Optimierung der wp-config

Tipps & Tricks wie du die Datei: wp-config.php in WordPress optimierst.

Wir zeigen dir in diesem Blog Beitrag einige Tipps & Tricks, wie du deine WordPress-Installation durch Optimierung der wp-config mit Funktionen erweitern kannst und wie du die gesamte Installation sicherer machst.

Die wp-config.php ist die wichtigste Datei einer WordPress-Installation. Sie beinhaltet die Zugangsdaten zur Datenbank. Zudem weist sie weitere Funktionen zum Betrieb von WordPress auf, wie die Steuerung des PHP Memory Limit auf deinem Server, die maximale Anzahl der Post Revisionen usw. Es ist deine wichtigste Datei, die unbedingt vor Zugriffen von außen gechützt werden muß.

Noch ein wichtiger Hinweis, bevor du Änderungen an der wp-config.php vornimmst: mache ein Backup der aktuellen wp-config.php, damit du sie wieder einspielen kannst, wenn etwas schiefläuft.

Alles, was an neuem Code in die Datei eingefügt wird, sollte Code vor dem Kommentar „Für Entwickler“ (* For developers: WordPress debugging mode.) stehen.

Du brauchst noch einen HTML-Editor und einen FTP-Client, damit du auf deinen Server zugreifen kannst.

# 1: WordPress automatisch updaten

WordPress und die Themes und Plugins aktuell zu halten ist eine der wichtigsten Aufgaben. Damit wird die Sicherheit deiner WordPress Installation garantiert. Es gibt seit Version 3.7 automatisierte Updates für Sicherheitsupdates, jedoch müssen die immer wieder neu erscheinenden Hauptversionen über das Backend manuell installiert werden.

Für die automatische Aktualisierung neuer Hauptversionen von WordPres kannst du folgende Zeile einfügen:

Copy to Clipboard

Automatisch Aktualisierungen in WordPress für die Plugins und Themes funktionieren nicht über die wp-config.php.  Du kannst dies jedoch über das Plugin Easy Updates Manager realisieren. Es muß dann nach der Installation nur noch konfiguriert werden.

# 2: Sicherheitsschlüssel / Secret Keys verwenden

Die Secret Keys verschlüsseln die Informationen, die im Cookie abgelegt werden, so zum Beispiel das Passwort für den Login. Denn ein nicht verschlüsseltes Passwort wie „pass123“ ist viel leichter zu knacken als ein „Aga5VfdsaAFGhjhjJ@§2“.

Die Sicherheitsschlüssel kannst du auch in einer bestehenden Webseite nachträglich noch einbauern oder austauschen. Lediglich die Benutzer müssen sich nach dem Update der Secret Keys neu anmelden.

Die Sicherheitsschlüssel kannst du auf der offiziellen Seite neu generieren und in die wp-config.php kopieren:

Link zur Webseite: https://api.wordpress.org/secret-key/1.1/salt/

# 3: Plugin- & Theme-Editor im Backend abschalten

Die Theme-Dateien und die Plugin-Dateien lassen sich im WordPress-Backend von Hause aus direkt im Dashboard anpassen. Der Editor  ist unter „Design -> Editor“ bzw. „Plugins ->Editor“  zu finden. Wenn sich jedoch ein Unbefugter Zugriff zum Backend verschafft hat, hast du ein erhebliches Sicherheits-Problem. Codezeilen können damit gelöscht oder schadhafter Code implementiert werden.

Noch eine worst case Version: wenn du selbst als Administrator eine unbedachte Änderung vorzeitig speicherst, kann unter Umständen die gesamte Seite samt Backend nicht mehr funktionieren.

Die Empfehlung für Profis: Änderungen entweder zuerst in einer Testumgebung checken oder nur direkt an den Dateien via SSH oder FTP vornehmen.

Den Editor im Backend für alle Benutzer ausschalten funktioniert mit folgendem Code:

Copy to Clipboard

# 4: Plugin- und Theme-Installation deaktivieren

Die Installation von Themes und Plugins über das Backend unterbinden funktioniert mit der nachfolgenden Zeile Code. Damit wird allen Usern über die Administrationsoberfläche das Ändern am Theme oder an Plugins unterbunden. Zukünftig müssen alle Dateien über FTP auf den Server geladen werden.

Copy to Clipboard

# 5: SSL-Nutzung preferieren

Ein SSL-Zertifikat ist heute auf jeder Website zwingend erforderlich. Es erhöht die Sicherheit zwischen Browser und Server. Es ist bei Google bereits vor längerer Zeit ein Rankingfaktor.

Let’s Encrypt bietet Zertifikate kostenlos an. Es gibt also keinen Grund mehr, daruf zu verzichten.

Ist ein Zertifikat installiert, kann man mit dem folgenden Code WordPress anweisen, auch im Backend SSL zu forcieren und damit über eine sichere Verbindung bei der Abnmeldung zu erreichen. Die erste Zeile ist der sichere Login und die zweite Zeile die sichere Verbindung im Backend.

Copy to Clipboard

# 6: Debug-Modus deaktivieren

Der Debug-Modus dient in WordPress dazu, Entwicklern die Möglichkeit zu geben, Fehler im Code zu finden und veraltete Funktionen zu identifizieren. Der Debug Modus sollte jedoch nur in einer abgesicherten Testversion eingesetzt werden. In einer Live-Umgebung würde er auch Fremden sensible Informationen zur WordPress-Installation mitteilen.

Standardmäßig ist der Debug-Modus in WordPress deaktiviert. Wir empfehlen, das in der wp-config.php auf jeden Fall zu checken, ob es auch so eingestellt ist. Bei folgendem Code ist der Debug Modus deaktiviert:

Copy to Clipboard

# 7: Tabellenpräfix ändern

Bei einer neuen WordPress-Installation sollte der Tabellen-Präfix von „wp_“ durch etwas kryptischers ersetzt werden: z.B. „krtxp_“.

Damit reduzierst du SQL-Injection (das Einschleusen von schadhaftem Code) in die Datenbank.

# 8: wp-config.php verschieben

Da die wp-config.php die wichtigste Datei in deiner WordPress-Installation ist, sollte diese so sicher und versteckt wie möglich sein. Die Datei kann etwa auch in ein anderes Verzeichnis verschoben werden, wo sie nicht so leicht für Fremde zu finden ist.

Dazu verschiebst du die wp-config.php an einen neuen Ort deiner Wahl, der auch außerhalb des WordPress-Ordners sein kann. Vorher die Datei noch sichern. Danach erstellst du im root-Verzeichnis deiner WP-Installation einfach eine neue wp-config.php und fügst folgenden Code ein. Bitte darauf achten, dass der Pfad in Zeile 4 angepasst werden muss. Das ist alles.

Die Meinungen über die Zweckmäßigkeit des Verschiebens der wp-config.php gehen unter Experten auseinander. Wer jedoch ein zusätzliches Sicherheits-Merkmal in seine WordPress Installation einbinden will, dem empfehlen wir diesen Schritt.

Copy to Clipboard

# 9: wp-config.php mit .htaccess absichern

Der nachfolgende Code wird in die .htaccess-Datei und nicht in deine wp-config.php integriert. Der Code dient dazu, die wp-config.php abzusichern. Der Zugriff auf die wp-config.php von außen wird damit beschränkt:

Copy to Clipboard

# 10: Autosave-Intervall ändern

Standardmäßig speichert WordPress alle 60 Sekunden deinen Beitrag. Bei einem Browserausfall bleibt damit der Großteil deiner Arbeit erhalten. Wenn du einen längeren oder kürzeren Zeitabschnitt dafür vorsehen willst, kannst du das mit nachfolgender Code-Zeile anpassen:

Copy to Clipboard

# 11: Post Revisionen limitieren oder abschalten

In WordPress wird jede Änderung an deinen Beiträgen automatisch gespeichert. Das belastet die Datenbank enorm. Wenn du die Revisionen auf eine bestimmte Anzahl beschränken willst, dann kannst du das mit dem nachstehenden Code einstellen.

Copy to Clipboard

Alternativ kann man die Revisionen auch komplett abschalten:

Copy to Clipboard

# 12: Home-URL und Site-URL hinterlegen

Die Home-URL und die Site-URL von WordPress sind in der Datenbank in der Tabelle „wp_options“ gespeichert. Bei jedem Zugriff durch ein Theme oder Plugin auf diese Funktion muss damit mit der Datenbank kommuniziert werden. Das nimmt Zeit in Anspruch und erhöht die Zugriffsrate auf die Datenbank.

Mit dem folgenden Code kannst du deine Home-URL und die Site-URL direkt in der wp-config.php hinterlegen. Das sparst in Zukunft viele Datenbankabfragen. Beide Werte sind damit nicht mehr über das Backend veränderbar, was bei einer Website mit vielen Benutzern und unterschiedlicher Rechtevergabe das Risiko einer (ungewollten) Änderung minimiert.

Achtung! Die Werte in der Datenbank werden nicht überschrieben, falls du in deiner wp-config.php etwas anderes einträgst als im Backend. Sobald du diese Zeilen aus der wp-config.php entfernst, gelten die URLs, die im Backend hinterlegt sind.

Beide Werte verfügen über keinen Trailing-Slash am Ende.

Copy to Clipboard

# 13: Papierkorb schneller entleeren

In WordPress ist ein Papierkorb-Feature enhalten. Die gelöschten Beiträge lassen sich damit noch für eine bestimmte Zeit wiederherstellen und sind nicht sofort aus der Datenbank gelöscht. Der Standard für die automatische Entleerung sind 30 Tage.

Wenn du diese Zeit reduzieren oder verlängern willst, kannst du das über nachfolgende Zeile Code machen.

Eintrag= „0“ bedeutet: die Papierkorb-Funktion wird komplett deaktiviert und Beiträge werden beim Löschen sofort komplett gelöscht und lassen sich nicht mehr wiederherstellen.

Achtung! WordPress fragt nicht nach einer Bestätigung, also vorsichtig sein..

Copy to Clipboard

# 14: PHP Memory Limit erhöhen

Die Erhöhung des PHP Memory Limits kannst du mit der folgenden Zeile ändern:

Copy to Clipboard

Fazit: wp-config.php optimieren

Mit den vorgestellten Code-Schnipseln kannst du das Verhalten deiner Webseite individuell an deine Bedürfnisse anpassen.

Du hast damit auch einige Werkzeuge zur Hand, um deine WordPress Installation etwas sicherer zu machen und Hacker-Angriffen vorzubeugen.

Du brauchst Hilfe bei der Optimierung deiner Datei wp-config?

Jetzt anfragen
JoeWP WordPress Agentur - Projekt anfragen

Du willst Deine Website auf Herz und Nieren prüfen lassen?

Wir checken Deine Website und senden Dir die Ergebnisse zu.

Website Check anfragen