hin zur vollständigen Löschung von Website-Inhalten. Zusätzlich zu den finanziellen Verlusten kann dies dem Ruf Ihrer Marke irreparablen Schaden zufügen und das Vertrauen Ihrer Kunden untergraben.

Aber verzweifeln Sie nicht, denn es gibt wirksame Möglichkeiten, Ihre WordPress-Website vor potenziellen Bedrohungen zu schützen. Wir werden uns die besten Praktiken und Schritt-für-Schritt-Anleitungen ansehen, wie Sie die Sicherheit Ihrer Website im Jahr 2024 verbessern können.

Sie lernen die neuesten Trends im Bereich der Cybersicherheit kennen und erfahren, wie Sie sich gegen die häufigsten Angriffsarten wie Brute-Force, Injektion, Verunstaltung und vieles mehr schützen können. Wir werden auch auf die Bedeutung der Auswahl eines zuverlässigen Hosting-Dienstes, die Einrichtung von Firewalls, die Installation von Updates und regelmäßige Backups eingehen.

Inhalt:

WordPress-Sicherheit Schritt für Schritt (ohne Programmierung)

• Installieren Sie eine WordPress-Backup-Lösung
• Installieren Sie ein zuverlässiges WordPress-Sicherheits-Plugin
• Aktivieren Sie die Web Application Firewall (WAF)
• Erstellen Sie ein SSL/HTTPS-Zertifikat für Ihre WordPress-Website

WordPress-Sicherheit Schritt für Schritt (manuelle Konfiguration)

• Ändern Sie den Standard-Benutzernamen des Administrators
• Bearbeitung von WordPress-Dateien deaktivieren
• Deaktivierung der Ausführung von PHP-Dateien in WordPress-Verzeichnissen
• Begrenzung der Anmeldeversuche für den WordPress-Admin
• Hinzufügen einer Zwei-Faktor-Authentifizierung (2FA)
• Ändern des Präfixes der WordPress-Datenbank
• Passwortschutz der Admin-Seite und des WordPress-Logins
• Indizierung und Durchsuchen von Verzeichnissen deaktivieren
• XML-RPC in WordPress deaktivieren
• Automatisches Abmelden von inaktiven Benutzern in WordPress

Empfehlungen und Tipps (sollte jeder lesen)

• Empfehlungen des hostkoss-Teams
• Fragen und Antworten zur Sicherheit von WordPress

Installieren Sie eine WordPress-Backup-Lösung

Regelmäßige Backups Ihrer WordPress-Website sind wichtig, um die Sicherheit und Integrität Ihrer Daten zu gewährleisten. Im Falle eines Cyberangriffs, eines Systemausfalls oder einer versehentlichen Löschung von Inhalten können Sie Ihre Website schnell von einer Sicherungskopie wiederherstellen und so Datenverlust und Ausfallzeiten minimieren.

Es gibt sowohl kostenpflichtige als auch kostenlose WordPress-Backup-Lösungen, jede mit ihren eigenen Vor- und Nachteilen. Einige beliebte Optionen sind:

• UpdraftPlus ist ein leistungsstarkes kostenloses Plugin, mit dem Sie Ihre Website, Datenbanken, Plugins und Themes sichern können. Es ermöglicht Ihnen, Kopien in Cloud-Diensten wie Dropbox, Google Drive oder Amazon S3 zu speichern.

• BackupBuddy ist eine Premium-Lösung von iBackup, die zuverlässige Datensicherung, Datenwiederherstellung und Standortmigration bietet. Sie unterstützt zahlreiche Speicheroptionen und Prozessautomatisierung.

• BlogVault ist ein Cloud-basierter Backup-Service, der sich auf die Sicherheit von WordPress konzentriert. Er erstellt automatisch tägliche Backups und bietet Datenverschlüsselung.

Bei der Auswahl einer Sicherungslösung sollten Sie Faktoren wie die Häufigkeit der Sicherungen, den Speicherort (vor Ort oder in der Cloud), den Automatisierungsgrad des Prozesses und die Einfachheit der Wiederherstellung Ihrer Daten berücksichtigen.

Achten Sie auf Nutzerbewertungen und den technischen Support des Entwicklers.

Installieren Sie ein zuverlässiges WordPress-Sicherheits-Plugin

Eine der effektivsten Möglichkeiten, die Sicherheit Ihrer WordPress-Website zu verbessern, ist die Verwendung eines speziellen Sicherheits-Plugins. Diese leistungsstarken Tools bieten eine Vielzahl von Sicherheitsfunktionen, wie z. B. Schwachstellen-Scans, Brute-Force-Schutz, Blockieren unerwünschter IP-Adressen und vieles mehr.

Hier sind einige der besten WordPress-Sicherheits-Plugins, die Sie in Betracht ziehen sollten:

• Wordfence Security ist eines der beliebtesten Sicherheits-Plugins mit integrierter Firewall, zweistufiger Authentifizierung und regelmäßigem Scannen auf Sicherheitslücken und Malware.

• Sucuri Security ist eine umfassende Lösung, die eine Web Application Firewall (WAF), einen Schwachstellen-Scanner, DDoS-Schutz und Malware-Überwachung kombiniert.

• All In One WP Security & Firewall ist ein kostenloses Plugin mit einer Vielzahl von Funktionen, darunter Firewall, Anti-Spam, Datei-Überwachung und das Blockieren unerwünschter Benutzer.

• iThemes Security (früher bekannt als Better WP Security) ist eine leistungsstarke Reihe von Sicherheitstools mit Anpassungsmöglichkeiten, zweistufiger Authentifizierung und Schutz vor bösartigen Angriffen.

Achten Sie bei der Auswahl eines Sicherheits-Plugins auf dessen Funktionalität, Benutzerfreundlichkeit, Kompatibilität mit Ihrer WordPress-Website und regelmäßige Updates durch den Entwickler.

Aktivieren Sie die Web Application Firewall (WAF)

Eine Web Application Firewall (WAF ) ist ein leistungsfähiges Tool zum Schutz Ihrer WordPress-Website vor verschiedenen Arten von Angriffen wie bösartiger Code-Injektion, Cross-Site-Scripting (XSS), SQL-Injection und vielen anderen. Eine WAF fungiert als Schutzbarriere zwischen Ihrer Website und bösartigem Datenverkehr und filtert potenziell gefährliche Anfragen heraus.

Es gibt sowohl eigenständige WAF-Plugins für WordPress als auch komplette Sicherheitslösungen, die WAF als eine der Funktionen enthalten. Hier sind einige beliebte Optionen:

• NinjaFirewall (WP Edition) ist ein Plugin, das umfassenden WordPress-Schutz mit einer eingebauten WAF, einem Malware-Scanner und anderen Sicherheitstools bietet.

• CloudFlare ist ein beliebtes CDN-Netzwerk, das eine kostenlose Web Application Firewall-Option bietet, um unerwünschten Datenverkehr herauszufiltern (ich empfehle sie).

Achten Sie bei der Auswahl einer WAF-Lösung auf deren Leistung, WordPress-Kompatibilität, einfache Einrichtung und technischen Support. Wichtig ist auch, dass die Filterregeln automatisch aktualisiert werden können, um vor den neuesten Bedrohungen zu schützen.

Erstellen Sie ein SSL/HTTPS-Zertifikat für Ihre WordPress-Website

Die Umstellung Ihrer WordPress-Website auf das sichere HTTPS-Protokoll erfordert ein gültiges SSL/TLS-Zertifikat. Dieses digitale Zertifikat verschlüsselt die Daten, die zwischen dem Browser des Benutzers und Ihrem Webserver übertragen werden, und schützt sensible Informationen vor dem Abfangen durch Eindringlinge.

Es gibt mehrere Möglichkeiten, ein SSL/TLS-Zertifikat für Ihre WordPress-Website zu erhalten:

• 1. Kaufen Sie ein kommerzielles SSL-Zertifikat: Unternehmen wie hostkoss bieten kostenpflichtige SSL-Zertifikate mit verschiedenen Validierungsstufen und Gültigkeitszeiträumen an. Diesen Zertifikaten wird von den meisten Browsern und Betriebssystemen voll vertraut.

• 2. Verwenden Sie ein kostenloses SSL-Zertifikat von Let’s Encrypt: Let’s Encrypt ist eine gemeinnützige Organisation, die kostenlose SSL/TLS-Zertifikate mit automatischer Erneuerung anbietet. Ihre Zertifikate sind nur 90 Tage lang gültig, werden aber von allen modernen Browsern unterstützt.

• 3. SSL/TLS-Zertifikat des Hosting-Anbieters: Viele Hosting-Unternehmen bieten SSL-Zertifikate als Teil ihrer Hosting-Dienste an. Sie können entweder kommerziell sein oder mit Let’s Encrypt zusammenarbeiten, um kostenlose Zertifikate anzubieten. So installieren Sie Let’s Encrypt SSL in cPanel

Nachdem Sie ein SSL-Zertifikat erhalten haben, müssen Sie es für Ihre WordPress-Site richtig konfigurieren. Je nach Hosting und Zertifikatstyp können Sie dies manuell über die Systemsteuerung tun.

Wenn Sie ein SSL/HTTPS-Zertifikat einrichten, müssen Sie sicherstellen, dass alle Seiten, Bilder, Skripte und andere Ressourcen auf Ihrer Website über eine sichere Verbindung korrekt geladen werden. Sie sollten auch Links zu Ressourcen von Drittanbietern aktualisieren und die Funktion von Caching, Plugins und anderen WordPress-Funktionen nach dem Wechsel zu HTTPS überprüfen. So verwenden Sie HTTPS-Weiterleitungen in cPanel

Ändern Sie den Standardbenutzernamen des Administrators

Das Ändern des Standard-Benutzernamens für den Administrator in WordPress ist ein einfacher Prozess, der die Sicherheit Ihrer Website erheblich erhöht.

Hier finden Sie eine Schritt-für-Schritt-Anleitung, wie das geht:

• 1. Melden Sie sich im WordPress-Administrationsbereich mit demStandard-Administratorkonto (admin) an.

• 2. Gehen Siezum AbschnittBenutzer im Seitenmenü und wählen Sie Alle Benutzer.

• 3. Suchen Sie den Benutzer“admin” in der Liste und klicken Sie auf sein Konto, um sein Profil zu öffnen.

• 4. Ändern Sie auf der Profilbearbeitungsseite des Benutzers das FeldBenutzername in einen neuen, eindeutigen und schwer zu erratenden Namen.

• 5. Vergessen Sie nach den Änderungen nicht, auf die Schaltfläche Benutzeraktualisieren zu klicken, um den neuen Namen zu speichern.

Ich empfehle, eine lange Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen für den Administrator-Benutzernamen zu verwenden. Dies macht ihn so erratbar wie möglich und schützt Ihre Website vor Eindringlingen.

Denken Sie auch daran, die Kennwörter für andere Konten zu ändern, die mit dem alten Administratornamen verbunden sind. Dazu gehören E-Mail-Konten, Hosting-Konten und alle anderen Dienste, die den alten Namen verwendet haben.

Bearbeitung von WordPress-Dateien deaktivieren

Diese Funktion ermöglicht es Ihnen, den Quellcode von Theme- und Plugin-Dateien direkt über das Admin-Panel zu bearbeiten, was ein potenzielles Risiko darstellen kann.

Standardmäßig ist die Möglichkeit, Dateien zu bearbeiten, in WordPress aktiviert, aber ich empfehle, sie aus Sicherheitsgründen zu deaktivieren. Unbeabsichtigte Änderungen am Code können zu Sicherheitslücken oder sogar zu einem kompletten Ausfall der Website führen. Wenn Ihr Konto gehackt wird, können Angreifer außerdem Dateien nach eigenem Ermessen ändern.

Die Deaktivierung der Dateibearbeitung in WordPress ist ein einfacher Prozess, der nur wenige Minuten dauert:

1. Melden Sie sich im WordPress-Administrationsbereich als Administrator an.

2. Gehen Sie zum AbschnittEinstellungen und wählen Sie Bearbeiten.

3. Deaktivieren Sie die OptionDateibearbeitung zulassen.

4. Klicken Sie auf die Schaltfläche Änderungen speichern.

Sie können den Code auch in Ihre wp-config.php-Datei einfügen

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Nachdem Sie diese Schritte durchgeführt haben, können Sie den Dateicode nicht mehr über das WordPress-Administrationspanel bearbeiten. Dadurch wird das Risiko versehentlicher oder böswilliger Änderungen, die Ihre Website stören könnten, erheblich verringert.

Wenn Sie jedoch von Zeit zu Zeit Änderungen an Ihren Theme- oder Plugin-Dateien vornehmen müssen, können Sie dies jederzeit über einen FTP-Client oder Ihren Hosting-Dateimanager tun. Dies ist eine sicherere Methode, bei der Sie die volle Kontrolle über den Bearbeitungsprozess haben.

Deaktivierung der Ausführung von PHP-Dateien in WordPress-Verzeichnissen

Eine der wirksamsten Methoden zur Verbesserung der Sicherheit besteht darin, die Ausführung von PHP-Dateien in bestimmten Verzeichnissen Ihrer WordPress-Website zu deaktivieren.

Mit dieser Technologie können Sie die Möglichkeit zur Ausführung von bösartigem PHP-Code in bestimmten Verzeichnissen einschränken. Angreifer könnten versuchen, Skripte auf Ihren Server hochzuladen, um unbefugten Zugriff und Kontrolle über Ihre Webressourcen zu erlangen. Wenn jedoch die PHP-Ausführung für bestimmte Verzeichnisse deaktiviert ist, werden solche Versuche fehlschlagen.

Ich empfehle, die Ausführung von PHP in den Verzeichnissen wp-content/uploads und wp-includes zu deaktivieren .

Das Verfahren zur Deaktivierung der PHP-Ausführung ist recht einfach und besteht darin, einen speziellen Code in die .htaccess-Datei im Stammverzeichnis Ihrer WordPress-Website einzufügen. Erfahren Sie mehr: Was ist die .htaccess-Datei: Hauptfunktionen

Hier sind die Zeilen, die Sie hinzufügen müssen:

<Files *.php>
deny from all
</Files>

Dieser Code weist den Server an, keine PHP-Dateien in dem angegebenen Verzeichnis und seinen Unterverzeichnissen auszuführen. Nach der Änderung von .htaccess können Angreifer zwar erfolgreich bösartige PHP-Skripte herunterladen, sie aber nicht ausführen.

Begrenzung der Anmeldeversuche für den WordPress-Admin

Die Begrenzung der Anzahl der Anmeldeversuche für Ihre WordPress-Website ist ein äußerst wichtiger Schritt zur Verbesserung der Sicherheit und zum Schutz vor bösartigen Angriffen.

Eine der einfachsten Methoden ist die Verwendung spezieller Sicherheitsplugins wie Wordfence Security oder Login LockDown. Nach der Installation und Aktivierung des Plugins können Sie die maximal zulässige Anzahl der fehlgeschlagenen Anmeldeversuche von einer einzelnen IP-Adresse aus konfigurieren. Sobald dieses Limit überschritten wird, wird diese IP-Adresse vorübergehend blockiert.

Darüber hinaus bieten diese Plugins oft zusätzliche Sicherheitsfunktionen, wie z. B. Zwei-Faktor-Authentifizierung oder DDoS-Schutz.

Die nächste Methode besteht darin, Änderungen direkt an Ihrer WordPress-.htaccess-Datei vorzunehmen. Durch Hinzufügen bestimmter Codezeilen können Sie die Anzahl der Anmeldeversuche begrenzen und die Blockierungszeit festlegen. Dieser Code lässt zum Beispiel nur 5 Fehlversuche innerhalb von 60 Minuten von einer IP-Adresse aus zu:

order allow,deny 
allow from all
deny from unix

# Білий список localhost:

allow from 127.0.0.1

# Невдалі спроби входу в систему:

<Files wp-login.php>
order allow,deny
allow from all

# Дозвольте не більше 5 спроб входу в систему з однієї й тієї самої IP-адреси кожні 60 хвилин:

<limit-logins>
disable-env=off

# Видаліть IP-адресу, коли доступ дозволено або заборонено:

enable-env=allow-logins-env
env=allow-logins-env
maxretries=5  
findrate=60  
</limit-logins>
</Files>

Nachdem Sie diesen Code zu .htaccess hinzugefügt haben, müssen Sie den Webserver neu starten, damit die Änderungen übernommen werden.

Einige Hosting-Provider bieten auch eine Funktion zum Schutz vor Brute-Force-Angriffen auf Server-Ebene an, mit der Sie Anmeldeversuche von verdächtigen IP-Adressen blockieren können, bevor sie Ihre Website erreichen. Erkundigen Sie sich bei Ihrem Hosting-Anbieter, ob diese Funktion verfügbar ist.

Hinzufügen einer Zwei-Faktor-Authentifizierung (2FA)

Bei der Zwei-Faktor-Authentifizierung müssen Benutzer bei der Anmeldung zwei verschiedene Schritte durchlaufen – die Eingabe eines Benutzernamens und eines Passworts sowie die Eingabe eines zusätzlichen Einmalcodes oder eines Sicherheitstokens. Diese zusätzliche Überprüfung macht den Anmeldevorgang viel sicherer, selbst wenn jemand Ihre ursprünglichen Anmeldedaten herausfindet.

Eine der beliebtesten Lösungen für die Implementierung von 2FA in WordPress ist das WP 2FA-Plugin – Zwei-Faktor-Authentifizierung für WordPress. Nachdem Sie es installiert und aktiviert haben, können Sie die Zwei-Faktor-Authentifizierung für alle Konten auf Ihrer Website aktivieren, auch für den Admin.

Der Einrichtungsprozess:

Von nun an müssen Sie jedes Mal, wenn Sie sich bei Ihrer WordPress-Website anmelden, zusätzlich zur Eingabe Ihrer Anmeldedaten einen sechsstelligen Zahlencode eingeben, um die Gültigkeit Ihrer Sitzung zu überprüfen. Der Code ändert sich alle 30-90 Sekunden.

Denken Sie daran, dass Sie nach dem Verbinden von 2FA Sicherungscodes für Notanmeldungen speichern müssen, falls Sie Ihr Smartphone mit der Authentifizierungs-App verlieren.

Es gibt andere Plugins, mit denen Sie eine Zwei-Faktor-Authentifizierung in WordPress einrichten können, z. B. Duo Security und andere. Sie können zusätzliche Verifizierungsmethoden anbieten, wie SMS oder Telefonanrufe.

Ändern des Präfixes der WordPress-Datenbank

Standardmäßig verwendet WordPress das Standardpräfix“wp_” für alle Tabellen in der Datenbank. Angreifer sind mit diesem Präfix sehr vertraut, was Angriffe auf die Datenbank berechenbarer macht. Indem Sie das Präfix in eine eindeutige Zeichenkombination ändern, machen Sie es potenziellen Hackern sehr viel schwerer.

Bitte beachten Sie: Die Änderung des Datenbankpräfixes kann zu Problemen auf Ihrer Website führen, wenn dieser Vorgang nicht korrekt durchgeführt wird.

Das Ändern des Datenbankpräfixes in WordPress ist recht einfach, erfordert aber Vorsicht, da falsche Aktionen zu Datenverlust führen können.

Hier finden Sie eine schrittweise Anleitung:

• 1. Machen Sie ein vollständiges Backup Ihrer Datenbank und aller WordPress-Dateien. So können Sie Ihre Website im Falle von Problemen wiederherstellen.

• 2. Bearbeiten Sie die Datei wp-config.php, indem Sie die Zeile suchen, die mit $table_prefix = ‘wp_’; beginnt. Ersetzen Sie “wp_” durch eine eindeutige Kombination aus Buchstaben, Zahlen und Unterstrichen Ihrer Wahl. Zum Beispiel: $table_prefix = ‘my8ql_’;

• 3. Führen Siemit Hilfe von Datenbankverwaltungstools (z. B. PhpMyAdmin) eine SQL-Abfrage aus, um die Präfixe aller vorhandenen WordPress-Tabellen zu ändern, damit sie dem neuen Wert entsprechen.

• 4. Aktualisieren Sie die .htaccess-Dateien und alle anderen Dateien, die möglicherweise Verweise auf das alte Datenbankpräfix enthalten.

Hier ist eine Beispiel-SQL-Abfrage, um das Präfix in “my8ql_” zu ändern:

RENAME TABLE `wp_users` TO `my8ql_users`; 
RENAME TABLE `wp_usermeta` TO `my8ql_usermeta`;

... повторіть для всіх таблиць у вашій базі даних WordPress

Nach Abschluss dieser Schritte wird Ihre WordPress-Datenbank ein neues, eindeutiges Präfix verwenden. Dadurch wird es für Angreifer viel schwieriger, die Datenbank zu hacken oder zu infiltrieren.

Beachten Sie, dass das Ändern des Datenbankpräfixes ein irreversibler Vorgang ist. Wenn Sie planen, in Zukunft Updates oder neue WordPress-Plugins zu installieren, könnten diese aufgrund des ungewöhnlichen Tabellenpräfixes nicht richtig funktionieren.

Passwortschutz der Admin-Seite und des WordPress-Logins

Mit diesem Schritt können Sie die Seiten wp-admin und wp-login.php hinter einer zusätzlichen Authentifizierungsebene verstecken, so dass die Benutzer ein separates Passwort eingeben müssen, bevor sie auf diese wichtigen Verwaltungsbereiche zugreifen können.

Eine der einfachsten Möglichkeiten, diese Funktion zu implementieren, ist die Verwendung von cPanel.

Und so geht’s:

Melden Sie sich bei cPanel an:

• Geben Sie Ihre cPanel-Adresse in Ihren Browser ein und melden Sie sich mit Ihren Anmeldedaten an.

Öffnen Sie den Abschnitt Verzeichnis-Passwortschutz:

• Gehen Sie zum AbschnittDateien und wählen Sie entweder Verzeichnis-Passwortschutz oder Verzeichnis-Datenschutz.

Suchen Sie das Verzeichnis wp-admin:

• Wählen Sie das Hauptverzeichnis Ihrer Website (normalerweise“public_html“) und suchen Sie den Ordner wp-admin.

Passwortschutz:

• Klicken Sie auf den Namen des Ordners wp-admin.
• Aktivieren Sie das Kontrollkästchen “Passwortschutz für diesesVerzeichnis“.
• Geben Sie den Namen des geschützten Verzeichnisses ein (dieser Name wird den Benutzern angezeigt).
• Klicken Sie aufSpeichern.

Erstellen Sie einen Benutzer:

• Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um auf das sichere Verzeichnis zuzugreifen.

• Klicken Sie aufSpeichern oder Hinzufügen/Ändern eines autorisierten Benutzers.

Nach diesen Einstellungen müssen Benutzer für den Zugriff auf die Seiten wp-admin und wp-login.php zunächst ein spezielles Sicherheitspasswort auf einer separaten Authentifizierungsseite eingeben. Dies stellt eine zusätzliche Barriere für Eindringlinge dar und hilft, das Administrationspanel Ihrer Website zu sichern.

Indizierung und Durchsuchen von Verzeichnissen deaktivieren

Mit dieser Funktion können Sie die Struktur von Dateien und Ordnern auf Ihrem Server vor Besuchern von Dritten und Suchmaschinen verbergen. Auf diese Weise schützen Sie vertrauliche Informationen und bewahren Ihre Website vor unbefugtem Zugriff.

Um die Indizierung und das Crawling von Verzeichnissen zu deaktivieren, fügen Sie einige Codezeilen in die .htaccess-Datei ein, die sich im Stammverzeichnis Ihrer Website befindet. Hier ist eine Schritt-für-Schritt-Anleitung:

• Schritt 1: Verwenden Sie einen FTP-Client oder Ihren Hosting-Dateimanager, um die .htaccess-Datei im Stammverzeichnis Ihrer Website zu finden.
• Schritt 2: Öffnen Sie die .htaccess-Datei zur Bearbeitung und fügen Sie die folgenden Codezeilen am Ende der Datei ein:

Options -Indexes
IndexIgnore *

Diese Zeilen weisen den Server an, die Indizierungs- und Browsing-Funktion des Ordners zu deaktivieren. Das bedeutet, dass der Inhalt Ihrer Verzeichnisse für alle Besucher verborgen bleibt.

• Schritt 3 (optional): Wenn Sie eine detailliertere Kontrolle über den Verzeichnisschutz wünschen, können Sie eine weitere Codezeile hinzufügen:

Options -Indexes -FollowSymLinks

Dieser Code deaktiviert auch die Möglichkeit, Symlinks auf dem Server zu verfolgen, was die Sicherheit erhöht.

• Schritt 4: Speichern Sie die Änderungen in der .htaccess-Datei.

Nach Anwendung dieser Änderungen können nur noch autorisierte Benutzer die Struktur der Dateien und Ordner Ihrer Website einsehen. Dies trägt dazu bei, Ihre Website vor Hackerangriffen und unbefugtem Zugriff zu schützen.

Bitte beachten Sie jedoch , dass einige Plugins oder Dienste die Indizierungsfunktion benötigen, um ordnungsgemäß zu funktionieren. Wenn dies der Fall ist, können Sie den Code in .htaccess anpassen, indem Sie den entsprechenden Verzeichnissen Berechtigungen hinzufügen.

XML-RPC in WordPress deaktivieren

XML-RPC (Remote Procedure Call) ist ein System, das es Anwendungen und Diensten ermöglicht, mit WordPress über XML-Anfragen zu kommunizieren. Diese Funktion ist zwar für einige Zwecke nützlich, kann aber auch ein potenzielles Sicherheitsrisiko darstellen, wenn sie nicht ordnungsgemäß verwendet wird. Aus diesem Grund empfehle ich, XML-RPC in WordPress zu deaktivieren, um die Sicherheit Ihrer Website zu erhöhen.

Die Deaktivierung von XML-RPC ist recht einfach und erfordert nur ein paar Zeilen Code, die der .htaccess-Datei im Stammverzeichnis Ihrer WordPress-Website hinzugefügt werden müssen.

Hier finden Sie eine schrittweise Anleitung:

• Schritt 1: Öffnen Sie mit einem FTP-Client oder einem Dateimanager die .htaccess-Datei im Stammverzeichnis Ihrer Website.
• Schritt 2: Fügen Sie den folgenden Code am Ende der Datei ein:

# Вимкнути XML-RPC

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Dieser Code weist den Webserver an, den Zugriff auf die Datei xmlrpc.php für alle Besucher zu sperren und damit das XML-RPC-System auf Ihrer Website zu deaktivieren.

Automatisches Abmelden von inaktiven Benutzern in WordPress

Diese Funktion hilft, den unbefugten Zugriff auf das Admin-Panel durch offen gelassene Sitzungen zu verhindern.

Standardmäßig begrenzt WordPress die Sitzungszeit der Benutzer nicht, wodurch die Gefahr besteht, dass Angreifer eine nicht abgeschlossene Sitzung für den Zugriff auf das System ausnutzen können. Durch die Implementierung einer automatischen Abmeldung nach einer bestimmten Zeit der Inaktivität schützen Sie Ihre Website vor solchen Bedrohungen.

Die automatische Abmeldung inaktiver Benutzer lässt sich ganz einfach durch Hinzufügen einiger Codezeilen zur Datei wp-config.php im WordPress-Stammverzeichnis einrichten.

Hier finden Sie eine schrittweise Anleitung:

• Schritt 1: Öffnen Sie mit Ihrem FTP-Client oder Ihrem Hosting-Dateimanager die Datei wp-config.php.

• Schritt 2: Fügen Sie den folgenden Code am Anfang der Datei ein, und zwar vor der Zeile “Thank you for not deleting this”:

// Автоматичний вихід із системи неактивних користувачів через 30 хвилин

define('AUTOSAVE_INTERVAL', 1800); 
define('WP_SESSION_EXPIRATION', 1800); 

Dieser Code setzt die automatische Speicherzeit für Änderungen auf 30 Minuten und die Sitzungsdauer auf 30 Minuten. Nach 30 Minuten Inaktivität werden die Benutzer automatisch vom System getrennt.

Wenn Sie die Inaktivitätsdauer ändern möchten, passen Sie den Wert 1800 (in Sekunden) an Ihre Bedürfnisse an.

• Schritt 3: Speichern Sie die Änderungen in der Datei wp-config.php.

Danach schließt WordPress automatisch Benutzersitzungen, die für einen bestimmten Zeitraum inaktiv waren. Dadurch wird verhindert, dass sich jemand über eine offen gelassene Sitzung Zugang zu Ihrem Verwaltungsbereich verschaffen kann.

Die Verwaltung der Inaktivitätszeit hilft Ihnen, ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit zu finden. Eine zu kurze Zeitspanne kann Nutzer dazu zwingen, sich ständig anzumelden, während eine zu lange Zeitspanne die Risiken erhöht. 30 Minuten gelten für die meisten Websites als vernünftiger Kompromiss.

Empfehlungen des hostkoss-Teams

Wenn es um die Sicherheit einer WordPress-Website geht, müssen Sie bei der Installation von Plugins vorsichtig sein und einen ausgewogenen Ansatz wählen. Eine übermäßige Belastung des Hosting-Plans kann sich negativ auf die Leistung der Website auswirken und Probleme mit ihrer Verfügbarkeit verursachen.

Wir betonen, dass Sie nicht alle verfügbaren Sicherheits-Plugins auf einmal installieren sollten. Stattdessen ist es besser, Ihren aktuellen Bedarf sorgfältig zu analysieren und nur die notwendigsten Tools auszuwählen, die zu dem von Ihnen gewählten Hostingpaket und dessen Ressourcenbeschränkungen passen.

Für WordPress-Websites, die auf kostengünstigen Hosting-Tarifen mit begrenzten Ressourcen gehostet werden, empfiehlt es sich, mit grundlegenden Sicherheitsmaßnahmen zu beginnen, z. B. dem Ändern des Datenbankpräfixes, der Verwendung sicherer Passwörter, dem Einrichten automatischer Abmeldungen für inaktive Benutzer und der Installation eines Minimums an Sicherheits-Plugins. Wenn der Ressourcenbedarf Ihrer Website wächst, können Sie nach und nach weitere Sicherheitsinstrumente hinzufügen.

Für Projektinhaber mit hohen Sicherheits- und Leistungsanforderungen empfehlen wir den Kauf eines dedizierten WordPress-Hostings mit leistungsstarken Ressourcen. Solche Tarifpläne ermöglichen es Ihnen, umfassende Sicherheitsmaßnahmen zu implementieren, ohne das Risiko einer Serverüberlastung.

Wir empfehlen Ihnen auch, unsere anderen Artikel zu lesen, in denen Sie weitere Tipps und Anleitungen finden. Die Links zu diesen Artikeln sind unten angefügt:

• Zugang zum WordPress-Dashboard
• Was ist FTP? Vorteile und Nachteile
• Was sind Protokolldateien und wie verwaltet man sie?
• Wie man eine WordPress-Website im Jahr 2024 erstellt
• Was ist ein Webhoster? Wie es funktioniert
• Was ist ein Rechenzentrum?
• Was ist eine Landing Page und wie erstellt man sie?
• HTTP-Statuscodes: Was sie bedeuten
• Was ist WordPress?

Wenn Sie Fragen oder Probleme bei der Einrichtung der Sicherheit Ihrer Website haben, zögern Sie nicht, unser Support-Team per Live-Chat zu kontaktieren oder Support-Tickets zu erstellen. Wir helfen Ihnen gerne und sorgen dafür, dass Ihre WordPress-Website sicher und stabil ist.

Dieser Artikel wurde von Andrii Kostashchuk rezensiert .

Fragen und Antworten zur Sicherheit von WordPress