Wie wp-config.php von Hackers in WordPress zu schützen

Technisches SEO / von / Februar 6, 2026
Wie wp‐config.php von Hackern in WordPress-Sicherheitsführer zu schützen

Die wp-config.php-Datei ist das Herzstück Ihrer WordPress-Website — es enthält Ihre Datenbank Anmeldeinformationen, Authentifizierungsschlüssel und andere sensible Einstellungen. Wenn Hacker darauf zugreifen, können sie Ihre gesamte Website übernehmen, Malware injizieren, Daten stehlen oder alles löschen. Mit automatisierten Angriffen auf bekannte Schwachstellen wie exponierte Config-Dateien, ist der Schutz von wp-config.php ein nicht verhandelbarer Sicherheitsschritt.

Bei Cope Business sichern wir wp-config.php während unserer technische SEO Audits und standorthärtungsprozesse – es ist eines der ersten dinge, die wir überprüfen, um verletzungen zu verhindern.

Diese Anleitung erklärt, warum wp-config.php ein Ziel ist, und bietet Schritt für Schritt Methoden, um es mit Berechtigungen zu schützen, .htaccess Regeln, Plugins und Best Practices - alles ohne fortgeschrittene technische Kenntnisse.

Warum Hackers Target wp-config.php und warum es schützen?

  • Sensitive Daten: Enthält Datenbank-Benutzername/Passwort, geheime Schlüssel zur Authentifizierung
  • Einfacher Zugang: Wenn Berechtigungen falsch sind oder der Server falsch konfiguriert ist, ist er frei
  • Gemeinsame Angriffsvektor: Bots scannen nach wp-config.php zu nutzen
  • Folgen: Vollständige Website Übernahme, Datendiebstahl, SEO-Schäden von Malware

Der Schutz reduziert das Risiko durch 80–90% from Grundangriffe – kombiniert mit starken Passwörtern, 2FA und regelmäßigen Backups für volle Sicherheit.

Methode 1: Sichere Dateiberechtigungen festlegen (leicht & Essential)

Falsche Berechtigungen (z.B. 666 oder 777) erlauben es jedem, die Datei zu lesen/zu bearbeiten.

Empfohlene Zulassung: 600 oder 640

  • 600: Besitzer nur lesen/schreiben
  • 644: Besitzer lesen/schreiben, andere lesen nur (wenn Ihr Server es benötigt)

Schritte

  1. Zugriff auf Ihre Website über FTP (FileZilla) oder Hosting-Dateimanager (cPanel > File Manager).
  2. Finden Sie wp-config.php im Wurzelordner.
  3. Rechtsklick → Dateirechte oder Änderungen der Berechtigungen.
  4. Geben Sie 600 ein (oder 640 wenn 600 Probleme verursacht).
  5. Überprüfen Sie “nur auf diese Datei anwenden” → Speichern.
  6. Test: Ihre Website sollte noch funktionieren; versuchen Sie, auf Ihresite.com/wp-config.php - sollte 403 Verboten oder leer zeigen.

Verwendung von SSH/Terminal:

Basilikum

cd /path/to/wordpress/root
chmod 600 wp-config.php

Pros: Schnell, keine Plugins, Server-Level-Schutz.
Negativ: Kann eine Anpassung an einige Hosts erforderlich sein (Kontaktieren Sie die Unterstützung bei Fehlern).

Methode 2: Block Access mit .htaccess (Strong Protection)

Dies verhindert direkten Browser-Zugriff auf wp-config.php.

Schritte (Apache Server – Most Shared Hosting)

  • Öffnen Sie .htaccess in Root-Ordner (oben zuerst!).
  • Fügen Sie diesen Code oben hinzu:
text<Files wp-config.php> order allow,deny deny from all </Files>
  • Rette.
  • Test: Zugriff auf yoursite.com/wp-config.php — 403 Verbotene Fehler.

Für NGINX Server (VPS wie DigitalOcean): Add to server config (oder fragen Sie Host):

text

location ~* ^/wp-config.php$ {
    deny all;
}

Pros: Blockiert direkten Zugang, einfach.
Negativ: Erfordert .htaccess bearbeiten; nicht alle Hosts erlauben.

Methode 3: Verwenden Sie ein Security Plugin (Automated & Comprehensive)

Plugins hinzufügen zusätzliche Schichten wie Überwachung und Auto-Schutz.

Empfohlenes Plugin: Alles in einem WP Security & Firewall (Kostenlos)

  1. Installieren Alles in einem WP Security & Firewall von Plugins > Neues hinzufügen.
  2. Aktivieren → Gehen Sie zu WP-Sicherheit > Firewall > Grundlegende Firewall Regeln.
  3. Ermöglichen Wp-config.php Datei schützen (oder ähnlich in anderen plugins).
  4. Speichern — Plugin fügt .htaccess Regeln automatisch.

Alternative Plugin: Sucuri Sicherheit (frei) oder Wortfüße (kostenlos/pro) — beide haben dateischutzfunktionen.

Pros: Automatik, enthält andere Sicherheitswerkzeuge.
Negativ: Fügen Sie ein Plugin hinzu (aber es für volle Sicherheit wert).

Weitere Best Practices zum Schutz von wp-config.php

  • Bewegung wp-config.php — Legen Sie es ein Verzeichnis über der Wurzel (WordPress auto-detects).
  • Extra Sicherheitsschlüssel hinzufügen — Erstellen Sie neue Authentifizierungsschlüssel in wp-config.php (verwenden Sie WordPress.org Schlüsselgenerator).
  • Zugriff auf Datenbanken — Verwenden Sie einen einzigartigen DB-Benutzer mit eingeschränkten Privilegien (nicht volle Wurzel).
  • Regelmäßige Backups — Verwenden Sie UpdraftPlus, um wp-config.php und Datenbank zu sichern.
  • Änderungen überwachen — Verwenden Sie Sicherheits-Plugins, um auf Dateiänderungen zu alarmieren.
  • SEO Tipps — Sichere Standorte sind langfristig besser; Paar mit Geschwindigkeitsoptimierungen.

Letzte Gedanken

Der Schutz von wp-config.php vor Hackern ist ein schneller, wesentlicher Sicherheitsschritt – beginnen Sie mit sicheren Berechtigungen (600/640) und .htaccess blockieren, dann fügen Sie ein Plugin wie All in One WP Security für zusätzliche Schichten.

Eine sichere wp-config.php hält Ihre gesamte Website sicher.

Erfahren von Sicherheitsbedenken oder benötigen Sie eine vollständige Härteprüfung? Kontakt Cope Business für eine kostenlose technische SEO Beratung – wir sichern Ihre wp-config.php, härten Ihre gesamte Website und optimieren für Leistung und Ruhe des Geistes.

War dieser Artikel hilfreich?
JaNein

In den Warenkorb