Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

Der ultimative WordPress-Sicherheitsleitfaden – Schritt für Schritt (2025)

Wenn wir mit neuen Website-Betreibern sprechen, empfehlen wir immer, so bald wie möglich eine WordPress-Sicherheitslösung einzurichten.

Wir haben WPBeginner über viele Jahre hinweg erfolgreich vor wiederholten Angriffen geschützt. Wir tun dies, indem wir die besten Sicherheits-Plugins verwenden und die besten WordPress-Sicherheitspraktiken befolgen.

Dennoch ist es für jeden Website-Besitzer wichtig, seine WordPress-Website sicher und geschützt zu halten. Genau wie Sie Ihr Zuhause oder Ihr Unternehmen schützen, müssen Sie auch Ihre Website vor Online-Bedrohungen schützen.

Wenn Sie nicht die richtigen Maßnahmen ergreifen, um Ihre Website zu sichern, könnte sie gefährdet sein. Jeden Tag sperrt Google Tausende von Websites aufgrund von Malware und anderen Sicherheitsproblemen.

In diesem Leitfaden geben wir Ihnen unsere besten Tipps und eine WordPress-Sicherheitscheckliste an die Hand, damit Sie Ihre Website vor Hackern und Malware schützen können.

The Ultimate WordPress Security Guide - Step by Step

Obwohl die WordPress-Kernsoftware sehr sicher ist und regelmäßig von Hunderten von Entwicklern überprüft wird, gibt es immer noch eine Menge zu tun, um die Sicherheit Ihrer Website zu gewährleisten.

Bei WPBeginner sind wir der Meinung, dass Sicherheit nicht nur mit der Beseitigung von Risiken zu tun hat. Es geht auch um Risikominderung. Als Website-Besitzer können Sie eine Menge tun, um die Sicherheit von WordPress zu verbessern, selbst wenn Sie technisch nicht versiert sind.

Aus diesem Grund haben wir eine WordPress-Sicherheitscheckliste mit umsetzbaren Schritten zusammengestellt, mit denen Sie Ihre Website vor Sicherheitslücken schützen können.

Um es Ihnen leicht zu machen, haben wir ein Inhaltsverzeichnis erstellt, das Ihnen hilft, sich in unserem ultimativen WordPress-Sicherheitsleitfaden zurechtzufinden.

Inhaltsübersicht

Grundlagen der WordPress-Sicherheit

WordPress-Sicherheit in einfachen Schritten (ohne Programmierkenntnisse)

WordPress-Sicherheit für Heimwerker

Sind Sie bereit? Dann fangen wir an.

Warum Website-Sicherheit wichtig ist

Eine gehackte WordPress-Website kann den Einnahmen und dem Ruf Ihres Unternehmens schweren Schaden zufügen. Hacker können Benutzerinformationen und Passwörter stehlen, bösartige Software installieren und sogar Malware an Ihre Benutzer verteilen.

Schlimmstenfalls müssen Sie Ransomware an Hacker zahlen, nur um wieder Zugang zu Ihrer Website zu erhalten.

Ransomware Attack

Jeden Tag warnt Google 12-14 Millionen Nutzer, dass eine Website, die sie besuchen wollen, möglicherweise Malware enthält oder Informationen stiehlt.

Außerdem setzt Google täglich mehr als 10.000 Websites wegen Malware oder Phishing auf die schwarze Liste.

Genauso wie Geschäftsinhaber mit einer physischen Position für den Schutz ihres Eigentums verantwortlich sind, müssen Online-Geschäftsinhaber der Sicherheit ihres WordPress besondere Aufmerksamkeit schenken.

[Zurück zum Anfang ↑]

WordPress auf dem neuesten Stand halten

Easily update WordPress

WordPress ist eine Open-Source-Software und wird regelmäßig gewartet und aktualisiert. Standardmäßig installiert WordPress automatisch kleinere Updates.

Bei größeren Versionen müssen Sie die Aktualisierung manuell anstoßen.

Für WordPress gibt es außerdem Tausende von Plugins und Themes, die Sie auf Ihrer Website installieren können. Diese Plugins und Themes werden von Drittentwicklern gepflegt, die auch regelmäßig Updates veröffentlichen.

Diese WordPress-Updates sind entscheidend für die Sicherheit und Stabilität Ihrer WordPress-Website. Sie müssen sicherstellen, dass Ihr WordPress-Kern, Ihre Plugins und Ihr Theme auf dem neuesten Stand sind.

[Zurück zum Anfang ↑]

Verwenden Sie sichere Kennwörter und Benutzerberechtigungen

Manage strong passwords

Bei den meisten WordPress-Hacking-Versuchen werden gestohlene Passwörter verwendet. Sie können dies jedoch erschweren, indem Sie stärkere, eindeutige Passwörter für Ihre Website verwenden.

Dabei geht es nicht nur um den WordPress-Verwaltungsbereich. Denken Sie daran, sichere Passwörter für Ihre FTP-Konten, Datenbanken, WordPress-Hosting-Konten und benutzerdefinierte E-Mail-Adressen zu erstellen, die den Domainnamen Ihrer Website verwenden.

Viele Anfänger verwenden ungern sichere Passwörter, weil sie schwer zu merken sind. Das Gute daran ist, dass Sie sich keine Passwörter mehr merken müssen, weil Sie einfach einen Passwortmanager verwenden können.

In unserem Leitfaden zur Verwaltung von WordPress-Passwörtern finden Sie weitere Informationen.

Eine weitere Möglichkeit, das Risiko zu verringern, besteht darin, niemandem Zugang zu Ihrem WordPress-Administratorkonto zu gewähren, wenn Sie es nicht unbedingt müssen.

Wenn Sie ein großes Team oder Gastautoren haben, dann stellen Sie sicher, dass Sie die Benutzerrollen und Fähigkeiten in WordPress verstehen, bevor Sie neue Benutzerkonten und Autoren zu Ihrer WordPress-Website hinzufügen.

[Zurück zum Anfang ↑]

Verstehen Sie die Rolle des WordPress-Hostings

SiteGround

Ihr WordPress-Hosting-Service spielt die wichtigste Rolle für die Sicherheit Ihrer WordPress-Website. Ein guter Shared-Hosting-Anbieter wie Hostinger, Bluehost oder SiteGround ergreift zusätzliche Maßnahmen zum Schutz seiner Server vor gängigen Bedrohungen.

Hier sind nur einige Beispiele dafür, wie gute Webhosting-Unternehmen im Hintergrund arbeiten, um Ihre Websites und Daten zu schützen:

  • Sie überwachen ihr Netzwerk kontinuierlich auf verdächtige Aktivitäten.
  • Alle guten Hosting-Unternehmen verfügen über Tools zur Verhinderung groß angelegter DDoS-Angriffe.
  • Sie halten ihre Serversoftware, PHP-Versionen und Hardware auf dem neuesten Stand, um zu verhindern, dass Hacker eine bekannte Sicherheitslücke in einer alten Version ausnutzen.
  • Sie verfügen über einsatzbereite Disaster-Recovery- und Unfallpläne, die es ihnen ermöglichen, Ihre Daten im Falle eines größeren Unfalls zu schützen.

Bei einem Shared-Hosting-Tarif teilen Sie die Serverressourcen mit vielen anderen Kunden. Es besteht das Risiko einer seitenübergreifenden Kontamination, bei der ein Hacker eine benachbarte Website nutzen kann, um Ihre Website anzugreifen.

Im Gegensatz dazu bietet ein verwalteter WordPress-Hosting-Dienst eine sicherere Plattform für Ihre Website. Managed-WordPress-Hosting-Unternehmen bieten automatische Backups, automatische WordPress-Updates und erweiterte Sicherheitskonfigurationen zum Schutz Ihrer Website

Wir empfehlen SiteGround als unseren bevorzugten Managed WordPress Hosting-Anbieter. Sie haben einen responsiven Support, schnelle Server und eine ausgezeichnete Zuverlässigkeit.

Stellen Sie sicher, dass Sie das beste Angebot erhalten, indem Sie unseren speziellen SiteGround-Gutschein verwenden.

[Zurück zum Anfang ↑]

WordPress-Sicherheit in ein paar einfachen Schritten (ohne Programmierung)

Wir wissen, dass die Verbesserung der WordPress-Sicherheit für Anfänger ein erschreckender Gedanke sein kann, vor allem, wenn Sie nicht technisch versiert sind. Raten Sie mal – Sie sind nicht allein.

Wir haben Tausenden von WordPress-Benutzern bei der Härtung ihrer WordPress-Sicherheit geholfen.

Wir zeigen Ihnen, wie Sie die Sicherheit von WordPress mit nur wenigen Klicks verbessern können (kein Programmieren erforderlich).

Wenn du zeigen und klicken kannst, kannst du das auch!

1. Installieren Sie eine WordPress-Backup-Lösung

WordPress Backup

Backups sind Ihre erste Verteidigung gegen jeden WordPress-Angriff. Denken Sie daran, dass nichts zu 100 % sicher ist. Wenn Regierungswebsites gehackt werden können, dann kann das auch Ihre sein.

Mit Backups können Sie Ihre WordPress-Website schnell wiederherstellen, falls etwas Schlimmes passieren sollte.

Es gibt viele kostenlose und kostenpflichtige WordPress-Backup-Plugins, die Sie verwenden können. Das Wichtigste, was Sie im Zusammenhang mit Backups wissen müssen, ist, dass Sie regelmäßig vollständige Backups der Website an einem entfernten Ort speichern müssen (nicht in Ihrem Hosting-Konto).

Wir empfehlen, sie in einem Cloud-Dienst wie Amazon, Dropbox oder in privaten Clouds wie Stash zu speichern.

Je nachdem, wie häufig Sie Ihre Website aktualisieren, ist die ideale Einstellung entweder eine tägliche Sicherung oder eine Sicherung in Echtzeit.

Glücklicherweise kann dies mit Plugins wie Duplicator, UpdraftPlus oder BlogVault leicht bewerkstelligt werden. Sie sind beide zuverlässig und vor allem einfach zu bedienen (keine Codierung erforderlich).

Weitere Einzelheiten finden Sie in unserem Leitfaden zum Sichern Ihrer WordPress-Website.

[Zurück zum Anfang ↑]

Installieren Sie ein seriöses WordPress-Sicherheits-Plugin

Nach den Backups müssen wir als Nächstes ein Prüf- und Überwachungssystem einrichten, das alles, was auf Ihrer Website passiert, im Auge behält.

Dazu gehören die Überwachung der Dateiintegrität, fehlgeschlagene Anmeldeversuche, Malware-Scans und vieles mehr.

Glücklicherweise können Sie dies leicht beheben, indem Sie eines der besten WordPress-Sicherheits-Plugins wie Sucuri installieren.

Sie müssen das kostenlose Sucuri Security Plugin installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Jetzt können Sie auf dem Sucuri Security ” Dashboard sehen, ob das Plugin unmittelbare Probleme mit Ihrem WordPress-Code gefunden hat.

Setting up the Sucuri WordPress security plugin

Als Nächstes müssen Sie zur Seite Sucuri Security ” Settings navigieren und auf die Registerkarte “Hardening” klicken.

Die Standardeinstellungen sind für die meisten Websites gut geeignet. Sie können sie also aktivieren, indem Sie bei jeder Option auf die Schaltfläche “Härtung anwenden” klicken.

Hardening your WordPress blog or website

Auf diese Weise können Sie die Schlüsselbereiche, die Hacker häufig für ihre Angriffe nutzen, absichern.

Tipp: Wir werden später in diesem Artikel weitere Möglichkeiten zur Absicherung Ihrer Website behandeln, z. B. das Ändern des Datenbankpräfixes und des Administrator-Benutzernamens. Diese sind jedoch eher technischer Natur und erfordern möglicherweise Programmierkenntnisse.

Nach dem Härtungsteil sind die anderen Standardeinstellungen des Plugins für die meisten Websites ausreichend und müssen nicht geändert werden.

Das Einzige, was wir empfehlen, ist die Anpassung der E-Mail-Benachrichtigungen, die Sie auf der Registerkarte “Benachrichtigungen” auf der Einstellungsseite finden.

Customizing your website's security alerts

Standardmäßig erhalten Sie eine Vielzahl von E-Mail-Benachrichtigungen, die Ihren Posteingang verstopfen können.

Wir empfehlen, Warnmeldungen nur für wichtige Aktionen zu aktivieren, über die Sie benachrichtigt werden möchten, z. B. für Plugin-Änderungen und neue Benutzerregistrierungen.

Customizing your WordPress security notifications

Dieses WordPress-Sicherheits-Plugin ist sehr leistungsfähig. Durchstöbern Sie alle Registerkarten und Einstellungen, um zu sehen, was es alles kann, wie z. B. Malware-Scans, Audit-Protokolle, Nachverfolgung fehlgeschlagener Anmeldeversuche und mehr.

Weitere Informationen finden Sie in unserem ausführlichen Sucuri-Test.

Aktivieren Sie eine Web Application Firewall (WAF)

Der Einsatz einer Web Application Firewall (WAF) ist der einfachste Weg, Ihre Website zu schützen und sich auf die Sicherheit von WordPress zu verlassen.

Eine Website-Firewall blockiert jeglichen bösartigen Datenverkehr, bevor er Ihre Website überhaupt erreicht.

  • Eine Website-Firewall auf DNS-Ebene leitet den Datenverkehr Ihrer Website über ihre Cloud-Proxyserver. So kann sie nur echten Datenverkehr an Ihren Webserver senden.
  • Eine Firewall auf Anwendungsebene prüft den Datenverkehr, sobald er Ihren Server erreicht, aber bevor die meisten WordPress-Skripte geladen werden. Diese Methode ist bei der Reduzierung der Serverlast nicht so effizient wie die Firewall auf DNS-Ebene.

Weitere Informationen finden Sie in unserer Liste der besten WordPress-Firewall-Plugins.

How website firewall blocks attacks

Wir haben Sucuri auf WPBeginner viele Jahre lang verwendet und empfehlen es immer noch als eine der besten Web Application Firewalls für WordPress. Vor kurzem sind wir von Sucuri zu Cloudflare gewechselt, weil wir ein größeres CDN-Netzwerk mit Funktionen benötigten, die sich mehr auf Unternehmenskunden konzentrieren.

Lesen Sie, wie Sucuri uns geholfen hat, 450.000 WordPress-Angriffe in einem Monat zu blockieren.

Attacks blocked by Sucuri

Das Beste an der Firewall von Sucuri ist, dass sie auch eine Garantie für die Beseitigung von Malware und die Entfernung von schwarzen Listen enthält. Das heißt, wenn Sie unter ihrer Aufsicht gehackt werden, garantieren sie, Ihre Website zu reparieren, egal wie viele Seiten Sie haben.

Dies ist eine ziemlich starke Garantie, denn die Reparatur von gehackten Websites ist teuer. Sicherheitsexperten verlangen normalerweise mehr als 250 Dollar pro Stunde, während Sie das gesamte Sucuri-Sicherheitspaket für 199 Dollar für ein ganzes Jahr erhalten können.

Allerdings ist Sucuri nicht der einzige Anbieter von Firewalls auf DNS-Ebene, den es gibt. Der andere beliebte Konkurrent ist Cloudflare. Siehe unseren Vergleich von Sucuri und Cloudflare (Vor- und Nachteile).

[Zurück zum Anfang ↑]

Verschieben Sie Ihre WordPress-Site zu SSL/HTTPS

SSL (Secure Sockets Layer) ist ein Protokoll, das die Datenübertragung zwischen Ihrer Website und dem Browser des Benutzers verschlüsselt. Diese Verschlüsselung macht es für jemanden schwieriger, Informationen auszuspähen und zu stehlen.

How SSL Works

Sobald Sie SSL aktiviert haben, verwendet Ihre Website-Adresse HTTPS anstelle von HTTP. Sie sehen dann auch ein Vorhängeschloss oder ein ähnliches Symbol neben der Adresse Ihrer Website im Browser.

SSL-Zertifikate werden in der Regel von Zertifizierungsstellen ausgestellt, und ihre Preise reichen von 80 bis zu Hunderten von Dollar pro Jahr. Aufgrund der zusätzlichen Kosten haben sich die meisten Website-Besitzer in der Vergangenheit dafür entschieden, weiterhin das unsichere Protokoll zu verwenden.

Um dieses Problem zu lösen, hat die gemeinnützige Organisation Let’s Encrypt beschlossen, Website-Betreibern kostenlose SSL-Zertifikate anzubieten. Ihr Projekt wird von Google Chrome, Facebook, Mozilla und vielen anderen Unternehmen unterstützt.

Es ist einfacher denn je, SSL für alle Ihre WordPress-Websites zu verwenden. Viele Hosting-Unternehmen bieten jetzt ein kostenloses SSL-Zertifikat für Ihre WordPress-Website an.

Wenn Ihr Hosting-Unternehmen kein SSL-Zertifikat anbietet, können Sie ein SSL-Zertifikat bei Domain.com erwerben. Sie haben die besten und zuverlässigsten SSL-Angebote auf dem Markt. Das Zertifikat wird mit einer 10.000-Dollar-Sicherheitsgarantie und einem TrustLogo-Sicherheitssiegel geliefert.

Wenn Sie alles tun, was wir bisher erwähnt haben, dann sind Sie in ziemlich guter Verfassung.

Aber wie immer gibt es noch mehr, was Sie tun können, um die Sicherheit Ihres WordPress zu erhöhen.

Beachten Sie, dass einige dieser Schritte Programmierkenntnisse erfordern.

Ändern Sie den Standardbenutzernamen für Administratoren

Früher war der Standard-Benutzername für WordPress-Administratoren “admin”. Da Benutzernamen die Hälfte der Anmeldedaten ausmachen, war es für Hacker einfacher, Brute-Force-Angriffe durchzuführen.

Glücklicherweise hat WordPress dies inzwischen geändert und verlangt nun, dass Sie bei der Installation von WordPress einen eigenen Benutzernamen auswählen.

Einige 1-Klick-WordPress-Installationsprogramme setzen den Standardbenutzernamen des Administrators jedoch immer noch auf “admin”. Wenn Sie feststellen, dass dies der Fall ist, ist es wahrscheinlich eine gute Idee, Ihr Webhosting zu wechseln.

Da WordPress es nicht zulässt, dass Sie Benutzernamen standardmäßig ändern, gibt es drei Methoden, die Sie verwenden können, um den Benutzernamen zu ändern.

  1. Erstellen Sie einen neuen Administrator-Benutzernamen und löschen Sie den alten.
  2. Verwenden Sie das Plugin Username Changer
  3. Benutzernamen von phpMyAdmin aktualisieren

Wir haben alle drei Punkte in unserer ausführlichen Anleitung zum Ändern des WordPress-Benutzernamens behandelt.

Hinweis: Um das klarzustellen, geht es hier darum, den Benutzernamen “admin” zu ändern, nicht die Administratorrolle, die manchmal auch “admin” genannt wird.

[Zurück zum Anfang ↑]

Dateibearbeitung deaktivieren

WordPress verfügt über einen integrierten Code-Editor, mit dem Sie Ihre Theme- und Plugin-Dateien direkt im WordPress-Adminbereich bearbeiten können.

In den falschen Händen kann diese Funktion ein Sicherheitsrisiko darstellen, weshalb wir empfehlen, sie zu deaktivieren.

Adding custom CSS in a child theme's stylesheet in the theme file editor

Sie können dies ganz einfach tun, indem Sie den folgenden Code in Ihre wp-config.php-Datei einfügen oder mit einem Code-Snippet-Plugin wie WPCode (empfohlen):

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

In unserer Anleitung zum Deaktivieren von Theme- und Plugin-Editoren im WordPress-Admin-Panel zeigen wir Ihnen Schritt für Schritt, wie Sie dies tun können.

Alternativ können Sie dies mit einem Klick über die Härtungsfunktion des oben erwähnten kostenlosen Sucuri-Plugins tun.

[Zurück zum Anfang ↑]

Deaktivieren Sie die Ausführung von PHP-Dateien in bestimmten WordPress-Verzeichnissen

Eine weitere Möglichkeit, die Sicherheit von WordPress zu erhöhen, besteht darin, die Ausführung von PHP-Dateien in Verzeichnissen zu deaktivieren, in denen sie nicht benötigt werden, wie z. B. /wp-content/uploads/.

Sie können dies tun, indem Sie einen Texteditor wie Notepad öffnen und diesen Code einfügen:

<Files *.php>
deny from all
</Files>

Als Nächstes müssen Sie diese Datei als .htaccess speichern und sie mit einem FTP-Client in den Ordner /wp-content/uploads/ Ihrer Website hochladen.

Eine genauere Erklärung finden Sie in unserer Anleitung, wie Sie die Ausführung von PHP in bestimmten WordPress-Verzeichnissen deaktivieren können.

Alternativ können Sie dies mit einem Klick über die Funktion “Härten” des oben erwähnten kostenlosen Sucuri Plugins tun.

[Zurück zum Anfang ↑]

Anmeldeversuche begrenzen

Standardmäßig erlaubt WordPress den Nutzern, sich so oft anzumelden, wie sie wollen. Dies macht Ihre WordPress-Website anfällig für Brute-Force-Angriffe. Dabei versuchen Hacker, Passwörter zu knacken, indem sie versuchen, sich mit verschiedenen Kombinationen anzumelden.

Dies lässt sich leicht beheben, indem die Anzahl der fehlgeschlagenen Anmeldeversuche eines Benutzers begrenzt wird. Wenn Sie die bereits erwähnte Web Application Firewall verwenden, wird dies automatisch behoben.

Wenn Sie die Firewall jedoch nicht eingerichtet haben, können Sie die folgenden Schritte ausführen.

Zunächst müssen Sie das kostenlose Plugin Limit Login Attempts Reloaded installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Nach der Aktivierung beginnt das Plugin, die Anzahl der Anmeldeversuche der Benutzer zu begrenzen.

Die Standardeinstellungen sind für die meisten Websites geeignet. Sie können sie jedoch individuell anpassen, indem Sie die Seite Einstellungen ” Anmeldeversuche beschränken aufrufen und oben auf den Tab “Einstellungen” klicken. Wenn Sie zum Beispiel die DSGVO-Gesetze einhalten möchten, können Sie auf das Kontrollkästchen “DSGVO-Konformität” klicken.

Limit Login Attempts

Detaillierte Anweisungen finden Sie in unserem Leitfaden darüber, wie und warum Sie Anmeldeversuche in WordPress begrenzen sollten.

[Zurück zum Anfang ↑]

Zwei-Faktor-Authentifizierung (2FA) hinzufügen

Die Zwei-Faktor-Authentifizierungsmethode erfordert 2 verschiedene Schritte für die Anmeldung der Benutzer:

  1. Der erste Schritt ist die Eingabe des Benutzernamens und des Passworts.
  2. Im zweiten Schritt müssen Sie einen Code von einem Gerät oder einer App in Ihrem Besitz verwenden, auf das bzw. die Hacker keinen Zugriff haben, z. B. von Ihrem Smartphone.

Bei den meisten großen Online-Websites wie Google, Facebook und Twitter können Sie diese Funktion für Ihre Konten aktivieren. Sie können die gleiche Funktion auch zu Ihrer WordPress-Website hinzufügen.

Zunächst müssen Sie das Plugin WP 2FA – Two-factor Authentication installieren und aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung für die Installation eines WordPress-Plugins.

Ein benutzerfreundlicher Assistent hilft Ihnen bei der Einrichtung des Plugins und anschließend erhalten Sie einen QR-Code.

Use Your Authenticator App to Scan the QR Code

Sie müssen den QR-Code mit einer Authentifizierungs-App auf Ihrem Telefon scannen, z. B. Google Authenticator, Authy oder LastPass Authenticator.

Wir empfehlen die Verwendung von LastPass Authenticator oder Authy, da sie es Ihnen ermöglichen, Ihre Konten in der Cloud zu sichern. Dies ist sehr nützlich, falls Ihr Telefon verloren geht, zurückgesetzt wird oder Sie ein neues Telefon kaufen. Alle Ihre Kontoanmeldungen lassen sich leicht wiederherstellen.

Die meisten dieser Apps funktionieren auf ähnliche Weise, und wenn Sie Authy verwenden, klicken Sie einfach auf die Schaltfläche “+” oder “Konto hinzufügen” in der Authentifizierungs-App.

Click the + Button to Add an Account

Damit können Sie den QR-Code auf Ihrem Computer mit der Kamera Ihres Telefons scannen. Möglicherweise müssen Sie der App zunächst die Berechtigung zum Zugriff auf die Kamera erteilen.

Nachdem Sie dem Konto einen Namen gegeben haben, können Sie es speichern.

Wenn Sie sich das nächste Mal bei Ihrer Website anmelden, werden Sie nach der Eingabe Ihres Passworts nach dem Code für die Zwei-Faktor-Authentifizierung gefragt.

Users Must Enter an Authentication Code Before Logging In

Öffnen Sie einfach die Authenticator-App auf Ihrem Telefon, und Sie sehen einen einmaligen Code.

Sie können dann den Code auf Ihrer Website eingeben, um die Anmeldung abzuschließen.

Find Your 2FA Token

[Zurück zum Anfang ↑]

Ändern des WordPress-Datenbankpräfixes

WordPress verwendet standardmäßig wp_ als Präfix für alle Tabellen in Ihrer WordPress-Datenbank.

Wenn Ihre WordPress-Website das Standard-Datenbankpräfix verwendet, ist es für Hacker einfacher, den Namen Ihrer Tabelle zu erraten. Deshalb empfehlen wir, es zu ändern.

Sie können Ihr Datenbank-Präfix ändern, indem Sie unserer Schritt-für-Schritt-Anleitung folgen, wie Sie das WordPress-Datenbank-Präfix ändern, um die Sicherheit zu verbessern.

Hinweis: Das Ändern des Datenbankpräfixes kann Ihre Website zerstören, wenn es nicht richtig gemacht wird. Tun Sie dies nur, wenn Sie sich mit Ihren Programmierkenntnissen sicher fühlen.

[Zurück zum Anfang ↑]

Passwortschutz für WordPress Admin und Login-Seite

Password protect WordPress admin example

Normalerweise können Hacker Ihren wp-admin-Ordner und Ihre Anmeldeseite ohne jegliche Einschränkungen anfordern. Dies ermöglicht ihnen, ihre Hacking-Tricks auszuprobieren oder DDoS-Angriffe durchzuführen.

Sie können einen zusätzlichen Passwortschutz auf Server-Ebene hinzufügen, der diese Anfragen effektiv blockiert.

Folgen Sie einfach unserer Schritt-für-Schritt-Anleitung, wie Sie Ihr WordPress-Admin-Verzeichnis (wp-admin) mit einem Passwort schützen können.

[Zurück zum Anfang ↑]

Verzeichnisindizierung und -durchsuchung deaktivieren

Directory Browsing

Wenn Sie die Adresse eines Ihrer Website-Ordner in einen Webbrowser eingeben, wird Ihnen die Webseite index.html angezeigt, sofern sie existiert. Existiert sie nicht, wird Ihnen stattdessen eine Liste der Dateien in diesem Ordner angezeigt. Dies wird als “Directory Browsing” bezeichnet.

Das Durchsuchen von Verzeichnissen kann von Hackern genutzt werden, um herauszufinden, ob Sie Dateien mit bekannten Sicherheitslücken haben, so dass sie diese Dateien ausnutzen können, um sich Zugang zu verschaffen.

Das Durchsuchen von Verzeichnissen kann auch von anderen Personen verwendet werden, um Ihre Dateien einzusehen, Bilder zu kopieren, Ihre Verzeichnisstruktur herauszufinden und andere Informationen zu erhalten. Aus diesem Grund wird dringend empfohlen, die Verzeichnisindizierung und das Durchsuchen zu deaktivieren.

Sie müssen sich mit FTP oder dem Dateimanager Ihres Hosting-Anbieters mit Ihrer Website verbinden. Suchen Sie dann die .htaccess-Datei im Stammverzeichnis Ihrer Website. Wenn Sie sie dort nicht sehen können, lesen Sie unsere Anleitung, warum Sie die .htaccess-Datei in WordPress nicht sehen können.

Danach müssen Sie die folgende Zeile am Ende der .htaccess-Datei hinzufügen:

Optionen -Indizes

Vergessen Sie nicht, die .htaccess-Datei zu speichern und wieder auf Ihre Website hochzuladen.

Weitere Informationen zu diesem Thema finden Sie in unserem Artikel über die Deaktivierung des Directory Browsing in WordPress.

[Zurück zum Anfang ↑]

XML-RPC in WordPress deaktivieren

XML-RPC ist eine WordPress-Kern-API, die dabei hilft, Ihre WordPress-Website mit Web- und Mobilanwendungen zu verbinden. Sie ist seit WordPress 3.5 standardmäßig aktiviert.

Aufgrund seiner Leistungsfähigkeit kann XML-RPC jedoch Brute-Force-Angriffe erheblich verstärken.

Wenn ein Hacker zum Beispiel 500 verschiedene Passwörter auf Ihrer Website ausprobieren wollte, müsste er 500 verschiedene Anmeldungen vornehmen. Das Plugin Limit Login Attempts Reloaded kann dies abfangen und blockieren.

Aber mit XML-RPC kann ein Hacker die Funktion system.multicall verwenden, um Tausende von Passwörtern mit sagen wir 20 oder 50 Anfragen auszuprobieren.

Wenn Sie XML-RPC nicht verwenden, empfehlen wir Ihnen daher, es zu deaktivieren.

Es gibt 3 Möglichkeiten, XML-RPC in WordPress zu deaktivieren, und wir haben alle in unserer Schritt-für-Schritt-Anleitung zur Deaktivierung von XML-RPC in WordPress behandelt.

Tipp: Die .htaccess-Methode ist die beste, weil sie am wenigsten ressourcenintensiv ist. Die anderen Methoden sind für Anfänger einfacher.

Alternativ dazu wird dies automatisch erledigt, wenn Sie, wie bereits erwähnt, eine Web Application Firewall (WAF) verwenden.

[Zurück zum Anfang ↑]

Untätige Benutzer in WordPress automatisch abmelden

Eingeloggte Benutzer können sich manchmal vom Bildschirm entfernen, was ein Sicherheitsrisiko darstellt. Jemand kann ihre Sitzung entführen, Passwörter ändern oder Änderungen an ihrem Konto vornehmen.

Aus diesem Grund melden viele Bank- und Finanzseiten inaktive Benutzer automatisch ab. Sie können eine ähnliche Funktion auch auf Ihrer WordPress-Website einrichten.

Sie müssen das Plugin ” Inactive Logout” installieren und aktivieren. Rufen Sie nach der Aktivierung die Seite Einstellungen ” Inaktives Logout auf, um die Logout-Einstellungen anzupassen.

Logout idle users

Legen Sie einfach die Zeitdauer fest und fügen Sie eine Abmeldemeldung hinzu. Vergessen Sie dann nicht, auf die Schaltfläche “Änderungen speichern” unten auf der Seite zu klicken, um Ihre Einstellungen zu speichern.

Eine Schritt-für-Schritt-Anleitung finden Sie in unserer Anleitung zum automatischen Abmelden untätiger Benutzer in WordPress.

[Zurück zum Anfang ↑]

Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm

Durch das Hinzufügen einer Sicherheitsfrage zu Ihrem WordPress-Anmeldebildschirm wird es noch schwieriger für jemanden, sich unbefugt Zugang zu verschaffen.

Sie können Sicherheitsfragen hinzufügen, indem Sie das Zwei-Faktor-Authentifizierungs-Plugin installieren. Nach der Aktivierung müssen Sie die Seite Mehrfaktor-Authentifizierung ” Zweifaktor besuchen, um die Einstellungen des Plugins zu konfigurieren.

Damit können Sie verschiedene Arten der Zwei-Faktor-Authentifizierung zu Ihrer Website hinzufügen, einschließlich Sicherheitsfragen.

Adding Security Questions to WordPress Login

Ausführlichere Anweisungen finden Sie in unserem Tutorial über das Hinzufügen von Sicherheitsfragen zum WordPress-Anmeldebildschirm.

[Zurück zum Anfang ↑]

Scannen von WordPress auf Malware und Schwachstellen

Malware Scan

Wenn Sie ein WordPress-Sicherheits-Plugin installiert haben, wird es routinemäßig nach Malware und Anzeichen von Sicherheitsverletzungen suchen.

Wenn Sie jedoch einen plötzlichen Rückgang des Website-Traffics oder des Suchrankings feststellen, sollten Sie manuell nach Malware suchen. Sie können dies mit Ihrem WordPress-Sicherheits-Plugin oder einem der besten Malware- und Sicherheitsscanner tun.

Die Durchführung dieser Online-Scans ist ganz einfach. Sie geben einfach die URL Ihrer Website ein, und die Crawler durchsuchen Ihre Website nach bekannter Malware und bösartigem Code.

Denken Sie daran, dass die meisten WordPress-Sicherheitsscanner Sie nur warnen können, wenn Ihre Website Malware enthält. Sie können die Malware nicht entfernen oder eine gehackte WordPress-Website säubern.

Dies bringt uns zum nächsten Abschnitt, der Bereinigung von Malware und gehackten WordPress-Seiten.

[Zurück zum Anfang ↑]

Eine gehackte WordPress-Website reparieren

Viele WordPress-Benutzer erkennen die Bedeutung von Backups und Website-Sicherheit erst, wenn ihre Website gehackt wird.

Hacker installieren Hintertüren auf den betroffenen Websites, und wenn diese Hintertüren nicht ordnungsgemäß repariert werden, wird Ihre Website wahrscheinlich erneut gehackt.

Für die Abenteuerlustigen und Heimwerker haben wir eine Schritt-für-Schritt-Anleitung zur Behebung einer gehackten WordPress-Website zusammengestellt.

Die Bereinigung einer WordPress-Website kann jedoch sehr schwierig und zeitaufwändig sein. Wir raten dazu, dies von einem Profi erledigen zu lassen.

Wenn Sie für die Verwendung des oben erwähnten Sucuri-Sicherheits-Plugins bezahlen, ist die Reparatur einer gehackten Website im Preis inbegriffen.

Sie können auch den WPBeginner Pro Services Reparaturservice für gehackte Websites nutzen. Dies erfordert eine einmalige Zahlung von $249 und beinhaltet eine erstklassige Dateibestimmung, die Entfernung von bösartigem Code, Software- und Sicherheitsupdates und ein bereinigtes Website-Backup.

WPBeginner Pro Services Hacked Site Repair

Wir garantieren, dass wir Ihre Website reparieren oder Ihnen Ihr Geld zurückgeben. Außerdem decken wir Ihre Website 30 Tage lang nach der Reparatur ab. Wenn Sie also in dieser Zeit erneut gehackt werden, sind wir zur Stelle, um das Problem zu beheben.

Wir säubern und sichern WordPress-Websites seit mehr als 10 Jahren. Sie können also beruhigt sein, wenn Sie unseren Service zur Reparatur gehackter Websites nutzen.

[Zurück zum Anfang ↑]

Bonus-Tipp: Beauftragen Sie einen WordPress-Wartungsdienst

Als vielbeschäftigter Kleinunternehmer haben Sie vielleicht keine Zeit, die Sicherheit Ihrer Website zu überwachen und sie vor Schwachstellen zu schützen. Um Ihnen die Arbeit zu erleichtern, können Sie einen WordPress-Wartungsservice für die 24/7-Sicherheitsüberwachung beauftragen.

WPBeginner Pro Services bietet umfassende WordPress-Website-Wartung zu einem erschwinglichen Preis. Dazu gehören Sicherheitsüberwachung, regelmäßige Cloud-Backups, WordPress-Updates, Überwachung der Betriebszeit und vieles mehr.

WPBeginner WordPress website maintenance service

Wählen Sie einfach ein monatliches Wartungspaket, das Ihren Bedürfnissen entspricht, und Sie erhalten eine sicherere WordPress-Website und zusätzliche freie Zeit, um an anderen Aspekten Ihres Unternehmens zu arbeiten.

Wenn Sie weitere Empfehlungen wünschen, können Sie sich unsere Auswahl der besten Website-Wartungsdienste für WordPress ansehen.

[Zurück zum Anfang ↑]

FAQs zur WordPress-Sicherheit

Da die Sicherheit von WordPress so wichtig ist, werden uns regelmäßig Fragen dazu gestellt. Hier finden Sie Antworten auf häufig gestellte Fragen zum Schutz von WordPress-Websites vor Angriffen.

Ist die Verwendung von WordPress sicher?

WordPress ist so konzipiert, dass es sicher ist, insbesondere wenn Sie es regelmäßig aktualisieren. Weil es aber so beliebt ist, haben es Hacker oft auf WordPress-Websites abgesehen.

Aber keine Sorge. Wenn Sie einfache Sicherheitstipps wie die in diesem Artikel befolgen, können Sie die Wahrscheinlichkeit, dass jemand Ihre Website hackt, erheblich verringern.

Was kann meine WordPress-Website gefährden?

Hacker versuchen auf unterschiedliche Weise, sich Zugang zu Websites zu verschaffen. Zu den häufigsten Bedrohungen gehören das Erraten von Passwörtern, die Installation von Schadsoftware (Malware) und das Auffinden von Schwachstellen im Code Ihrer Website, um Informationen zu stehlen oder die Kontrolle zu übernehmen.

Wie oft sollte ich meine WordPress-Website aktualisieren?

Es ist sehr wichtig, dass Sie Ihre WordPress-Website, Themes und Plugins auf dem neuesten Stand halten. Neue Updates enthalten oft Korrekturen für Sicherheitsprobleme. Versuchen Sie, automatische Updates zu verwenden oder mindestens einmal pro Woche selbst nach Updates zu suchen und sie schnell zu installieren.

Brauche ich ein spezielles Plugin für die Sicherheit?

Sie müssen nicht unbedingt ein Sicherheits-Plugin verwenden, aber sie können Ihre Website wesentlich sicherer machen. Sicherheitsplugins wirken wie zusätzliche Wachen für Ihre Website und schützen Sie vor Hackern und Malware.

Woher weiß ich, ob jemand meine Website gehackt hat?

Wenn Sie bemerken, dass auf Ihrer Website seltsame Dinge passieren, könnte das ein Zeichen dafür sein, dass Sie gehackt wurden. Dies könnte bedeuten, dass Sie neue Nutzer oder Dateien sehen, die Sie nicht erstellt haben, dass Ihre Website Besucher auf andere Websites weiterleitet, dass Ihre Website langsam läuft oder dass Sie Warnungen von Google oder Ihrem Webhosting-Anbieter erhalten.

Was sollte ich tun, wenn meine Website gehackt wird?

Wenn Sie glauben, dass Ihre Website gehackt wurde, geraten Sie nicht in Panik, sondern handeln Sie schnell. Sie können Ihr Webhosting-Unternehmen kontaktieren und um Hilfe bitten. Sie können auch ein Sicherheits-Plugin verwenden oder einen Sicherheitsexperten bitten, Ihre Website zu säubern.

Wenn Sie eine Sicherungskopie Ihrer Website haben, stellen Sie sie anhand dieser Sicherungskopie wieder her. Ändern Sie alle Passwörter, einschließlich der Passwörter für den WordPress-Administrationsbereich, die Datenbank und FTP.

Wir hoffen, dass dieser Artikel Ihnen geholfen hat, die besten Praktiken zum Schutz Ihrer Website und unsere empfohlene WordPress-Sicherheitscheckliste kennenzulernen. Vielleicht interessieren Sie sich auch für unsere Liste der Hauptgründe, warum WordPress-Websites gehackt werden, und unsere Expertenauswahl der besten WordPress-Sicherheits-Plugins.

Wenn Ihnen dieser Artikel gefallen hat, dann abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Videotutorials. Sie können uns auch auf Twitter und Facebook finden.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

Reader Interactions

The Ultimate WordPress Toolkit

Get FREE access to our toolkit - a collection of WordPress related products and resources that every professional should have!

Disclosure: Our content is reader-supported. This means if you click on some of our links, then we may earn a commission. See how WPBeginner is funded, why it matters, and how you can support us. Here's our editorial process.

160 KommentareLeave a Reply

  1. Kushal Phalak

    Great article! Last year my website was hacked(redirecting to another suspicious website), so I think it is a must to use security measure. In my case, I had to delete my website and was lucky that my hosting provider had backup feature. From then I used Wordfence to secure my websites, but moved to Sucuri as it provided the services like DDoS protection, and CDN as well.

  2. Ayanda Temitayo

    Please I want to ask that is it security wise to change the url of the default login page to another custom url. Like from yourwebsite.com/wp-login to yourwebsite.com/anotherName-login

    I once use a plugin to change my login url to another url where nobody can easily route to my login page. So one of my SEO guy said it will be easy for hackers to hack my site if the plugin is vulnerable and I will lose everything on my website if I keep using a custom route to login page.

    What’s your opinion about changing the default login route?

    • WPBeginner Support

      Changing your login URL is personal preference and not specifically for security.

      Admin

  3. al amin Sheikh

    Two important things in a website – Performance and Security.
    Nicely explained how we can protect our site from hackers. Thanks, WPB.

    • WPBeginner Support

      You’re welcome :)

      Admin

  4. mohadese esmaeeli

    Hello, thank you for this excellent article.I also want to add a few more items to this list, such as using the Google reCAPTCHA plugin, employing security hardware related to the server, examining security tools within the hosting environment, such as Imunify360, and regularly changing passwords at short intervals.

    • WPBeginner Support

      Thank you for your recommendations, hosts do have different tools so it would be best to check with the hosting provider for any security tools they offer :)

      Admin

  5. Fajri

    Whoa, the method to Disable XML-RPC in WordPress is totally new for me.

    I am gonna try to applicate it to add more security for my websites. Thanks for this information team!

    • WPBeginner Support

      Glad you found our article helpful :)

      Admin

  6. Murad Prodhan

    WPbeginner is one the best websites for our community. This article is very helpful for me. Thanks WPbeginner.

    • WPBeginner Support

      You’re welcome, glad the guide was helpful :)

      Admin

  7. Jiří Vaněk

    This is a great article. There are many things here that never occurred to me, even though I tried to secure with WordPress as much as possible. I just copied a snippet to hide error messages when logging into WordPress and I’m going to apply it to my website. It probably won’t stop at just this thing. This article is really a fantastic list of great tips. Thank you for advancing awareness about security. Great job.

    • WPBeginner Support

      You’re welcome, glad our guide was helpful :)

      Admin

  8. Etop Udoekene

    Thanks very much. This information has come to me at just the right time, as I am in the process of setting up my website again after losing my former laptop and Android phone to thieves.
    I am really grateful.

    • WPBeginner Support

      You’re welcome, hopefully things get better and we hope our guide helps you with keeping your site secure after that.

      Admin

  9. Mark Ellsworth

    Thank you – very well organized and comprehensive! This will definitely help with what is an ongoing and challenging issue with WordPress installs.

    • WPBeginner Support

      Glad you found our security guide helpful :)

      Admin

  10. Ifakayode Femi

    I loved this article and am bookmarking this page for future cause I might not remember the names of most plugins listed here, but sincerely this article helps a long way

    Thanks for taking your time to compose this
    Thanks a million times

    • WPBeginner Support

      Glad you found our guide and recommendations helpful! :)

      Admin

  11. Nikhil

    thankyou sir it’s information is to important thankyou so much sir

    • WPBeginner Support

      You’re welcome, glad to hear our article was helpful!

      Admin

  12. Yasin

    I am very grateful for this article, all thanks to wpbeginner.com.

    • WPBeginner Support

      You’re welcome glad you found our guide helpful!

      Admin

  13. Belinda Viret

    Thank you for the great advice!

    • WPBeginner Support

      You’re welcome!

      Admin

  14. Marko Kozlica

    Wow! Extensive and thorough article for beginners and experienced wordpressers alike. Keep up the good work!

    • WPBeginner Support

      Glad you found our article helpful!

      Admin

  15. Federico

    Really good guide, very useful!

    • WPBeginner Support

      Glad you think so!

      Admin

  16. Claudio Lopes

    Following the tips and feeling that my site is more secure.

    • WPBeginner Support

      Glad to hear our guide could help you!

      Admin

  17. Bob De Maria

    Hi,
    I am brand new to this and this was my first email and I am ever glad I am signed up. You hit on one of my concerns that is right at the top of my list.

    I can’t thank you enough for a very well written and much appreciated tutorial.

    Best Regards,

    Bob De Maria

    • WPBeginner Support

      Glad to hear our guide was helpful!

      Admin

  18. Kimberly

    FYI: Security issue on the WP Security Questions plugin. It’s been removed from wordpress.org.

    • WPBeginner Support

      Thank you for letting us know, we will be sure to look for an alternative we would recommend :)

      Admin

  19. MS

    Hi guys! Txs a lot for this usefull resouces. 1 question, will any of this affect the loading time of my website/pages???

    • WPBeginner Support

      These should not cause a major change to your site’s speed.

      Admin

  20. john

    nice Article ,

    Do use reCAPTCHA in forms is helpful in securing?

    • WPBeginner Support

      reCAPTCHA is for preventing spam more than security.

      Admin

  21. tim jackz

    Hello team,

    If i install two security plugin in my wordpress website, is there any disadvantages for my website?

    • WPBeginner Support

      You would want to check with the support for the plugins you are looking to use, some work together but others try to do the same tasks which can cause conflicts.

      Admin

  22. Diego

    My WordPress site is running WordPress 5.1.8 which part of the 5.1 branch, last updated on November 2020. The current WordPress version is 5.6.2.

    I don’t quite understands all these different branches of WP.
    Should I still need to upgrade?

  23. Julia

    So I pay premium and the free plugins are only for business, is there a way around that. They don’t let us pay for plugins. Premium and lower are not allowed to use them at all.

  24. Trisha

    Great tutorial, thank you! In going thru my 404 error logs, I see a lot of bots hitting non-existent plugins in my /plugins folder….I’m not overly concerned since the plugins they’re looking for don’t exist (hence the 404) BUT is there a way to protect my /plugins folder that won’t interfere with normal plugin operations? Is this advisable? Should I even be concerned?

    • WPBeginner Support

      That normally shouldn’t be something you should be concerned with unless the plugin is on your site then you may want to ensure you have that plugin up to date in case the bot was looking for a plugin with a security vulnerability.

      Admin

  25. Ish

    I took over a word press site how would i know if my site has a cloud backup account prior before me?

    • WPBeginner Support

      You would need to check your active plugins and reach out to your hosting provider to see what is active for your site.

      Admin

  26. Lu

    How can you find out if your site uses XML-RPC? Really useful as always. Thank you.

    • WPBeginner Support

      If your version of WordPress is up to date it should be active on your site normally.

      Admin

  27. Julie Taylor

    Very helpful information. I would like to know your thoughts on the following, if i were to implement all of those security situations, particuarly those that were involving code etc does it effect Google to be able to pull up the site and for SEO to work effectively?

    • WPBeginner Support

      The security recommendations should not affect your site’s SEO

      Admin

  28. MooN Minhas

    Thanks for sharing nice information.

    • WPBeginner Support

      Glad you found it helpful :)

      Admin

  29. Samuel

    is this guide also applies to WordPress.com users?

    • WPBeginner Support

      No, our guides are for WordPress.org sites, you would want to reach out to WordPress.com for the hardening steps they allow :)

      Admin

Leave A Reply

Thanks for choosing to leave a comment. Please keep in mind that all comments are moderated according to our comment policy, and your email address will NOT be published. Please Do NOT use keywords in the name field. Let's have a personal and meaningful conversation.