WordPress Sicherheits-Checkliste

Nutze diese Checkliste, um deine WordPress-Seite systematisch abzusichern.

SSL & HTTPS

• Gültiges SSL-Zertifikat installieren
• Gesamten HTTP-Traffic auf HTTPS umleiten (301-Redirect)
• Alle Mixed-Content-Warnungen beheben
• HSTS-Header aktivieren

Security Headers

• X-Frame-Options: SAMEORIGIN gegen Clickjacking
• X-Content-Type-Options: nosniff gegen MIME-Sniffing
• Referrer-Policy: strict-origin-when-cross-origin
• Permissions-Policy zur Einschränkung von Browser-Funktionen
• Content-Security-Policy implementieren

WordPress-Härtung

• WordPress Core, Plugins und Themes aktuell halten
• Ungenutzte Plugins und Themes entfernen
• XML-RPC deaktivieren
• REST-API-Benutzer-Endpunkt einschränken
• Benutzer-Enumeration blockieren
• WordPress-Version verstecken
• Debug-Log absichern oder entfernen
• Starke, einzigartige Passwörter verwenden
• Login-Versuche begrenzen

Datei- & Server-Sicherheit

• Korrekte Dateiberechtigungen (644 für Dateien, 755 für Verzeichnisse)
• wp-config.php schützen
• Dateibearbeitung im Admin deaktivieren: define('DISALLOW_FILE_EDIT', true);

Überwachung

• Sicherheitsplugin installieren (Wordfence, Sucuri)
• Automatische InspectWP-Scans einrichten
• E-Mail-Benachrichtigungen für Updates aktivieren

Mit InspectWP überprüfen

Führe einen umfassenden InspectWP-Scan durch, um alle sicherheitsrelevanten Punkte auf einmal zu prüfen.