In der Welt der Cybersicherheit gibt es das Konzept der “Aufklärung” (Reconnaissance). Bevor ein Hacker angreift, scannt er. Wenn Ihre Website stolz verkündet: “Hallo! Ich laufe auf WordPress 5.8.1!”, rollen Sie den roten Teppich aus.
In diesem umfassenden Guide gehen wir über einfache Plugins hinaus. Wir implementieren echte Server-Sicherheit.
Teil 1: Das “Generator”-Problem
Standardmäßig injiziert WordPress:
<meta name="generator" content="WordPress 6.7.1" />
Der Fix (PHP Snippet)
Fügen Sie dies in Ihre functions.php ein:
remove_action('wp_head', 'wp_generator');
remove_action('rss2_head', 'the_generator');
function wppoland_remove_version_scripts_styles($src) {
if (strpos($src, 'ver=')) {
$src = remove_query_arg('ver', $src);
}
return $src;
}
add_filter('style_loader_src', 'wppoland_remove_version_scripts_styles', 9999);
add_filter('script_loader_src', 'wppoland_remove_version_scripts_styles', 9999);Teil 2: Security Header
Header sind die Riegel an Ihrer Tür.
1. X-Frame-Options (Anti-Clickjacking)
Verhindert, dass Ihre Seite in einem <iframe> geladen wird.
<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>2. Strict-Transport-Security (HSTS)
Zwingt Browser, IMMER HTTPS zu nutzen. Verhindert Man-in-the-Middle-Angriffe.
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
</IfModule>Teil 3: XML-RPC deaktivieren
xmlrpc.php ist veraltet und das Ziel Nr. 1 für Brute-Force-Angriffe.
In .htaccess:
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>Teil 4: Dateiberechtigungen
- Ordner:
755 - Dateien:
644 - wp-config.php:
400oder440(Niemand außer dem Server darf dies lesen).
Zusammenfassung
- Info verstecken (Version entfernen).
- Verbindung härten (HSTS).
- Türen schließen (XML-RPC).
- Fenster verriegeln (Berechtigungen).
