Preskoči na sadržaj
(+381) 60 3535 720
Moj nalog
BeoHosting
BeoHosting
Moj nalogKontakt
(+381) 60 3535 720
 

10 min

WordPress-Sicherheits-Checkliste

20 Schritte zum Schutz einer WordPress-Seite.

WordPress HostingLeitfäden

BeoHosting Tim

10+ godina iskustva — Stručnjaci za web hosting i infrastrukturu

Poslednje ažurirano:

WordPress betreibt über 43 % aller Websites — das häufigste Ziel für Hacker. Die gute Nachricht: Die meisten Angriffe nutzen bekannte Schwachstellen, die Sie mit diesen 20 Schritten verhindern können. Die Checkliste deckt jede Sicherheitsebene ab.

WordPress-Sicherheits-Checkliste

1

Aktualisieren Sie WordPress, Themes und Plugins

Aktivieren Sie automatische Minor-Updates und prüfen Sie Major-Updates monatlich. 95 % der Einbrüche gehen auf veraltete Software zurück.

2

Starke Passwörter und 2FA

Passwort mit 16+ Zeichen, 2FA mit Google Authenticator oder Authy für alle Admin-Konten. Wechseln Sie Passwörter alle 6 Monate.

3

Installieren Sie ein SSL-Zertifikat

Kostenloses Let's Encrypt bei BeoHosting. Aktivieren Sie „Force HTTPS Redirect". Ohne SSL werden Passwörter im Klartext übertragen.

4

Tägliches Off-Site-Backup

UpdraftPlus + Google Drive oder BeoHosting JetBackup. Das Backup sollte nicht auf demselben Server wie die Site liegen. Testen Sie den Restore alle 3 Monate.

5

WAF (Web Application Firewall)

Wordfence, Sucuri oder Imunify360 (bei BeoHosting enthalten) blockiert SQL-Injection, XSS und Brute-Force, bevor sie die Site erreichen.

6

Begrenzen Sie Login-Versuche

Limit Login Attempts Reloaded — IPs werden nach 3-5 fehlgeschlagenen Versuchen blockiert. Verschieben Sie /wp-admin mit WPS Hide Login.

7

Deaktivieren Sie das Datei-Editing im Admin

Fügen Sie define('DISALLOW_FILE_EDIT', true); in die wp-config.php ein. Ein Angreifer kann Themes/Plugins dann nicht über das Admin-Panel bearbeiten.

8

Verbergen Sie die WordPress-Version

Entfernen Sie mit Yoast SEO oder manuell den Generator-Meta-Tag. Angreifer zielen auf spezifische Schwachstellen bestimmter Versionen.

9

Schützen Sie die wp-config.php

Verschieben Sie die wp-config.php oberhalb von public_html oder fügen Sie eine .htaccess-Regel hinzu: <Files wp-config.php> Order allow,deny / Deny from all </Files>.

10

Deaktivieren Sie XML-RPC

XML-RPC wird häufig angegriffen. Deaktivieren Sie es mit dem Plugin Disable XML-RPC oder einer .htaccess-Regel. Wenn Sie Jetpack nutzen, lassen Sie es aktiviert.

11

Ändern Sie den Admin-Benutzer

Verwenden Sie niemals den Benutzernamen „admin" — er ist die erste Wahl für Brute-Force-Bots. Ändern Sie ihn in einen zufälligen Namen.

12

Korrekte Dateiberechtigungen

Ordner: 755, Dateien: 644, wp-config.php: 600 oder 640. Niemals 777 — das gibt allen Zugriff.

13

Wöchentlicher Malware-Scan

Wordfence Scan oder Sucuri SiteCheck. Automatisieren Sie ihn per Cron. BeoHosting Imunify360 scannt in Echtzeit.

14

Deaktivieren Sie Directory Browsing

Fügen Sie in der .htaccess hinzu: Options -Indexes. So kann niemand die Ordnerstruktur durchsuchen.

15

Verbergen Sie die Login-Seite vor Bots

WPS Hide Login verschiebt /wp-login.php auf z. B. /geheim-login. Der Bot findet sie nicht, Sie aber schon.

16

Verwenden Sie Sicherheitsschlüssel

Generieren Sie neue WordPress-Security-Keys (AUTH_KEY, SECURE_AUTH_KEY usw.) über api.wordpress.org/secret-key. Wechseln Sie sie alle 6 Monate.

17

Beschränken Sie den Zugriff per IP

Beschränken Sie in der .htaccess den Zugriff auf /wp-admin auf Ihre eigenen IP-Adressen. Eine zusätzliche Schutzschicht für kleine Teams.

18

Deaktivieren Sie die REST-API für nicht authentifizierte Nutzer

Das Plugin Disable WP REST API oder ein Code-Snippet hält die API nur für angemeldete Nutzer offen.

19

Aktivieren Sie Monitoring

UptimeRobot für die Uptime, Sucuri SiteCheck für Malware, WP Activity Log zum Nachverfolgen von Änderungen. Sie erhalten Warnungen bei verdächtiger Aktivität.

20

Plan für die Reaktion auf Vorfälle

Halten Sie einen Plan bereit: wie Sie die Site offline nehmen, wer den Hosting-Support kontaktiert, wo die Backups liegen, wie Sie Passwörter ändern. Ein fertiger Plan = schnelle Wiederherstellung.

Spremni da pokrenete svoj sajt?

SSL zaštita
Brzina
24/7 podrška

Pridružite se 4.000+ zadovoljnih korisnika. Besplatna migracija i 15 dana garancije povrata novca.

Izaberite paketKontaktirajte nas
15 dana garancija povrata novca
Besplatna migracija15 dana garancija24/7 podrška

FAQ

Odgovori na najčešća pitanja o našim uslugama.

WordPress-Kern, Themes und Plugins sollten Sie aktualisieren, sobald Updates verfügbar sind. Für kleinere Versionen (z. B. 6.4.1 auf 6.4.2) aktivieren Sie automatische Updates. Für größere Versionen (z. B. 6.4 auf 6.5) warten Sie 2-3 Tage zur Stabilitätsbestätigung, erstellen ein Backup und aktualisieren dann.

Wordfence ist eine ausgezeichnete erste Verteidigungslinie, aber allein nicht ausreichend. Kombinieren Sie es mit starken Passwörtern, 2FA, regelmäßigen Updates, korrekten Dateiberechtigungen und zuverlässigem Hosting. Sicherheit ist mehrschichtig — kein Plugin ersetzt alle anderen Maßnahmen.

Ein Brute-Force-Angriff versucht, das Passwort durch Tausende Kombinationen zu erraten. Schützen Sie sich, indem Sie Login-Versuche begrenzen (Limit Login Attempts), 2FA nutzen, die Admin-URL ändern und ein starkes Passwort verwenden. BeoHosting-Server haben Imunify360, das Brute-Force-Versuche automatisch blockiert.

Anzeichen für Hacking: unerwartete Weiterleitungen, fremde Nutzer im Admin-Panel, unbekannte Dateien auf dem Server, Google-Malware-Warnungen, Spam-Links im Content, plötzliche Verlangsamung. Installieren Sie Wordfence, das Dateien scannt und mit Originalen vergleicht — jede verdächtige Änderung wird gemeldet.

Ja, das von BeoHosting angebotene kostenlose Let's Encrypt SSL bietet dieselbe Verschlüsselung wie bezahlte Zertifikate. Der Unterschied liegt in Garantien und Unternehmensvalidierung. Für die meisten WordPress-Sites (Blogs, Präsentationen, kleine Shops) ist kostenloses SSL völlig ausreichend.

Naše garancije za vaš mir

Zaštićeni ste sa svake strane

15 dana garancije

Vraćamo novac bez pitanja u prvih 15 dana.

Besplatna migracija

Mi prebacimo vaš sajt bez prekida — vi ništa ne radite.

24/7 podrška

Naši stručnjaci su tu 24/7 kroz tikete i live chat.

Leitfäden