Zum Inhalt wechseln
Dr. Web Logo seit 1997.
  • Beste Agenturen
  • Magazin
  • Beste Agenturen
  • Magazin
Dr. Web Logo seit 1997.
  • Kontakt
  • Anmeldung
  • Newsletter
  • Beste Agenturen
  • Magazin
Menü
  • Beste Agenturen
  • Magazin
Suche
Agenturpartner werden →
Dr. Web » WordPress » Grundlagen: WordPress installieren und optimal einrichten

Grundlagen: WordPress installieren und optimal einrichten

Facebook Icon. facebook Twitter Icon. twitter Xing Icon. xing Linkedin Icon. linkedin Whatsapp Icon. whatsapp
  • Keine Kommentare
Lesedauer: 6 Minuten
  • von Markus Seyfferth
  • 9. Juli 2015

WordPress ist für viele Menschen das Content Management System der Wahl, wenn es darum geht, eine Website oder einen Blog zu starten. Doch kaum jemand weiß mit hinreichender Sicherheit, wie man WordPress installieren soll, es optimal einrichtet und gegen Hacking schützt. Daher zeigen wir Ihnen in diesem Beitrag einmal im Detail die dafür nötigen Schritte. Wenn Sie sich genau an diese Anleitung halten, werden Sie eine sichere WordPress-Installation haben, die für den Anfang optimal eingerichtet ist. Sie erfahren, was Sie in den wichtigen Dateien wp-config.php und .htaccess notieren müssen und welche Plugins die absolute Grundausstattung bedeuten.

wordpress-grundlagen-teaser_DE

Die Installation von WordPress

In diesem Abschnitt behandeln wir die wichtigen zusätzlichen Einträge in die wp-config.php. Dass dort auch die Daten für die Datenbank mitsamt Zugangsdaten hinein müssen, wissen Sie selbst. Doch einige zusätzliche Angaben verschaffen Ihnen ein Plus an Sicherheit, daher sollte man sie unbedingt setzen.

Die Sicherheitsschlüssel

sicherheitsschluessel

Die Sicherheitsschlüssel sollten unbedingt gesetzt werden, da durch sie die Cookies verschlüsselt werden, die dem automatischen Einloggen gelten. Speziell zur Generierung der Schlüssel stellt uns WordPress.org einen Generator zur Verfügung. Die vom Generator generierten Schlüssel einfach durch Copy und Paste ersetzen.

Das Tabellen-Präfix

tabellenpraefix

Als Standard setzt WordPress bei jeder neuen Installation hier ein „wp_“ ein. Um einem eventuellen (wenn auch nicht sehr wahrscheinlichen) MySql-Injection-Angriff vorzubeugen, ersetzen Sie den Standard mit irgendetwas anderem. Achtung: Wenn die Webseite bereits online ist, sollte man hier möglichst nichts ändern. Ansonsten funktioniert die Website nicht mehr.

Die Datei-Editoren abschalten

datei-editoren-abschalten

Die Datei-Editoren in WordPress sind eine praktische Sache. Man kann Theme und Plugin-Dateien direkt im Backend von WordPress bearbeiten. Leider sind diese Editoren sehr häufig der Grund für weiße Seiten und eine Menge Fehler. Abgesehen davon, was ein eventueller Einbrecher in dem Blog alles damit machen kann. Daher gehören die Editoren komplett abgeschaltet, man kann wichtige Arbeiten viel besser und sicherer über (S)FTP erledigen.

WordPress installieren: Wichtige Einträge in der .htaccess-Datei

Die .htaccess-Datei des Webservers oder des Webhosting-Pakets ist eine der wichtigsten Dateien für eine sichere WordPress-Installation. Ich empfehle die Datei gleich bei der Installation von WordPress mit den richtigen Einträgen zu versorgen. Wichtig bei Einträgen in die Datei ist, dass alle zusätzlichen Einträge stets unterhalb von #End WordPress gemacht werden. Falls sie die zusätzlichen Einträge gar in das Feld mit den WordPress-Einträgen setzen, funktioniert Ihr WordPress nicht mehr.

htaccess-eintaege-ab-hier

Eine .htaccess-Datei mit allen Einträgen zum Herunterladen

Alle wichtigen Einträge für die Sicherheit und die Performance-Steigerung durch Browser-Caching und Kompression finden Sie in meiner Beispiel-htaccess, die sie auf GitHub herunterladen können.

Ein Klick auf die Grafik bringt Sie auf die herunterladbare Datei bei GitHub.
beispiel-htaccess-datei

Download .htaccess-Datei

Die Sicherheit der Installation

WordPress-Sicherheit natürlich ein ganz wichtiges Thema für WordPress-Nutzer. Durch die sehr starke Verbreitung von WordPress werden immer wieder Sicherheitslücken bekannt und ausgenutzt. Daher sollte man vorbeugen und sein WordPress so sicher wie möglich mit einem vertretbaren Aufwand machen. Ich empfehle hier eine von mir selbst eingehend getestete 2-Faktor-Authentifizierung namens SecSign ID.

Was ist SecSign ID?

SecSign ID ist eine 2-Faktor-Authentifizierung mittels 2048-Bit-Schlüsselpaaren. Benutzernamen und Passwörter werden überflüssig, es werden keinerlei geheime Zugangsdaten auf einem Server gespeichert. Passwörter, Tokens, das Abtippen von SMS oder Einmalcodes oder das Scannen von QR-Codes werden überflüssig. Diese Art der Zugangssicherung macht es Kriminellen nicht mehr möglich, Ihre Passwörter zu stehlen oder zu erraten, es müssen auch keinerlei vertrauliche Zugangsdaten auf der Website eingegeben werden. Ihre Benutzerkonten sind somit sicher vor Phishing-Angriffen, Schadprogrammen, Brute-Force-Attacken und dem Diebstahl von Passwortlisten.

Die SecSign ID 2-Faktor-Authentifizierung im Video

Das Einrichten dieser Sicherheitsvorkehrung geht recht einfach. Zuerst benötigt man die Smartphone-App, die es als Android– und iOS-Version kostenfrei gibt. Mit dem Assistenten richtet man sich nach der Installation der App eine SecSign-ID ein. Diese dient dann für alle WordPress-Websites, die das dafür nötige Plugin installiert haben.

Das SecSign ID WordPress-Plugin installieren und einrichten

secsign-id-plugin

  • Entwickler: SecSign
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 21.04.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage: SecSign ID Homepage
  • Download von WordPress.org

Die optimale Einrichtung des SecSign ID-Plugins

Auf der folgenden Grafik sehen Sie die optimale Konfiguration des Plugins. Wenn Sie genauso vorgehen, ist nur noch das Einloggen mit der SecSign ID erlaubt. Im Sinne der Sicherheit sind die getätigten Einstellungen optimal, da keinerlei Sicherheitslücken durch eine eventuelle „Benutzername – Passwort“ Kombination übrig bleibt.

Ein Klick auf die Grafik öffnet einen vollständigen, hochauflösenden Screenshot
SecSign-ID-Login-options-vorschau

Eine letzte Sicherheitslücke

Ihre WordPress-Website ist nun wirklich relativ sicher und geschützt vor Hacker-Angriffen. Allerdings gibt es noch eine einzige, relative Sicherheitslücke, und das ist der FTP-Zugang. Grundsätzlich sollte keine FTP-Zugangsmöglichkeit vorhanden sein, sondern alternativ nur der Zugang über (bestenfalls) SSH. Doch das ist nicht die Realität. In der Realität ist es oftmals nicht einmal möglich, statt über FTP einen Zugang über SFTP zu nutzen, weil der Webhoster das nicht vorsieht und nicht eingerichtet hat.

Zur Erklärung: bei einem SFTP- oder SSH-Zugang werden die Daten und auch die Zugangsdaten verschlüsselt übertragen, was dass Abfangen von Zugangsdaten extrem erschwert. Bei einem reinen FTP-Zugang erfolgt die Authentifizierung und Übertragung unverschlüsselt.

Sollten Sie keine andere Möglichkeit als einen FTP-Zugang zu Ihrem Server oder auf Ihr Webhosting-Paket haben, so empfehle ich Ihnen, dass dafür nötige Passwort so sicher wie nur möglich zu gestalten. Empfehlenswert wären eine Länge von 20 Zeichen, Groß- und Kleinschreibung, Sonderzeichen und Zahlen.

WordPress installieren: Das ist die richtige Grundausstattung mit WordPress-Plugins

Die absolute Grundausstattung bei der Installation von WordPress sind bei mir nur zwei Plugins. Diese dürfen meines Erachtens in keiner Installation fehlen. Ich setze beide Plugins bereits seit Jahren auf vielfältigen Websites ein und kann sie vorbehaltlos empfehlen.

Antispam Bee

antispam-bee

Antispam Bee ist eine der vielen möglichen Lösungen gegen Kommentar-Spam, jedoch sehr wirkungsvoll und werbefrei. Im Gegensatz zu der WordPress eigenen Lösung Akismet vollkommen kostenfrei auch für kommerziell genutzte Websites, Akismet möchte bei einer kommerziell genutzten WordPress-Website mindestens 5 USD im Monat haben.

  • Entwickler: (bislang) Sergej Müller
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 23.04.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage: Antispam Bee Website mit Dokumentation
  • Download von WordPress.org

BBQ – Block Bad Queries

block-bad-queries-wordpress-plugin

Das BBQ-Plugin ist ein sicherheitsrelevantes Plugin, welches zuverlässig die bösartigen Zugriffe und Angriffe über die URLs blockiert. Für mich gehört das Plugin zur Grundausstattung, es wird ständig aktualisiert und gepflegt und verschafft einer WordPress-Website ein kleines Plus an Sicherheit.

  • Entwickler: Jeff Starr und andere
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 14.03.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage: BBQ: Block Bad Queries Homepage
  • Download von WordPress.org

Fazit

Mit dieser kleinen Liste haben Sie ein Werkzeug an die Hand bekommen, mit dem Sie eine WordPress-Installation einfach, schnell und sicher aufsetzen können. Die zusätzliche Arbeit bewegt sich im Rahmen von nicht mehr als einer Viertelstunde, verschafft Ihnen jedoch ein echtes Plus an Sicherheit. Jede zusätzliche Arbeit, jedes zusätzliche Plugin ist nun von der jeweiligen, individuellen Website abhängig und auch von den persönlichen Vorlieben.

Links zum Beitrag

  • Generator für die Sicherheitsschlüssel
  • Download .htaccess-Datei
  • SecSign ID-App als Android– und als iOS-Version zum Download
  • SecSign ID-Plugin von WordPress.org
  • SecSign ID Homepage
  • BSI: Sichere Passwörter
  • Passwort-Generator
  • Antispam Bee Website mit Dokumentation
  • Antispam Bee: Download von WordPress.org
  • BBQ: Block Bad Queries Homepage
  • Block Bad Queries: Download von WordPress.org

(dpe)

Markus Seyfferth

Markus Seyfferth

ist seit 2019 Geschäftsführer & WordPress-Entwickler bei Dr. Web. Zuvor war er sechs Jahre lang Vorstand des Smashing Magazine, im Rahmen dessen er u.a. das Online-Marketing, die Betreuung der Werbekunden sowie diverse Online-Projekte geleitet hat.

Werde ein Sponsor. Kontaktiere uns →

Kostenloses SEO-Tool

Agenturpartner

Tikal e-Commerce Agentur Hamburg Logo.

TIKAL Communication E-Commerce Agentur Hamburg

Hamburg

Trend Maker Marketing Agentur Regensburg Logo

Trend Maker Marketing – Webdesign Agentur Regensburg

Regensburg

Logo der Webdesign-Agentur Wolpers Web aus Düsseldorf.

wolpersweb.de Webdesign & SEO

Düsseldorf

CAF chris and friends berlin Logo.

CAF Webdesign Agentur

Berlin

shortways communications

München

Alle Agenturpartner

Lust auf mehr?

Symbolbild in einem Laptop eingebettet. Zu sehen ist ein Mitarbeiter einer Digitalagentur.
Digitalisierung

Digitalagentur finden

Wir unterstützen Sie bei der Auswahl der passenden Digitalagentur, mit Agenturempfehlungen und wichtigen Hintergrundinformationen in unserer FAQ.

→
Junger Mann, der in einer SEO-Agentur arbeitet arbeitet und in die Kamera lächelt.
SEO

SEO Agentur finden

Hier finden Sie eine geeignete SEO Agentur. Sie möchten eine bessere Sichtbarkeit Ihrer Website in Google & Co., mehr Traffic, höhere Conversions, mehr Umsatz? Eine professionelle SEO Agentur unterstützt Sie maßgeblich bei der Erreichung dieser wichtigen Ziele.

→
Inhaber einer WordPress-Agentur, am Tisch sitzt und in die Kamera schaut.
WordPress

WordPress Agentur finden

Wir unterstützen Sie bei der Auswahl Ihrer WordPress Agentur, mit Agenturempfehlungen und wichtigen Hintergrundinformationen in unserer FAQ.

→

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Dr. Web Logo weiss.
Fachmagazin für Online-Marketing. Seit 1997. Wissen, Software, Dienstleister: Wir bringen die Digitalisierung Ihres Unternehmens praxisnah voran. ✅

Agentur nach Schwerpunkt finden

  • Als Agentur eintragen
  • Beste Agenturen finden
  • Die besten Digitalagenturen
  • Die besten SEO Agenturen
  • Die besten Webdesign Agenturen
  • Die besten Werbeagenturen
  • WordPress Agentur finden
  • Als Agentur eintragen
  • Beste Agenturen finden
  • Die besten Digitalagenturen
  • Die besten SEO Agenturen
  • Die besten Webdesign Agenturen
  • Die besten Werbeagenturen
  • WordPress Agentur finden

Für Unternehmer: Finden Sie Ihre Agentur in…

  • Aachen
  • Augsburg
  • Basel
  • Bamberg
  • Bayreuth
  • Bergisch-Gladbach
  • Berlin
  • Bern
  • Bielefeld
  • Bochum
  • Bonn
  • Bremen
  • Chemnitz
  • Darmstadt
  • Dortmund
  • Dresden
  • Duisburg
  • Düsseldorf
  • Essen
  • Esslingen
  • Flensburg
  • Frankfurt
  • Freiburg
  • Gelsenkirchen
  • Gießen
  • Goslar
  • Hamburg
  • Hamm
  • Hannover
  • Heidelberg
  • Ingolstadt
  • Innsbruck
  • Karlsruhe
  • Kassel
  • Köln
  • Leipzig
  • Leverkusen
  • Ludwigsburg
  • Mainz
  • Mannheim
  • München
  • Münster
  • Nürnberg
  • Offenburg
  • Oldenburg
  • Osnabrück
  • Passau
  • Pforzheim
  • Potsdam
  • Regensburg
  • Reutlingen
  • Rosenheim
  • Rostock
  • Salzburg
  • Starnberg
  • Stuttgart
  • Tübingen
  • Wien
  • Wiesbaden
  • Wuppertal
  • Würzburg
  • Zürich
  • Aachen
  • Augsburg
  • Basel
  • Bamberg
  • Bayreuth
  • Bergisch-Gladbach
  • Berlin
  • Bern
  • Bielefeld
  • Bochum
  • Bonn
  • Bremen
  • Chemnitz
  • Darmstadt
  • Dortmund
  • Dresden
  • Duisburg
  • Düsseldorf
  • Essen
  • Esslingen
  • Flensburg
  • Frankfurt
  • Freiburg
  • Gelsenkirchen
  • Gießen
  • Goslar
  • Hamburg
  • Hamm
  • Hannover
  • Heidelberg
  • Ingolstadt
  • Innsbruck
  • Karlsruhe
  • Kassel
  • Köln
  • Leipzig
  • Leverkusen
  • Ludwigsburg
  • Mainz
  • Mannheim
  • München
  • Münster
  • Nürnberg
  • Offenburg
  • Oldenburg
  • Osnabrück
  • Passau
  • Pforzheim
  • Potsdam
  • Regensburg
  • Reutlingen
  • Rosenheim
  • Rostock
  • Salzburg
  • Starnberg
  • Stuttgart
  • Tübingen
  • Wien
  • Wiesbaden
  • Wuppertal
  • Würzburg
  • Zürich

Aus unserem Magazin

  • Buchhaltung
  • Content Marketing
  • Design
  • Digitalisierung
  • E-Business
  • E-Commerce
  • E-Mail-Marketing
  • Finanzen
  • Freelancer
  • Hosting
  • HTML
  • HTML/CSS
  • Inspiration
  • IT Sicherheit
  • JavaScript & jQuery
  • Jobs & Karriere
  • Online-Marketing
  • Programmierung
  • Public Relations
  • Rechtliches
  • Responsive Design
  • SEA – Suchmaschinenwerbung
  • SEO
  • Showcases
  • Social-Media-Marketing
  • Tipps, Tricks & Tutorials
  • Tools
  • UX Design
  • VPN
  • Webdesign
  • WordPress
  • Buchhaltung
  • Content Marketing
  • Design
  • Digitalisierung
  • E-Business
  • E-Commerce
  • E-Mail-Marketing
  • Finanzen
  • Freelancer
  • Hosting
  • HTML
  • HTML/CSS
  • Inspiration
  • IT Sicherheit
  • JavaScript & jQuery
  • Jobs & Karriere
  • Online-Marketing
  • Programmierung
  • Public Relations
  • Rechtliches
  • Responsive Design
  • SEA – Suchmaschinenwerbung
  • SEO
  • Showcases
  • Social-Media-Marketing
  • Tipps, Tricks & Tutorials
  • Tools
  • UX Design
  • VPN
  • Webdesign
  • WordPress

Rechtliches

  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Privatsphäre-Einstellungen ändern
  • Historie der Privatsphäre-Einstellungen
  • Einwilligungen widerrufen
  • Nach oben ↑
  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Privatsphäre-Einstellungen ändern
  • Historie der Privatsphäre-Einstellungen
  • Einwilligungen widerrufen
  • Nach oben ↑