Zurück zum Blog
WordPress 15. Dezember 2024 2 Min.

WordPress absichern: Die wichtigsten Massnahmen

Praktische Tipps zur Haertung von WordPress-Installationen gegen gaengige Angriffe.

WordPress Security – ein praktischer Leitfaden

WordPress ist das beliebteste CMS der Welt – und damit auch ein beliebtes Ziel fuer Angreifer. Hier sind die wichtigsten Massnahmen zur Absicherung.

1. Updates, Updates, Updates

Der wichtigste Punkt: Halte WordPress, Themes und Plugins aktuell. Die meisten erfolgreichen Angriffe nutzen bekannte Sicherheitsluecken in veralteter Software.

  • Automatische Updates fuer Minor-Versionen aktivieren
  • Plugins regelmaessig pruefen und nicht genutzte loeschen
  • Themes entfernen, die nicht aktiv sind

2. Starke Zugangsdaten

  • Keinen Benutzernamen admin verwenden
  • Starke Passwoerter mit mindestens 16 Zeichen
  • Zwei-Faktor-Authentifizierung (2FA) aktivieren
  • Login-Versuche begrenzen

3. Dateiberechtigungen

Korrekte Berechtigungen auf dem Server setzen:

BASH
# Verzeichnisse: 755
find /var/www/html -type d -exec chmod 755 {} \;

Dateien: 644

find /var/www/html -type f -exec chmod 644 {} \;

wp-config.php: besonders schuetzen

chmod 600 wp-config.php

4. wp-config.php absichern

Wichtige Einstellungen in der wp-config.php:

PHP
// Datei-Editor im Admin deaktivieren
define('DISALLOW_FILE_EDIT', true);

// Debug-Modus auf Produktiv-Systemen deaktivieren
define('WP_DEBUG', false);


// Sicherheitsschluessel regelmaessig erneuern
// https://api.wordpress.org/secret-key/1.1/salt/

5. HTTP Security Headers

Wichtige Header in der .htaccess oder Server-Konfiguration:

APACHE
Header set X-Content-Type-Options "nosniff"
Header set X-Frame-Options "SAMEORIGIN"
Header set X-XSS-Protection "1; mode=block"
Header set Referrer-Policy "strict-origin-when-cross-origin"
Header set Permissions-Policy "camera=(), microphone=(), geolocation=()"

6. Regelmaessige Backups

Kein Sicherheitskonzept ist komplett ohne Backups:

  • Taegliche Datenbank-Backups
  • Woechentliche vollstaendige Backups
  • Backups an einem externen Ort speichern
  • Regelmaessig die Wiederherstellung testen

7. XML-RPC deaktivieren

Wenn nicht benoetigt, XML-RPC komplett deaktivieren:

APACHE
# .htaccess
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Fazit

WordPress-Sicherheit ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Die hier genannten Massnahmen bilden eine solide Grundlage. Fuer geschaeftskritische Seiten empfehle ich zusaetzlich regelmaessige Security-Audits.

Teilen:
Zurück zum Blog