WP Toolkit enthält einen Sicherheits-Checker, der Ihre WordPress-Installation auf häufige Sicherheitslücken und Fehlkonfigurationen überprüft. Es bietet außerdem Ein-Klick-Korrekturen für die kritischsten Probleme.

Sicherheitsscan durchführen

1. Öffnen Sie WP Toolkit in cPanel.
2. Suchen Sie die Website, die Sie scannen möchten. Klicken Sie auf den Sicherheitsstatusindikator auf der Website-Karte (er zeigt eine Punktzahl oder eine Farbe: Grün, Gelb oder Rot).
3. Alternativ klicken Sie auf Verwalten auf der Website-Karte → gehen Sie zum Tab Sicherheit.
4. Klicken Sie auf Scannen, um eine neue Überprüfung durchzuführen.
5. WP Toolkit listet alle Prüfungen mit ihrem Status auf: bestanden, Warnung oder fehlgeschlagen.

Was WP Toolkit überprüft

• WordPress-Core, Plugins und Themes sind aktuell
• Das WordPress-Administratorpasswort ist nicht das Standardpasswort
• Der Debug-Modus ist deaktiviert (Debug-Ausgaben können Dateipfade und Datenbankinformationen offenlegen)
• Das Verzeichnis-Browsing ist deaktiviert
• Der Zugriff auf wp-config.php und .htaccess ist aus dem Web blockiert
• XML-RPC ist deaktiviert (reduziert die Angriffsfläche für Brute-Force- und DDoS-Angriffe)
• Der Standard-Administratorbenutzername („admin") wird nicht verwendet
• Nicht verwendete Themes und Plugins werden entfernt

Sicherheitsprobleme beheben

1. Klicken Sie auf dem Tab „Sicherheit" auf Alle beheben, um alle empfohlenen Korrekturen in einem Schritt anzuwenden.
2. Oder klicken Sie auf die Schaltfläche „Beheben" neben einzelnen Elementen, um sie einzeln anzuwenden.

Jede Korrektur wird erklärt, bevor sie angewendet wird. Lesen Sie die Beschreibungen sorgfältig — einige Änderungen (z. B. das Deaktivieren von XML-RPC) können bestimmte Plugins wie Jetpack beeinträchtigen. Wenn Sie solche Plugins verwenden, wenden Sie Korrekturen selektiv an.

Optionen zur Sicherheitshärtung

• XML-RPC deaktivieren — blockiert einen häufig genutzten Angriffsvektor für Brute-Force-Logins und DDoS-Amplifikation
• Zugriff auf sensible Dateien blockieren — verhindert den direkten Webzugriff auf wp-config.php, readme.html und ähnliche Dateien
• Verzeichnis-Browsing deaktivieren — blendet den Inhalt von Verzeichnissen aus, die keine Indexdatei haben
• Skriptausführung in Uploads deaktivieren — verhindert, dass Angreifer PHP-Dateien ausführen, die über die Medienbibliothek hochgeladen wurden

Automatische Sicherheitsscans planen

WP Toolkit kann Sicherheitsscans nach einem Zeitplan ausführen und Sie benachrichtigen, wenn neue Probleme erkannt werden. Konfigurieren Sie dies im Tab „Sicherheit" unter Sicherheitsstatusüberwachung.