Die Sicherung einer WordPress-Site erfordert eine Kombination aus guter Kontohygiene, regular maintenance, und defensive Kontrollen sowohl auf Anwendungs- als auch auf Serverebene. In diesem Leitfaden werden praktische Schritte erläutert, die Sie anwenden können, um häufige Risiken wie Brute-Force-Angriffe und unbefugten Zugriff zu reduzieren.
Grundlegende WordPress-Sicherheitsmaßnahmen
Bestimmte grundlegende Aktionen verringern die Angriffsfläche einer WordPress-Installation erheblich. Diese Schritte sollten auf jeder Site angewendet werden, regardless of size or traffic volume.
Verwenden Sie sichere Administratorkennwörter
All administrator accounts must use strong and unique passwords. Weak credentials are the primary reason brute force attacks succeed.
Recommended practices include:
- Long passwords with mixed character types
- Unique passwords per user
- Periodic password rotation for administrator accounts
If you suspect that a site has been compromised, passwords alone are not sufficient. WordPress authentication cookies rely on security keys stored in the wp-config.php file. These keys should be regenerated immediately after any suspected breach.
[Screenshot placeholder: wp-config.php file with authentication keys highlighted]
Vermeiden Sie Standard-Administrator-Benutzernamen
Using predictable usernames such as admin makes brute force attacks easier.
A safer approach is:
- Create a new user with a unique username
- Assign administrator privileges to the new user
- Delete the original default administrator account
[Screenshot placeholder: WordPress-Benutzerliste mit Administratorrollen]
Behalten Sie WordPress, Themes, und Plugins aktualisiert
Veraltete WordPress-Komponenten enthalten häufig bekannte Schwachstellen. Updates sollten angewendet werden, sobald sie verfügbar sind.
Dies gilt für:
- WordPress-Kern
- Installierte Themes
- Installierte Plugins
Websites, die in Umgebungen wie gehostet werden cPanel-basiertes WordPress-Hosting Sie sollten die Aktualisierungsbenachrichtigungen im Dashboard regelmäßig überprüfen.
[Screenshot placeholder: Bildschirm „WordPress-Updates“.]
Entfernen Sie nicht verwendete Themes und Plugins
Deaktivierte Plugins und Themes legen weiterhin Code offen, der von Angreifern analysiert werden kann. Jede Komponente, die nicht aktiv genutzt wird, sollte vollständig gelöscht werden.
Durch die Reduzierung ungenutzten Codes verringert sich die Anzahl potenzieller Einstiegspunkte in die Anwendung.
[Screenshot placeholder: Plugins-Liste mit inaktiven Plugins vor dem Löschen]
Führen Sie regelmäßige Backups durch
Backups verhindern keine Angriffe, aber sie sind entscheidend für die Genesung. Stellen Sie sicher, dass Backups extern gespeichert und regelmäßig getestet werden.
Backup tooling is commonly available in hosting control panels and should be configured before security incidents occur.
[Screenshot placeholder: backup configuration screen in hosting panel]
Abwehr von Brute-Force-Angriffen
A brute force attack attempts to log in repeatedly by guessing username and password combinations. High volumes of login attempts can also degrade site performance by increasing PHP and database load.
Method 1: Schützen Sie die WordPress-Anmeldeseite mit einem Passwort
Adding HTTP authentication in front of the WordPress login page creates an additional security layer.
Create a password file containing a username and encrypted password:
username:$apr1$hashedvalue$encryptedpassword
[Screenshot placeholder: generated htpasswd credentials]
Save this file as .wp-password in the account home directory. The filename must begin with a dot.
Then create or edit the .htaccess file in the WordPress installation directory and add the following configuration:
# Prevent access to hidden files
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
</FilesMatch>
ErrorDocument 401 "401 Unauthorized"
ErrorDocument 403 "403 Forbidden"
# Protect wp-login.php
<Files wp-login.php>
AuthUserFile /home/USERNAME/.wp-password
AuthName "Restricted Access"
AuthType Basic
require user WP-USERNAME
</Files>
Replace USERNAME with the hosting account username and WP-USERNAME mit dem in der Passwortdatei definierten Benutzernamen.
[Screenshot placeholder: .htaccess-Datei mit Login-Schutzregeln]
Method 2: Beschränken Sie den Anmeldezugriff nach IP-Adresse
Durch die Beschränkung des Zugriffs auf die WordPress-Anmeldeseite nach IP-Adresse werden die meisten automatisierten Angriffe blockiert.
Fügen Sie die folgenden Regeln hinzu .htaccess Datei im WordPress-Verzeichnis:
<Files wp-login.php>
order deny,allow
allow from xxx.xxx.xxx.xxx
deny from all
</Files>
Replace xxx.xxx.xxx.xxx mit der erlaubten IP-Adresse anmelden. Mehrere allow from Zeilen können bei Bedarf hinzugefügt werden.
[Screenshot placeholder: IP-Einschränkungsregeln in .htaccess]
Wenn Ihre Site einen Reverse-Proxy oder CDN verwendet, Diese Methode muss sorgfältig getestet werden, um eine Blockierung des legitimen Zugriffs zu vermeiden.
Method 3: Ändern Sie die WordPress-Anmelde-URL
Automatisierte Angriffsskripte zielen häufig auf die Standardeinstellung ab wp-login.php Endpunkt. Das Ändern der Anmelde-URL reduziert den automatisierten Angriffsverkehr.
Dies kann mithilfe eines Plugins erreicht werden, das den Anmeldeendpunkt umbenennt. After activation, Versuche, auf die Standard-Anmeldepfade zuzugreifen, geben eine zurück 404 error.
[Screenshot placeholder: Plugin-Einstellungen mit benutzerdefinierter Anmelde-URL]
Method 4: Verwenden Sie einen Schutzdienst auf Netzwerkebene
Content-Delivery-Netzwerke und Sicherheits-Proxys können böswillige Anfragen blockieren, bevor sie WordPress erreichen.
Filterung auf Netzwerkebene reduziert die Belastung bei Angriffsversuchen und fügt eine weitere Verteidigungsebene hinzu, insbesondere in Kombination mit Kontrollen auf Anwendungsebene.
Für E-Mail-bezogene Angriffsvektoren, die mit WordPress-Kompromittierungen einhergehen, zusätzliche Filterdienste wie z SpamExperts E-Mail-Sicherheit Helfen Sie dabei, zugehörige Postfächer zu schützen.
[Screenshot placeholder: Sicherheits-Dashboard mit blockierten Anfragen]
Laufende Sicherheitswartung
WordPress-Sicherheit ist keine einmalige Konfiguration. Regelmäßige Überprüfung der Benutzerkonten, plugins, access logs, und Hosting-Einstellungen tragen dazu bei, eine sichere Umgebung im Laufe der Zeit aufrechtzuerhalten.
Websites, die auf verwalteten Plattformen gehostet werden, z Plesk-basiertes WordPress-Hosting Profitieren Sie von zentraler Sichtbarkeit, Die Verantwortung für die Anwendungssicherheit liegt jedoch beim Websitebesitzer.