So schützen Sie wp-config.php vor Hackern in WordPress

Technisches SEO / Von / 6. Februar 2026
How to protect wp‑config.php from hackers in WordPress security guide

Die Datei wp-config.php ist das Herzstück Ihrer WordPress-Site – sie enthält Ihre Datenbankanmeldeinformationen, Authentifizierungsschlüssel und andere sensible Einstellungen. Wenn Hacker darauf zugreifen, können sie Ihre gesamte Website übernehmen, Malware einschleusen, Daten stehlen oder alles löschen. Da automatisierte Angriffe auf bekannte Schwachstellen wie offengelegte Konfigurationsdateien abzielen, ist der Schutz von wp-config.php ein nicht verhandelbarer Sicherheitsschritt.

Bei Cope Business sichern wir während unserer Arbeit immer wp-config.php technische SEO-Prüfungsdienste und Site-Hardening-Prozesse – dies ist eines der ersten Dinge, die wir überprüfen, um Verstöße zu verhindern.

Diese Anleitung erklärt, warum wp-config.php ein Ziel ist, und bietet Schritt-für-Schritt-Methoden zum Schutz mithilfe von Berechtigungen, .htaccess-Regeln, Plugins und Best Practices – alles ohne fortgeschrittene technische Kenntnisse.

Warum haben es Hacker auf wp-config.php abgesehen und warum sollten sie es schützen?

  • Sensible Daten: Enthält Datenbankbenutzernamen/Passwort, geheime Schlüssel zur Authentifizierung
  • Einfacher Zugang: Wenn Berechtigungen falsch sind oder der Server falsch konfiguriert ist, wird er angezeigt
  • Gemeinsamer Angriffsvektor: Bots suchen nach wp-config.php, um es auszunutzen
  • Konsequenzen: Vollständige Übernahme der Website, Datendiebstahl, SEO-Schaden durch Malware

Durch den Schutz wird das Risiko grundlegender Angriffe um 80–90 % reduziert – kombiniert mit sicheren Passwörtern, 2FA und regelmäßigen Backups für vollständige Sicherheit.

Methode 1: Sichere Dateiberechtigungen festlegen (am einfachsten und wichtigsten)

Falsche Berechtigungen (z. B. 666 oder 777) ermöglichen es jedem, die Datei zu lesen/bearbeiten.

Empfohlene Erlaubnis: 600 oder 640

  • 600: Besitzer nur Lese-/Schreibzugriff
  • 644: Eigentümer lesen/schreiben, andere nur lesen (sofern Ihr Server dies erfordert)

Schritte

  1. Greifen Sie über FTP (FileZilla) oder den Hosting-Dateimanager (cPanel > Dateimanager) auf Ihre Website zu.
  2. Suchen Sie wp-config.php im Stammordner.
  3. Klicken Sie mit der rechten Maustaste → Dateiberechtigungen oder Berechtigungen ändern.
  4. Geben Sie 600 ein (oder 640, wenn 600 Probleme verursacht).
  5. Aktivieren Sie „Nur auf diese Datei anwenden“ → Speichern.
  6. Test: Ihre Website sollte noch funktionieren; Versuchen Sie, auf yoursite.com/wp-config.php zuzugreifen – es sollte 403 Forbidden oder leer angezeigt werden.

Bei Verwendung von SSH/Terminal:

Bash

cd /path/to/wordpress/root chmod 600 wp-config.php

Vorteile: Schnell, keine Plugins, Schutz auf Serverebene.
Nachteile: Möglicherweise muss auf einigen Hosts eine Anpassung vorgenommen werden (wenden Sie sich bei Fehlern an den Support).

Methode 2: Zugriff mit .htaccess blockieren (starker Schutz)

Dies verhindert den direkten Browserzugriff auf wp-config.php.

Schritte (Apache-Server – das meiste Shared Hosting)

  • Öffnen Sie .htaccess im Stammordner (zuerst sichern!).
  • Fügen Sie oben diesen Code hinzu:
Text order allow,deny deny from all
  • Speichern.
  • Test: Greifen Sie auf yoursite.com/wp-config.php zu – 403 Verbotener Fehler.

Für NGINX-Server (VPS wie DigitalOcean): Zur Serverkonfiguration hinzufügen (oder Host fragen):

Text

location ~* ^/wp-config.php$ { alles verweigern; }

Vorteile: Blockiert direkten Zugriff, einfach.
Nachteile: Erfordert .htaccess-Bearbeitung; Nicht alle Gastgeber erlauben dies.

Methode 3: Verwenden Sie ein Sicherheits-Plugin (automatisiert und umfassend)

Plugins fügen zusätzliche Ebenen wie Überwachung und automatischen Schutz hinzu.

Empfohlenes Plugin: All in One WP Security & Firewall (kostenlos)

  1. Installieren Alles in einem WP-Sicherheit und Firewall aus Plugins > Neu hinzufügen.
  2. Aktivieren → Gehe zu WP-Sicherheit > Firewall > Grundlegende Firewall-Regeln.
  3. Aktivieren Schützen Sie die Datei wp-config.php (oder ähnlich in anderen Plugins).
  4. Speichern – Plugin fügt .htaccess-Regeln automatisch hinzu.

Alternatives Plugin: Sucuri-Sicherheit (kostenlos) oder Wordfence (kostenlos/Pro) – beide verfügen über Dateischutzfunktionen.

Vorteile: Automatisch, umfasst andere Sicherheitstools.
Nachteile: Fügt ein Plugin hinzu (lohnt sich aber für volle Sicherheit).

Zusätzliche Best Practices zum Schutz von wp-config.php

  • Verschieben Sie wp-config.php – Platzieren Sie es ein Verzeichnis über dem Stammverzeichnis (WordPress erkennt es automatisch).
  • Fügen Sie zusätzliche Sicherheitsschlüssel hinzu — Generieren Sie neue Authentifizierungsschlüssel in wp-config.php (verwenden Sie den WordPress.org-Schlüsselgenerator).
  • Beschränken Sie den Datenbankzugriff — Verwenden Sie einen eindeutigen DB-Benutzer mit eingeschränkten Berechtigungen (kein vollständiger Root).
  • Regelmäßige Backups — Verwenden Sie UpdraftPlus, um wp-config.php und die Datenbank zu sichern.
  • Überwachen Sie Änderungen — Verwenden Sie Sicherheits-Plugins, um bei Dateiänderungen zu warnen.
  • SEO-Tipp – Sichere Websites haben langfristig ein besseres Ranking. gepaart mit Geschwindigkeitsoptimierungen.

Letzte Gedanken

Der Schutz von wp-config.php vor Hackern ist ein schneller, wesentlicher Sicherheitsschritt – beginnen Sie mit sicheren Berechtigungen (600/640) und .htaccess-Blockierung und fügen Sie dann ein Plugin wie All in One WP Security für zusätzliche Ebenen hinzu.

Eine sichere wp-config.php schützt Ihre gesamte Website.

Haben Sie Sicherheitsbedenken oder benötigen Sie ein umfassendes Härtungsaudit? Kontaktieren Sie Cope Business für eine kostenlose technische SEO-Beratung – wir sichern Ihre wp-config.php, härten Ihre gesamte Website und optimieren sie für Leistung und Sicherheit.

War dieser Artikel hilfreich?
JaNEIN

Verwandte Beiträge