D.r Web seit 1997 print.
  • Beste Agenturen
  • Agentur-Städte 🌇
  • Magazin
  • Newsletter 📩
  • Login
  • Agentur eintragen ✅
  • Kontakt
  • Werben 🎉
  • Sponsored Post
  • Jobs
Menü
  • Beste Agenturen
  • Agentur-Städte 🌇
  • Magazin
  • Newsletter 📩
  • Login
  • Agentur eintragen ✅
  • Kontakt
  • Werben 🎉
  • Sponsored Post
  • Jobs
  • Werben
  • Gastbeitrag
  • Sponsored Post
  • Kontakt
  • Anmeldung
  • Newsletter
Suche
  • Beste Agenturen
  • Magazin
  • Agentur-Standorte
    • Berlin

    • Bonn

    • Dortmund

    • Dresden

    • Duisburg

    • Düsseldorf

    • Essen

    • Frankfurt am Main

    • Freiburg

    • Hamburg

    • Hannover

    • Köln

    • Leipzig

    • München

    • Nürnberg

    • Stuttgart

    • Wien

    • Zürich

  • Magazin
    • Content Marketing
    • CSS
    • E-Commerce
    • E-Mail-Marketing
    • Freelancer
    • Fotografie
    • HTML
    • Online-Marketing
    • Responsive Design
    • SEO
    • UX Design
    • Webdesign
    • Website erstellen
    • WordPress
    • Dr. Web Autoren
  • Jobs
Agentur eintragen →
D.r Web seit 1997 print.
  • Agentur finden
  • Magazin
Agentur eintragen →
Dr. Web » WordPress » Grundlagen: WordPress installieren und optimal einrichten

Grundlagen: WordPress installieren und optimal einrichten

Sozial sein
Facebook Icon. facebook Twitter Icon. twitter Xing Icon. xing Linkedin Icon. linkedin Whatsapp Icon. whatsapp
  • Keine Kommentare
Lesedauer: 6 Minuten
  • von Markus Seyfferth
  • 9. Juli 2015

WordPress ist für viele Menschen das Content Management System der Wahl, wenn es darum geht, eine Website oder einen Blog zu starten. Doch kaum jemand weiß mit hinreichender Sicherheit, wie man WordPress installieren soll, es optimal einrichtet und gegen Hacking schützt. Daher zeigen wir Ihnen in diesem Beitrag einmal im Detail die dafür nötigen Schritte. Wenn Sie sich genau an diese Anleitung halten, werden Sie eine sichere WordPress-Installation haben, die für den Anfang optimal eingerichtet ist. Sie erfahren, was Sie in den wichtigen Dateien wp-config.php und .htaccess notieren müssen und welche Plugins die absolute Grundausstattung bedeuten.

wordpress-grundlagen-teaser_DE

Die Installation von WordPress

In diesem Abschnitt behandeln wir die wichtigen zusätzlichen Einträge in die wp-config.php. Dass dort auch die Daten für die Datenbank mitsamt Zugangsdaten hinein müssen, wissen Sie selbst. Doch einige zusätzliche Angaben verschaffen Ihnen ein Plus an Sicherheit, daher sollte man sie unbedingt setzen.

Die Sicherheitsschlüssel

sicherheitsschluessel

Die Sicherheitsschlüssel sollten unbedingt gesetzt werden, da durch sie die Cookies verschlüsselt werden, die dem automatischen Einloggen gelten. Speziell zur Generierung der Schlüssel stellt uns WordPress.org einen Generator zur Verfügung. Die vom Generator generierten Schlüssel einfach durch Copy und Paste ersetzen.

Das Tabellen-Präfix

tabellenpraefix

Als Standard setzt WordPress bei jeder neuen Installation hier ein „wp_“ ein. Um einem eventuellen (wenn auch nicht sehr wahrscheinlichen) MySql-Injection-Angriff vorzubeugen, ersetzen Sie den Standard mit irgendetwas anderem. Achtung: Wenn die Webseite bereits online ist, sollte man hier möglichst nichts ändern. Ansonsten funktioniert die Website nicht mehr.

Die Datei-Editoren abschalten

datei-editoren-abschalten

Die Datei-Editoren in WordPress sind eine praktische Sache. Man kann Theme und Plugin-Dateien direkt im Backend von WordPress bearbeiten. Leider sind diese Editoren sehr häufig der Grund für weiße Seiten und eine Menge Fehler. Abgesehen davon, was ein eventueller Einbrecher in dem Blog alles damit machen kann. Daher gehören die Editoren komplett abgeschaltet, man kann wichtige Arbeiten viel besser und sicherer über (S)FTP erledigen.

WordPress installieren: Wichtige Einträge in der .htaccess-Datei

Die .htaccess-Datei des Webservers oder des Webhosting-Pakets ist eine der wichtigsten Dateien für eine sichere WordPress-Installation. Ich empfehle die Datei gleich bei der Installation von WordPress mit den richtigen Einträgen zu versorgen. Wichtig bei Einträgen in die Datei ist, dass alle zusätzlichen Einträge stets unterhalb von #End WordPress gemacht werden. Falls sie die zusätzlichen Einträge gar in das Feld mit den WordPress-Einträgen setzen, funktioniert Ihr WordPress nicht mehr.

htaccess-eintaege-ab-hier

Eine .htaccess-Datei mit allen Einträgen zum Herunterladen

Alle wichtigen Einträge für die Sicherheit und die Performance-Steigerung durch Browser-Caching und Kompression finden Sie in meiner Beispiel-htaccess, die sie auf GitHub herunterladen können.

Ein Klick auf die Grafik bringt Sie auf die herunterladbare Datei bei GitHub.
beispiel-htaccess-datei

Download .htaccess-Datei

Die Sicherheit der Installation

WordPress-Sicherheit natürlich ein ganz wichtiges Thema für WordPress-Nutzer. Durch die sehr starke Verbreitung von WordPress werden immer wieder Sicherheitslücken bekannt und ausgenutzt. Daher sollte man vorbeugen und sein WordPress so sicher wie möglich mit einem vertretbaren Aufwand machen. Ich empfehle hier eine von mir selbst eingehend getestete 2-Faktor-Authentifizierung namens SecSign ID.

Was ist SecSign ID?

SecSign ID ist eine 2-Faktor-Authentifizierung mittels 2048-Bit-Schlüsselpaaren. Benutzernamen und Passwörter werden überflüssig, es werden keinerlei geheime Zugangsdaten auf einem Server gespeichert. Passwörter, Tokens, das Abtippen von SMS oder Einmalcodes oder das Scannen von QR-Codes werden überflüssig. Diese Art der Zugangssicherung macht es Kriminellen nicht mehr möglich, Ihre Passwörter zu stehlen oder zu erraten, es müssen auch keinerlei vertrauliche Zugangsdaten auf der Website eingegeben werden. Ihre Benutzerkonten sind somit sicher vor Phishing-Angriffen, Schadprogrammen, Brute-Force-Attacken und dem Diebstahl von Passwortlisten.

Die SecSign ID 2-Faktor-Authentifizierung im Video

Two factor authentication with SecSign ID: Identity and access management solutions provider

How to log-in to WordPress with the SecSign ID

Das Einrichten dieser Sicherheitsvorkehrung geht recht einfach. Zuerst benötigt man die Smartphone-App, die es als Android – und iOS-Version kostenfrei gibt. Mit dem Assistenten richtet man sich nach der Installation der App eine SecSign-ID ein. Diese dient dann für alle WordPress-Websites, die das dafür nötige Plugin installiert haben.

Das SecSign ID WordPress-Plugin installieren und einrichten

secsign-id-plugin

  • Entwickler: SecSign
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 21.04.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage: SecSign ID Homepage
  • Download von WordPress.org

Die optimale Einrichtung des SecSign ID-Plugins

Auf der folgenden Grafik sehen Sie die optimale Konfiguration des Plugins. Wenn Sie genauso vorgehen, ist nur noch das Einloggen mit der SecSign ID erlaubt. Im Sinne der Sicherheit sind die getätigten Einstellungen optimal, da keinerlei Sicherheitslücken durch eine eventuelle „Benutzername – Passwort“ Kombination übrig bleibt.

Ein Klick auf die Grafik öffnet einen vollständigen, hochauflösenden Screenshot
SecSign-ID-Login-options-vorschau

Eine letzte Sicherheitslücke

Ihre WordPress-Website ist nun wirklich relativ sicher und geschützt vor Hacker-Angriffen. Allerdings gibt es noch eine einzige, relative Sicherheitslücke, und das ist der FTP-Zugang. Grundsätzlich sollte keine FTP-Zugangsmöglichkeit vorhanden sein, sondern alternativ nur der Zugang über (bestenfalls) SSH. Doch das ist nicht die Realität. In der Realität ist es oftmals nicht einmal möglich, statt über FTP einen Zugang über SFTP zu nutzen, weil der Webhoster das nicht vorsieht und nicht eingerichtet hat.

Zur Erklärung: bei einem SFTP- oder SSH-Zugang werden die Daten und auch die Zugangsdaten verschlüsselt übertragen, was dass Abfangen von Zugangsdaten extrem erschwert. Bei einem reinen FTP-Zugang erfolgt die Authentifizierung und Übertragung unverschlüsselt.

Sollten Sie keine andere Möglichkeit als einen FTP-Zugang zu Ihrem Server oder auf Ihr Webhosting-Paket haben, so empfehle ich Ihnen, dass dafür nötige Passwort so sicher wie nur möglich zu gestalten. Empfehlenswert wären eine Länge von 20 Zeichen, Groß- und Kleinschreibung, Sonderzeichen und Zahlen.

WordPress installieren: Das ist die richtige Grundausstattung mit WordPress-Plugins

Die absolute Grundausstattung bei der Installation von WordPress sind bei mir nur zwei Plugins. Diese dürfen meines Erachtens in keiner Installation fehlen. Ich setze beide Plugins bereits seit Jahren auf vielfältigen Websites ein und kann sie vorbehaltlos empfehlen.

Antispam Bee

antispam-bee

Antispam Bee ist eine der vielen möglichen Lösungen gegen Kommentar-Spam, jedoch sehr wirkungsvoll und werbefrei. Im Gegensatz zu der WordPress eigenen Lösung Akismet vollkommen kostenfrei auch für kommerziell genutzte Websites, Akismet möchte bei einer kommerziell genutzten WordPress-Website mindestens 5 USD im Monat haben.

  • Entwickler: (bislang) Sergej Müller
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 23.04.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage: Antispam Bee Website mit Dokumentation
  • Download von WordPress.org

BBQ – Block Bad Queries

block-bad-queries-wordpress-plugin

Das BBQ-Plugin ist ein sicherheitsrelevantes Plugin, welches zuverlässig die bösartigen Zugriffe und Angriffe über die URLs blockiert. Für mich gehört das Plugin zur Grundausstattung, es wird ständig aktualisiert und gepflegt und verschafft einer WordPress-Website ein kleines Plus an Sicherheit.

  • Entwickler: Jeff Starr und andere
  • Wird ständig weiter entwickelt: Ja
  • Letzte Version vom: 14.03.2015
  • Kosten: kostenfrei über WordPress.org
  • Lizenz: GNU GENERAL PUBLIC LICENSE
  • Wechselwirkungen mit anderen Plugins: nicht bekannt
  • Entwickler-Homepage: BBQ: Block Bad Queries Homepage
  • Download von WordPress.org

Fazit

Mit dieser kleinen Liste haben Sie ein Werkzeug an die Hand bekommen, mit dem Sie eine WordPress-Installation einfach, schnell und sicher aufsetzen können. Die zusätzliche Arbeit bewegt sich im Rahmen von nicht mehr als einer Viertelstunde, verschafft Ihnen jedoch ein echtes Plus an Sicherheit. Jede zusätzliche Arbeit, jedes zusätzliche Plugin ist nun von der jeweiligen, individuellen Website abhängig und auch von den persönlichen Vorlieben.

Links zum Beitrag

  • Generator für die Sicherheitsschlüssel
  • Download .htaccess-Datei
  • SecSign ID-App als Android – und als iOS-Version zum Download
  • SecSign ID-Plugin von WordPress.org
  • SecSign ID Homepage
  • BSI: Sichere Passwörter
  • Passwort-Generator
  • Antispam Bee Website mit Dokumentation
  • Antispam Bee: Download von WordPress.org
  • BBQ: Block Bad Queries Homepage
  • Block Bad Queries: Download von WordPress.org

(dpe)

Markus Seyfferth

Markus Seyfferth

ist seit 2019 Geschäftsführer & WordPress-Entwickler bei Dr. Web. Zuvor war er sechs Jahre lang Vorstand des Smashing Magazine, im Rahmen dessen er u.a. das Online-Marketing, die Betreuung der Werbekunden sowie diverse Online-Projekte geleitet hat.
Sponsor. Du bist auch interessiert? Kontaktiere uns →
Kostenloses SEO-Tool. Werbung für die OSG Performance Suite.

Jobs

Lead Entwickler Mobile mit Fokus iOS-Entwicklung

Karlsruhe

Grafik-Designerin

Freiburg im Breisgau

Sprachtalente

Volkach oder Würzburg

Zum richtigen Job

Agenturpartner

Homepage & Design Heroes GmbH

Balingen

SEO Agentur Hamburg

Hamburg

wolpersweb.de Webdesign & SEO

Düsseldorf

JOHDA Webdesign

Berlin

SEO-Sicht

Berlin

Alle Agenturpartner

Lust auf mehr? Wir empfehlen folgende Artikel:

WordPress 6.0 „Arturo” ist da: Was du beachten solltest

Mit WordPress 6.0 wird ab sofort die zweite große WordPress-Version des Jahres 2022 ausgerollt. Alle wichtigen Neuerungen für dich zusammengefasst.

 →   

WordPress Themes kostenlos und kostenpflichtig

Warum kostenlos oft teuer ist. Was nichts kostet, ist nichts wert. Diese Redensart hat jeder von uns schon gehört. Und die gilt auch für Themes. Denn Themes müssen weiterentwickelt werden, und dafür braucht das Entwicklerteam schlicht Geld. Ein nicht weiter entwickeltes Theme, das deine Website crasht, kann dich also teuer zu stehen kommen. Setze deshalb lieber auf ein am Markt etabliertes Theme mit hoher Nutzerzahl.

 →   

Elementor für WordPress: Was sind die Vor- und Nachteile?

Elementor ist der führende Pagebuilder für WordPress und kann mehr als 7 Millionen (!) aktive Installationen für sich verbuchen. Ich habe mir den Senkrechtstarter für dich angesehen.

 →   

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Dr. Web Logo weiss.

Pionier für Digitale Transformation. Seit 1997. ✅  Wissen, Tipps, Ratgeber, Dienstleister: Wir bringen wir die digitale Transformation von Unternehmen praxisnah voran.

Wissen finden

  • Dr. Web Autoren
  • Amazon SEO
  • Content Marketing
  • CMS
  • CSS
  • Digitalisierung
  • E-Commerce
  • Freelancer
  • Jobs
  • Online-Marketing
  • SEO
  • UX Design
  • Webdesign
  • Website erstellen
  • WordPress
  • WooCommerce
Menü
  • Dr. Web Autoren
  • Amazon SEO
  • Content Marketing
  • CMS
  • CSS
  • Digitalisierung
  • E-Commerce
  • Freelancer
  • Jobs
  • Online-Marketing
  • SEO
  • UX Design
  • Webdesign
  • Website erstellen
  • WordPress
  • WooCommerce

Rechtliches

  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Nach oben ↑
Menü
  • Datenschutzerklärung
  • Geschäftsbedingungen (AGB)
  • Impressum
  • Kontakt
  • Nach oben ↑

Für Agenturen & Unternehmer

  • Als Agentur eintragen
  • Beste Agenturen finden
  • Städte: von A bis Z.
  • Agenturen in Augsburg
  • Agenturen in Bad Nauheim
  • Agenturen in Basel
  • Agenturen in Bayreuth
  • Agenturen in Berlin
  • Agenturen in Bochum
  • Agenturen in Bonn
  • Agenturen in Bremen
  • Agenturen in Dortmund
  • Agenturen in Dresden
  • Agenturen in Duisburg
  • Agenturen in Düsseldorf
  • Agenturen in Essen
  • Agenturen in Frankfurt am Main
  • Agenturen in Freiburg
  • Agenturen in Hamburg
  • Agenturen in Hannover
  • Agenturen in Innsbruck
  • Agenturen in Karlsruhe
  • Agenturen in Köln
  • Agenturen in Leipzig
  • Agenturen in München
  • Agenturen in Münster
  • Agenturen in Nürnberg
  • Agenturen in Offenbach am Main
  • Agenturen in Regensburg
  • Agenturen in Salzburg
  • Agenturen in Stuttgart
  • Agenturen in Wien
  • Agenturen in Zürich
  • Digitalagentur finden
  • Webdesign-Agentur finden
  • Werbeagentur finden
Menü
  • Als Agentur eintragen
  • Beste Agenturen finden
  • Städte: von A bis Z.
  • Agenturen in Augsburg
  • Agenturen in Bad Nauheim
  • Agenturen in Basel
  • Agenturen in Bayreuth
  • Agenturen in Berlin
  • Agenturen in Bochum
  • Agenturen in Bonn
  • Agenturen in Bremen
  • Agenturen in Dortmund
  • Agenturen in Dresden
  • Agenturen in Duisburg
  • Agenturen in Düsseldorf
  • Agenturen in Essen
  • Agenturen in Frankfurt am Main
  • Agenturen in Freiburg
  • Agenturen in Hamburg
  • Agenturen in Hannover
  • Agenturen in Innsbruck
  • Agenturen in Karlsruhe
  • Agenturen in Köln
  • Agenturen in Leipzig
  • Agenturen in München
  • Agenturen in Münster
  • Agenturen in Nürnberg
  • Agenturen in Offenbach am Main
  • Agenturen in Regensburg
  • Agenturen in Salzburg
  • Agenturen in Stuttgart
  • Agenturen in Wien
  • Agenturen in Zürich
  • Digitalagentur finden
  • Webdesign-Agentur finden
  • Werbeagentur finden
Das große Dr. Web Icon-Set: 970+ Icons, im SVG-Format​

Lade Dir jetzt das Icon-Set
kostenlos herunter ↓

Über 970 Dr. Web-Icons, kostenlos.
Danke nein, ist nichts für mich.
Invalid email address
Vielen Dank! Bitte schau noch in Dein Postfach und bestätige die Anmeldung.