ZenovayTools

WordPress-Sicherheitsprüfer

Überprüfen Sie jede WordPress-Website auf häufige Sicherheitsprobleme: freiliegende Dateien, veraltete Versionssignale, freiliegende Anmeldeseite, XML-RPC und Benutzeraufzählung.

So verwenden Sie WordPress-Sicherheitsprüfer

  1. 1Geben Sie die URL Ihrer WordPress-Website ein.
  2. 2Unser Scanner überprüft auf häufige WordPress-Sicherheitsfehler und freiliegende Endpunkte.
  3. 3Überprüfen Sie jeden Fund mit seinem Schweregrad und der empfohlenen Behebung.
  4. 4Wenden Sie die empfohlenen Härtungsschritte an, um Ihre Angriffsfläche zu verringern.
ZenovayAnalytics

Analytics ganz ohne Cookie-Banner.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.
Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.
HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.
AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.

Häufig gestellte Fragen

Was prüft dieser WordPress-Sicherheits-Checker?
Er prüft auf 12 gängige WordPress-Sicherheitsprobleme: exponierte Versionsinformationen, zugängliche readme.html und license.txt, XML-RPC-Endpunkt, Anmeldeseiten-Schutz, REST-API-Nutzer-Enumeration, wp-cron-Exposition, Install-Skript-Zugang, wp-config-Backups, HTTPS und Sicherheits-Header.
Ist es sicher, meine eigene WordPress-Website zu scannen?
Ja. Dieses Tool stellt nur Standard-HTTP-Anfragen an öffentlich zugängliche Seiten - dieselben Anfragen, die jeder Webbrowser oder Suchmaschinen-Crawler stellen wuerde. Es werden keine Authentifizierung, Brute-Force-Versuche oder Exploit-Nutzlasten verwendet.
Warum ist XML-RPC ein Sicherheitsrisiko?
XML-RPC ist eine Legacy-Remote-Procedure-Call-API in WordPress. Es erlaubt bis zu 500 Anmeldeversuche pro einzelner XML-RPC-Anfrage (Multicall), was Brute-Force-Angriffe ermöglicht, die Rate-Limiting umgehen. Es wird auch bei DDoS-Pingback-Amplifikationsangriffen verwendet. Deaktivieren Sie es, wenn Sie es nicht speziell benötigen.
Was ist Nutzer-Enumeration und warum ist sie ein Risiko?
Die WordPress REST API unter /wp-json/wp/v2/users legt Benutzernamen öffentlich frei. Angreifer können alle Admin-Benutzernamen abrufen und sie bei gezielten Brute-Force- oder Credential-Stuffing-Angriffen verwenden. Das Blockieren dieses Endpunkts entfernt einen Angriffsvektor.
Wie verberge ich meine WordPress-Version?
Fuegen Sie remove_action('wp_head', 'wp_generator'); zur functions.php Ihres Themes hinzu. Löschen Sie auch readme.html und license.txt aus Ihrem WordPress-Stammverzeichnis. Verwenden Sie ein Sicherheits-Plugin wie Wordfence, iThemes Security oder Solid Security für automatisiertes Haerting.
Warum wird meine Anmeldeseite als Problem markiert?
Die wp-login.php-Seite muss für den Admin-Zugang vorhanden sein, ist aber ein gängiges Ziel für Brute-Force-Angriffe. Die Empfehlung ist, Rate-Limiting hinzuzufuegen (die meisten Sicherheits-Plugins tun dies), Zwei-Faktor-Authentifizierung zu aktivieren oder IP-Whitelisting für den wp-admin-Zugang zu verwenden.
Prüft dieses Tool auf anfällige Plugins oder Themes?
Nein. Für Plugin- und Theme-Schwachstellenprüfung ist ein authentifizierter Zugang zu Ihrem WordPress-Admin-Dashboard oder wp-cli erforderlich. Verwenden Sie WPScan, Patchstack oder Wordfence für die Schwachstellensuche bei Plugins. Dieses Tool konzentriert sich auf öffentlich sichtbare Sicherheitsfehlkonfigurationen.