WordPress ist das meistgenutzte Content-Management-System weltweit. Genau deshalb ist es auch ein beliebtes Ziel für Angriffe. Mit einigen einfachen, aber wirksamen Massnahmen können Sie das Risiko deutlich reduzieren und Ihre Website zuverlässig absichern.
METANET stellt Ihnen eine sichere Hosting-Infrastruktur zur Verfügung – für den Schutz Ihrer Website sind aber auch zusätzliche Schritte wichtig.
- Halten Sie Ihr WordPress aktuell
- Verwenden Sie starke Zugangsdaten
- Plugins und Themes sorgfältig auswählen
- Secret Keys in der wp-config.php
- Regelmässige Backups erstellen
- Login-Bereich absichern
- HTTPS/SSL konsequent einsetzen
- Dateiberechtigungen prüfen
- Sicherheits-Plugins einsetzen
- Monitoring & Security-Scans
- Web Application Firewall (WAF)
- Fazit
- Quick Links
Halten Sie Ihr WordPress aktuell
- Aktualisieren Sie regelmässig WordPress selbst, Ihre Themes und Plugins.
- Installieren Sie Updates zeitnah, sobald sie verfügbar sind.
- Aktivieren Sie automatische Updates für WordPress, wenn möglich.
Verwenden Sie starke Zugangsdaten
- Nutzen Sie komplexe, lange Passwörter und speichern Sie diese in einem Passwortmanager.
- Aktivieren Sie eine Zwei-Faktor-Authentifizierung (2FA). Dafür benötigen Sie ein Plugin, zum Beispiel:
- Two Factor
- Wordfence Security
- Prüfen Sie regelmässig Benutzerkonten und löschen Sie unnötige Zugänge.
Plugins und Themes sorgfältig auswählen
- Installieren Sie Erweiterungen nur aus vertrauenswürdigen Quellen (z. B. wordpress.org oder direkt vom Anbieter).
- Entfernen Sie nicht mehr genutzte oder veraltete Plugins und Themes.
- Vermeiden Sie Plugins, die lange nicht mehr aktualisiert wurden.
Secret Keys in der wp-config.php
WordPress nutzt sogenannte «Secret Keys», um Cookies und Passwörter sicher zu verschlüsseln.
- Generieren Sie neue Keys über die offizielle API
- Ersetzen Sie die vorhandenen Einträge in Ihrer wp-config.php:
define('AUTH_KEY', 'zufälliger Wert hier');
define('SECURE_AUTH_KEY', 'zufälliger Wert hier');
define('LOGGED_IN_KEY', 'zufälliger Wert hier');
define('NONCE_KEY', 'zufälliger Wert hier');
define('AUTH_SALT', 'zufälliger Wert hier');
define('SECURE_AUTH_SALT', 'zufälliger Wert hier');
define('LOGGED_IN_SALT', 'zufälliger Wert hier');
define('NONCE_SALT', 'zufälliger Wert hier'); Regelmässige Backups erstellen
Ein Backup ist Ihre Absicherung, falls Ihre Website einmal kompromittiert oder beschädigt wird.
- Nutzen Sie die Backup-Funktionen im METANET Control Panel
- Ergänzend können Sie Plugins wie UpdraftPlus oder BackWPup einsetzen.
- Speichern Sie Backups auch ausserhalb des Webservers.
Login-Bereich absichern
- Ändern Sie die Standard-Login-URL (/wp-admin) mit einem Plugin oder eigener Regel.
- Begrenzen Sie Anmeldeversuche, z. B. mit Limit Login Attempts Reloaded.
- Kombinieren Sie dies mit 2FA (wie oben beschrieben).
Beispiel `.htaccess`-Regeln
<files wp-config.php>
order allow,deny
deny from all
</files>
<Directory /pfad/zu/ihrer/wordpress-installation/wp-admin>
Order Deny,Allow
Deny from all
Allow from 123.45.67.89
</Directory> HTTPS/SSL konsequent einsetzen
Mit HTTPS verschlüsseln Sie die Datenübertragung zwischen Browser und Server.
- Bei METANET können Sie dafür ein kostenloses Let’s Encrypt SSL-Zertifikat einrichten.
- Achten Sie darauf, dass Ihre gesamte Website ausschliesslich über HTTPS erreichbar ist.
Dateiberechtigungen prüfen
Falsche Berechtigungen können Angriffe erleichtern.
- Dateien sollten in der Regel 644 haben.
- Verzeichnisse 755.
- Die wp-config.php kann zusätzlich auf 600 gesetzt werden.
- Plugins wie All In One WP Security & Firewall helfen beim Überprüfen und Anpassen.
Sicherheits-Plugins einsetzen
Zusätzliche Plugins bieten Rundumschutz mit Firewall, Malware-Scan und mehr:
- Wordfence Security – weit verbreitet, kostenlos in der Basisversion.
- iThemes Security – gute Übersicht, viele Funktionen.
- All In One WP Security & Firewall – leicht verständlich, besonders für Einsteiger.
Monitoring & Security-Scans
Überwachen Sie Ihre Website regelmässig auf verdächtige Aktivitäten.
- Plugins: Sucuri Security, Wordfence.
- Extern: Sucuri SiteCheck für schnelle Tests.
Web Application Firewall (WAF)
Eine WAF kann Angriffe bereits abblocken, bevor sie Ihre Website erreichen.
- Wordfence Premium oder Sucuri Firewall bieten diesen Schutz als kostenpflichtige Erweiterung.
- Für kleine Standard-Websites oft nicht zwingend, für stark frequentierte Projekte aber sinnvoll.
Fazit
Mit diesen Massnahmen reduzieren Sie das Risiko für Ihre WordPress-Website erheblich. Absolute Sicherheit gibt es zwar nicht – aber Sie erhöhen die Hürden für Angriffe deutlich.
Hinweis: Die genannten Plugins und Code-Beispiele sind verbreitete Lösungen, die Ihnen bei der Absicherung Ihrer Website helfen können. METANET empfiehlt sie aufgrund ihrer Bekanntheit, übernimmt jedoch keine Verantwortung für deren Funktion oder Weiterentwicklung.
Quick Links
METANET-Supportartikel:
- Backups im METANET Control Panel
- SSL-Zertifikat (Let’s Encrypt) einrichten
Nützliche Plugins:
- Two Factor
- Limit Login Attempts Reloaded
- UpdraftPlus
- Wordfence Security
- All In One WP Security & Firewall
Externe Ressourcen:
- WordPress Secret Key Generator
- Sucuri SiteCheck
- Automatische Updates in WordPress aktivieren
Artikel aktualisiert am 23.10.2025