Appearance
Wartung & Sicherheit
Überblick
Ein WordPress-Website erfordert regelmäßige Wartung und Sicherheitsmaßnahmen.
1. Regelmäßige Wartung
Tägliche Aufgaben (automatisierbar)
- ☑️ Backups erstellen
- ☑️ Sicherheits-Scans durchführen
- ☑️ Kommentare moderieren
Wöchentliche Aufgaben
- ☑️ WordPress-Core aktualisieren
- ☑️ Themes aktualisieren
- ☑️ Plugins aktualisieren
- ☑️ Spam-Kommentare löschen
- ☑️ Entwürfe aufräumen
Monatliche Aufgaben
- ☑️ Datenbank optimieren
- ☑️ Post-Revisionen löschen
- ☑️ Ungenutzte Bilder löschen
- ☑️ Website-Geschwindigkeit prüfen
- ☑️ Backups wiederherstellen (Test)
2. Backups (Sicherungen)
Warum Backups wichtig sind
- ✅ Schutz vor Hacker-Angriffen
- ✅ Schutz vor Serverausfällen
- ✅ Schutz vor menschlichem Versagen (Fehlbedienung)
- ✅ Einfache Wiederherstellung bei Problemen
Backup-Strategie: 3-2-1-Regel
- 3 Kopien Ihrer Daten
- 2 verschiedene Medien
- 1 Offsite-Backup (außerhalb Ihres Servers)
Backup-Plugins
| Plugin | Kosten | Funktionen |
|---|---|---|
| UpdraftPlus | Kostenlos/Premium | Automatische Backups, Cloud-Speicher |
| BackupBuddy | Kostenpflichtig | Vollständige Backups, Migration |
| Duplicator | Kostenlos/Premium | Backup & Migration |
| BlogVault | Premium | Real-time Backups, Staging |
Backup manuell erstellen
Datenbank-Backup:
- Gehen Sie zu phpMyAdmin
- Wählen Sie Ihre WordPress-Datenbank
- Klicken Sie auf "Exportieren"
- Wählen Sie "Schnell" oder "Benutzerdefiniert"
- Klicken Sie auf "Übernehmen" (Datei wird heruntergeladen)
Dateien-Backup:
- Verbinden Sie sich per FTP mit Ihrem Server
- Laden Sie den gesamten
public_html-Ordner herunter - Speichern Sie die Dateien sicher
Backup-Wiederherstellung
Mit UpdraftPlus:
- Gehen Sie zu Einstellungen → UpdraftPlus Backups
- Klicken Sie auf "Wiederherstellen"
- Wählen Sie das Backup aus
- Wählen Sie, was wiederhergestellt werden soll:
- Datenbank
- Plugins
- Themes
- Uploads
- Andere Dateien
- Klicken Sie auf "Wiederherstellen"
3. WordPress aktualisieren
Automatische Updates aktivieren
WordPress aktualisiert sich bei Sicherheitsupdates automatisch. Für größere Updates:
Methode 1: Im Dashboard
- Gehen Sie zu Dashboard → Aktualisierungen
- Wählen Sie die zu aktualisierenden Komponenten aus
- Klicken Sie auf "Aktualisierungen installieren"
Methode 2: Automatische Updates für alles aktivieren
Fügen Sie in wp-config.php hinzu:
php
// Automatische Updates für alles aktivieren
define('WP_AUTO_UPDATE_CORE', true);
// Automatische Plugin-Updates aktivieren
add_filter('auto_update_plugin', '__return_true');
// Automatische Theme-Updates aktivieren
add_filter('auto_update_theme', '__return_true');Update-Best Practices
- Immer Backup erstellen vor Updates!
- Updates in Staging-Umgebung testen (falls vorhanden)
- Plugins vor Themes aktualisieren
- Nach jedem Update Website prüfen
4. Sicherheit härten
1. Admin-Benutzername ändern
Der Standard-Benutzername admin ist unsicher.
Lösung:
- Erstellen Sie einen neuen Administrator-Benutzer
- Loggen Sie sich mit dem neuen Benutzer ein
- Löschen Sie den
admin-Benutzer (Inhalte einem anderen Benutzer zuweisen)
2. Starkes Passwort verwenden
Passwort-Anforderungen:
- Mindestens 12 Zeichen
- Groß- und Kleinbuchstaben
- Zahlen
- Sonderzeichen
Passwort-Generator verwenden:
Beispiel: xK8#mP9$qL2@nW5!3. Zwei-Faktor-Authentifizierung (2FA)
Mit Plugin WP 2FA:
- Installieren und aktivieren Sie WP 2FA
- Gehen Sie zu WP 2FA → Settings
- Konfigurieren Sie die 2FA-Methode:
- Authenticator App (Google Authenticator, Authy)
- E-Mail-Code
- SMS-Code (Premium)
- Scannen Sie den QR-Code mit Ihrer App
- Geben Sie den Code ein, um zu bestätigen
4. Login-URL ändern
Standard-Login-URL: https://ihredomain.de/wp-login.php
Mit Plugin "WPS Hide Login":
- Installieren und aktivieren Sie WPS Hide Login
- Gehen Sie zu Einstellungen → WPS Hide Login
- Ändern Sie die Login-URL:
Login-URL: /mein-geheimer-login Redirect-URL: /404 (für falsche URL) - Speichern Sie die Einstellungen
- Merken Sie sich die neue URL!
5. Login-Versuche begrenzen
Schutz vor Brute-Force-Angriffen.
Mit Plugin "Limit Login Attempts Reloaded":
- Installieren und aktivieren Sie das Plugin
- Standardmäßig: 4 Versuche, dann 20 Minuten Sperre
6. Firewall und Malware-Scanner
Mit Plugin "Wordfence Security":
- Installieren und aktivieren Sie Wordfence Security
- Gehen Sie zu Wordfence → Dashboard
- Konfigurieren Sie:
- Firewall: Blockiert bösartigen Traffic
- Malware-Scanner: Scannt Dateien auf Malware
- Login Security: 2FA, CAPTCHA
- Live Traffic: Zeigt Echtzeit-Traffic
7. SSL/HTTPS erzwingen
Mit Plugin "Really Simple SSL":
- Installieren und aktivieren Sie Really Simple SSL
- Das Plugin erkennt automatisch Ihr SSL-Zertifikat
- Klicken Sie auf "SSL aktivieren"
- Alle HTTP-URLs werden zu HTTPS umgeleitet
8. Dateiberechtigungen setzen
Sichere Berechtigungen:
/wp-admin/ : 755
/wp-includes/ : 755
/wp-content/ : 755
/index.php : 644
/wp-config.php : 600 (nur Besitzer darf lesen/schreiben)Prüfen mit Plugin "Settings Armor":
- Scannt Dateiberechtigungen
- Zeigt unsichere Berechtigungen
9. wp-config.php härten
Sicherheitseinstellungen in wp-config.php:
php
// 1. Sicherheitsschlüssel (Secret Keys)
define('AUTH_KEY', 'hier-einen-zufallsschlüssel-einfügen');
define('SECURE_AUTH_KEY', 'hier-einen-zufallsschlüssel-einfügen');
define('LOGGED_IN_KEY', 'hier-einen-zufallsschlüssel-einfügen');
define('NONCE_KEY', 'hier-einen-zufallsschlüssel-einfügen');
define('AUTH_SALT', 'hier-einen-zufallsschlüssel-einfügen');
define('SECURE_AUTH_SALT','hier-einen-zufallsschlüssel-einfügen');
define('LOGGED_IN_SALT', 'hier-einen-zufallsschlüssel-einfügen');
define('NONCE_SALT', 'hier-einen-zufallsschlüssel-einfügen');
// Generieren Sie Schlüssel hier: https://api.wordpress.org/secret-key/1.1/salt/
// 2. Datenbank-Präfix ändern (nicht wp_)
$table_prefix = 'wp_xyz123_';
// 3. Automatische Datei-Bearbeitung deaktivieren
define('DISALLOW_FILE_EDIT', true);
// 4. Automatische Updates erzwingen (nur Sicherheitsupdates)
define('WP_AUTO_UPDATE_CORE', 'minor');
// 5. Debug-Modus deaktivieren (Produktion)
define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);
define('WP_DEBUG_LOG', false);
// 6. HTTPS erzwingen
define('FORCE_SSL_ADMIN', true);10. XML-RPC deaktivieren
XML-RPC wird oft für Angriffe genutzt.
In functions.php hinzufügen:
php
add_filter('xmlrpc_enabled', '__return_false');5. Datenbank optimieren
Post-Revisionen begrenzen
In wp-config.php:
php
define('WP_POST_REVISIONS', 5); // Max. 5 Revisionen pro Beitrag
// ODER
define('WP_POST_REVISIONS', false); // Revisionen komplett deaktivierenAutoload-Daten bereinigen
sql
SELECT * FROM wp_options WHERE autoload = 'yes';Löschen Sie nicht benötigte Einträge.
Datenbank-Plugins
- WP-Optimize: Bereinigt Datenbank, komprimiert Bilder, cachet
- Advanced Database Cleaner: Datenbank-Wartung
6. Malware entfernen
Symptome einer Infektion
- ❌ Website wird in Google als "Gefährlich" markiert
- ❌ Seltsame Pop-ups oder Redirects
- ❌ Unbekannte Benutzerkonten
- ❌ Dateien wurden unerwartet geändert
- ❌ Website ist langsam
Schritte zur Bereinigung
Website in den Wartungsmodus versetzen
- Mit Plugin "WP Maintenance Mode"
Malware-Scan durchführen
- Mit Wordfence oder Sucuri Security
Infizierte Dateien identifizieren
- Vergleichen Sie mit frischen WordPress-Dateien
Backup wiederherstellen (falls verfügbar)
- Wiederherstellung von vor der Infektion
WordPress, Themes, Plugins neu installieren
- Löschen Sie verdächtige Dateien
- Laden Sie frische Kopien herunter
Passwörter ändern
- Alle Benutzer
- Datenbank-Passwort
- FTP-Passwort
- Hosting-Passwort
Google benachrichtigen, wenn die Website bereinigt ist
- In Google Search Console → Sicherheitsprobleme
7. Website-Geschwindigkeit optimieren
Caching
Plugins:
- WP Rocket (Premium, beste Leistung)
- W3 Total Cache (Kostenlos)
- WP Super Cache (Kostenlos)
Bild-Optimierung
- Smush
- ShortPixel
- Imagify
CDN (Content Delivery Network)
- Cloudflare (Kostenlos/Premium)
- StackPath
- KeyCDN
Nächste Schritte
Jetzt kennen Sie Wartung und Sicherheit. Im letzten Kapitel setzen wir ein Praxisprojekt um!