Mit SSH/SFTP WordPress Datenübertrag sicherer machen

Nutzt du ein FTP-Programm unter Windows, um dein WordPress-Verzeichnis zu bearbeiten oder zu sichern? Dann empfehle ich dringend auf einen SSH-Zugang in Verbindung mit SFTP umzustellen bei deinem Webhosting-Anbieter, falls noch nicht getan und du kein VPN nutzt. Nur so kannst du derzeit eine verschlüsselte Übertragung zwischen dem Webserver deines Providers und deinem Computer sicherstellen. Zunehmende Cyberangriffe auf Internetseiten machen dies leider erforderlich.

Alle Anleitungen in diesem Artikel beziehen sich auf WordPress.org (nicht WordPress.com) und setzen voraus, dass du ein FTP-Programm (in meinem Beispiel „FileZilla“) unter Windows 10 oder 11 (lokal installiert) zur Datenübertragung von WordPress-Verzeichnis-Dateien nutzt. Keine Bange, traue dich ruhig ran! Ich erkläre alles Schritt für Schritt. Ist auf deinem Computer bereits ein zuverlässiges VPN installiert, vergiss diesen Artikel einfach oder informiere dich anhand meiner Ausführungen. 

Cyberkriminalität nimmt zu

Es ist schon erschreckend, mit welcher Geschwindigkeit sich Cyberkriminelle an die aktuellen Begebenheiten anpassen. Künstliche Intelligenz (KI) kommt ihnen da sehr entgegen und öffnet Türen und Tore für noch schnellere Schadcode-Entwicklung, deren Verbreitung und Implementierung. Ob Unternehmen, Ämter, Behörden, Vereine oder Privatleute – alle sind gefährdet übers Internet. Da wird kein Unterschied mehr gemacht zwischen „Groß oder Klein“. Im „Erfolgsfall“ legen Cyberkriminelle die Website oder ganze Infrastrukturen lahm oder gelangen an sensible Daten, die sie an andere Kriminelle veräußern, die wer weiß was damit anstellen.

WordPress-Nutzer:innen haben da kaum noch eine Chance mitzuhalten, schon gar nicht, wenn sie sich bisher auf die Inhalte ihrer Website konzentrierten und nicht auf Cybersicherheit.

Auf ROCK DEINEN PC UND WP habe ich mich bereits des Öfteren dem Thema gewidmet (mehr Artikel-Links findest du in den nachfolgenden Abschnitten):

• WordPress Sicherheitsschlüssel nachträglich anlegen
• PHP-Version aktualisieren für WordPress
• Schneller von WordPress abmelden ohne Login

Da sich die Lage in den letzten Monaten verschärft hat, wird es Zeit für einen weiteren praxisnahen Artikel zum Thema WordPress-Sicherheit.

Auf der Suche nach dem Angriffspunkt

Im April 2024 bemerkte ich eine starke Zunahme von versuchten Cyberangriffen auf meinen Blog. Ich weiß nicht, ob es an der allgemein vermehrten Nutzung von KI, dem Hinterherhinken vieler Plugin-Updates aufgrund der sich ständig verändernden WordPress-Umgebung oder der zunehmenden Beliebtheit von ROCK DEINEN PC und WP liegt. 🙂 Wahrscheinlich alles zusammen. Fakt ist: Es verging kein Tag im April, an dem meine Firewall nicht mindestens zehn Zugriffsversuche meldete.

Diese waren zwar allesamt erfolglos, aber echt nervig. Also nahm ich mich dem Problem an und tastete mich Schritt für Schritt auf der Suche nach dem Angriffspunkt heran.

Zuerst vermutete ich, dass die Angriffe über kompromittierte Social-Media-Profile erfolgten, da über X (ehem. Twitter) plötzlich zahlreiche Fake-Follower mit weiblichen Profilbildern auftauchten. Nachdem ich begriff, dass man diese nicht nur blockieren, sondern auch melden sollte, um sie loszuwerden, wurden es deutlich weniger (mittlerweile bin ich zu Bluesky Social abgewandert und habe den X-Account gelöscht). Bei Instagram war und ist die Besonderheit, dass ich ab und an versteckte dubiose Nachrichten einer Gruppe erhalte, der ich nie beigetreten bin. Diese habe ich über die Instagram-App löschen können.

Doch die Angriffe auf meinen Blog gingen weiter. Also suchte ich meinen Blog nach eventuell bereits eingeschleustem Schadcode ab. Das konnte ich sehr gut mit dem WordPress-Plugin Quttera Web Malware Scanner realisieren. Der Scanner fand vier Plugin-Dateien im WordPress-Verzeichnis, die möglicherweise Schadcode enthalten könnten. Aufgrund des Ergebnisses habe ich die angegebenen Dateien durch die Original-Dateien des jeweiligen WordPress-Plugins via FTP-Programm „FilaZilla“ ersetzt und im Anschluss erst mal meinen Blog gesichert.

Da sich die Angriffe immer noch nicht eindämmen ließen, installierte ich testweise das WordPress-Plugin Wordfence (Free) (Achtung, das Plugin ist nichts für Anfänger:innen) und beobachtete einen Monat lang die „Live Traffic“-Einträge. Dabei ist aufgefallen, dass die meisten Angriffsversuche aus China und Bulgarien zu verzeichnen waren (wenn man den Whois-Angaben vertrauen kann, dazu später mehr), dessen IP-Adress-Bereiche ich händisch blockierte. Außerdem zeigt Wordfence die WordPress-Verzeichnisse an, auf die versucht wurde, zuzugreifen – das waren die wp-admin-, wp-content– und wp-includes-Ordner, also alle vorhandenen Verzeichnisse. Dort wiederum wurde gezielt nach bestimmten PHP– oder JS-Dateien (von teils ausgewählten Plugins) gesucht und sehr oft nach einer Möglichkeit, an die Login-Daten zu gelangen. Einmal wurde sogar der Versuch gestartet, einen bösartigen Bot – getarnt in einer PHP-Schadcode-Datei – unterzubringen, was Wordfence erfolgreich abwehrte.

Wenn du also wissen möchtest, wer sich alles Zugriff auf deine WordPress-Website verschaffen will, kannst du dir mit Wordfence (Free) einen guten Überblick verschaffen. Allerdings solltest du beachten: Es sind eine Menge Konfigurationen erforderlich, auch unter dem Aspekt des Datenschutzes. Richtig gut fand ich die Übertragungsmöglichkeit aller Wordfence-Einstellungen auf andere WordPress-Websites über die Import/Export-Funktion.

Darüber hinaus solltest du wissen, dass sich Wordfence nicht so einfach vollständig löschen lässt. Zwar verschwindet der Eintrag aus der Plugin-Übersicht, aber nicht alle Einträge aus der Datenbank (was leider bei vielen Plugins der Fall ist). Diese müssen entweder aufwendig von Hand gelöscht werden oder man bedient sich eines Datenbank-Reinigung-Plugins wie Advanced Database Cleaner.

Aufschluss darüber, welches Plugin, welches Widget, ob WordPress selbst oder ein Theme oder gar eine App auf meinem Computer der Auslöser war, konnte in meinem Fall jedoch keiner der Tests geben – bis ich alle gesammelten Daten, die ich akribisch protokollierte, genau analysierte.

Schwachstelle Datenübertrag zwischen FTP und Webserver

Tatsächlich fand ich die Schwachstelle bei der Datenübertragung zwischen dem Webserver des Webhosters und dem eigenen Computer. Jedes Mal, wenn ich mit einem FTP-Programm (in meinem Beispiel „FileZilla“) Dateien zum WordPress-Verzeichnis übertrug oder von dort auf den Computer herunterlud, waren Angriffsversuche auf meinen Blog zu verzeichnen. Fast zeitgleich, mit maximal 4 Minuten Verzögerung. Das gleiche Problem ergab sich mit den FTP-Programmen WinSCP und Total Commander, die ich testweise ausprobierte.

Wie ich darauf gekommen bin?

Beispiel:

• Um dein WordPress-Verzeichnis zu sichern, lädst du alle WordPress-Dateien am 23. Juli 2024 via FTP-Programm FileZilla vom Webserver deines Webhosters auf deinen Computer herunter (eine passende Anleitung findest du in meinem Artikel WordPress Backup manuell machen ohne Plugin). Das Downloaden der Dateien hast du zwischen 12.45 Uhr und 13 Uhr erledigt.
• Nachdem du FileZilla geschlossen hast, meldest du dich auf deiner WordPress-Website an und navigierst zu den Einstellungen des Plugins Wordfence (das du vorher hier gedownloadet, in WordPress installiert, aktiviert und eingerichtet hast).
• Sollte die genannte Schwachstelle bei dir vorhanden sein, befindet sich unter „Live Traffic“ von Wordfence ein Eintrag, dass am 23.07.2024 versucht wurde, auf die WordPress-Datei wp-config.php zuzugreifen – und zwar irgendwann zwischen 12.45 und 13 Uhr (zum Beispiel: 12.48 Uhr).
  Darüber hinaus zeigt Wordfence die Internet-IP-Adresse (zum Beispiel 123.456.789.100, von mir ausgedacht) sowie das Land an, woher der Zugriffsversuch stammen könnte.
  Wem die Internet-IP-Adresse beziehungsweise der IP-Adress-Bereich zuzuordnen ist, kannst du im „Whois Lookup“ von Wordfence nachschlagen. Wobei man sich nicht auf die Angaben verlassen sollte. Cyberkriminelle nutzen gerne Tor-Netzwerke oder VPN zur Anonymisierung von Verbindungsdaten. Sie können beispielsweise irgendwo in Deutschland sitzen, aber IP-Adressen aus China nutzen (oder umgekehrt), um ihre eigene IP zu „verschleiern“.

WICHTIG ist in diesem Beispielfall, dass unbefugte Dritte versucht haben, auf die WordPress-Datei wp-config.php zuzugreifen (wie du diese absichern kannst, erkläre ich in meinem Artikel Zugriffsrechte auf wichtige Dateien im WordPress-Verzeichnis ändern).

Noch WICHTIGER sind die Zeitangaben (Datum und Uhrzeit), sodass du genau nachvollziehen kannst, bei welchen Aktivitäten ein Zugriffsversuch zu verzeichnen war.

Warum ich das alles erzähle? Damit auch du eine ungefähre Vorstellung davon bekommst, an welchen Stellen mit welchen Mitteln wie nach Cyberangriffsversuchen gesucht werden kann, wenn dir dasselbe widerfährt. Guckst du genauso gerne Krimis wie ich, könnte dir die „Detektivarbeit“ sogar Spaß machen. 🙂

Doch was war letztlich der Grund für die aufgetretene Schwachstelle? Woran lag es? Hier kommt die Antwort:

Mit FTP / FTP über TLS erfolgt Datenübertrag unverschlüsselt

Hast du in deinem FTP-Programm (in meinem Beispiel „FileZilla“) in den Server-Einträgen das Übertragungsprotokoll „FTP“ in Verbindung mit der Einstellung „FTP über TLS“ (egal, ob explizit oder inplizit) eingetragen, erfolgen Datenübertragungen zwischen dem Webserver und dem eigenen Computer unverschlüsselt über das Internet.

Das heißt, dass Cyberkriminelle während der Datenübertragung alle WordPress-Verzeichnis-Dateien „mitlesen“ können, die du gerade mit deinem FTP-Programm überträgst.

Wenn Cyberkriminelle es darauf anlegen, massenhaft Websites zu kompromittieren, wie es seit Monaten der Fall ist laut zahlreichen Fachmedien (ein Beispiel von swisscybersecurity.net: Cyberangriffe nehmen in der DACH-Region zu), liefern ihnen unverschlüsselte FTP-Datenübertragungen wichtige Informationen für die Schadcode-Entwicklung und -Implementierung.

Hier eine Beispielvorschau aus dem FTP-Programm FileZilla mit meinen Hinweisen und einem Servereintrag, bei dem die Eintragungen FTP und Explizites FTP über TLS vorgenommen wurden:

Hat man in WordPress dann noch nicht einmal ein Sicherheits-Plugin wie eine Firewall installiert (welche ich empfehle, siehe meine „Extra-Tipps“ zum 2-jährigen Blogjubiläum – ganz unten im Text befindet sich ein Link zu einer PDF-Datei), sind Cyberangriffe im wahrsten Sinne des Wortes vorprogrammiert.

FAZIT

Auslöser für die massiven Cyberangriffsversuche auf meinen Blog war die Einstellung FTP in Verbindung mit Explizites FTP über TLS (FTPES) im FTP-Programm FileZilla, weil ich bisher darauf vertraute, dass es sich dabei um eine sichere Verschlüsselungsmethode handele, was definitiv nicht der Fall ist, wie sich nach meinen Tests und meiner Internetrecherche herausstellte. Denn erst nachdem ich die in den nächsten Abschnitten beschriebene Lösung angewendet habe, war der Spuk vorbei.

Solltest du mit einem FTP-Programm Daten zwischen einem Webserver und einem Computer übertragen (zum Beispiel das WordPress-Verzeichnis sichern), kein zuverlässiges VPN auf deinem Endgerät installiert haben und noch nichts von SSH und SFTP gehört, geschweige denn eingerichtet haben, rate ich dazu, den nachstehend genannten Lösungsweg anzustreben.

Die Lösung: SSH-Zugang und SFTP

Bevor es an die Umsetzung gehen kann, mache ich dich erst einmal mit den Begriffen vertraut – bezogen auf FTP-Programme, Microsoft Windows und WordPress.org.

SSH

steht im Englischen für „Secure Shell“ und stellt eine verschlüsselte Verbindung zwischen deinem Computer und entfernten Webservern her.
Ein SSH-Zugang erfordert ein Zertifikat und muss vom Webhoster (Provider) freigeschaltet sein sowie in manchen Fällen von dir im Webhosting-Account eingerichtet oder aktiviert werden.
Darüber hinaus muss auf deinem Windows 10-Computer der Zugriff auf SSH-Server gewährleistet sein.
HINWEIS: Mit „Zertifikat“ ist in diesem Fall nicht ein Zertifikat für Windows gemeint – wie man ein Computerzertifikat installiert, siehe mein Artikel Zertifikate in Windows installieren für mehr Sicherheit.

SFTP

steht im Englischen für „Secure File Transfer Protocol“. Nutzt du ein FTP-Programm mittels SSH, spricht man von SFTP, das zur verschlüsselten Übertragung zwischen deinem Computer und entfernten Webservern beiträgt.
Im Unterschied zu FTP (über TLS, FTPS) konzentriert sich SFTP auf eine einzige Verbindung zwischen Client und Server.
SFTP kann ausschließlich in Verbindung mit SSH eingerichtet werden bei Nutzung eines FTP-Programms.

Beides zusammengenommen bedeutet, dass niemand deine WordPress-Daten, die du mit einem FTP-Programm sendest oder empfängst, auf dem Weg durch das Internet einsehen kann (ähnlich VPN, nur dass sich die Verbindungssicherheit auf das FTP-Programm beschränkt).

Und so könnten die Einstellungen aussehen, wenn du die Verschlüsselung SFTP in Verbindung mit SSH in einem FTP-Programm (in meinem Beispiel FileZilla) einrichtest – beachte auch meine Hinweise:

Jetzt kommen wir zu den Anleitungen, wie man die Schwachstelle FTP via FTP über TLS beseitigen kann.

Schritt 1: Zugriff auf SSH-Server prüfen

Wie bereits angedeutet, muss auf deinem Computer der Zugriff auf SSH-Server gewährleistet sein. Microsoft hat den „ssh-agent“ (OpenSSH) seit Windows 10 in alle Betriebssysteme integriert. 

UPDATE: Arbeitest du mit der neuesten Version von Windows 11 (zum Beispiel Windows 11 Pro, Version 24H2), ist dieser Schritt nicht notwendig und kannst du gleich zu Schritt 2 übergehen! In diesem Fall empfehle ich sogar, OpenSSH aus Sicherheitsgründen zu deinstallieren (über Einstellungen / System / Optionale Features > OpenSSH / Entfernen), wenn du das Programm nicht nutzt.

Ob OpenSSH auf deinem Computer ausgeführt wird, kannst du leicht nachprüfen:

1. Tätige einen Rechtsklick irgendwo an leerer Stelle der Taskleiste auf deinem Bildschirm und klicke im Auswahlmenü auf Task-Manager. Alternativ klicke auf das Windows-Start-Symbol , navigiere zum Ordner „Windows-System“, klicke auf den Pfeil daneben und klicke in dem sich öffnenden Auswahlmenü auf „Task-Manager“.
2. Navigiere im Task-Manager zur Registerkarte Dienste und klicke drauf (mit der linken Maustaste).
3. Scrolle in der Programmliste runter bis zur Zeile ssh-agent.
4. Tätige einen einfachen Linksklick auf die Zeile, um sie zu markieren (damit du sie nicht aus den Augen verlierst).
5. Befindet sich in der Spalte Status der Eintrag Wird ausgeführt, ist der ssh-agent aktiviert und du kannst den Task-Manager schließen.
6. Als Nächstes navigiere zu den Windows-Einstellungen (zum Beispiel über das Windows-Start-Symbol und Einstellungen ) und klicke auf System. Alternativ gelangst du zu den Einstellungen, indem du auf das Suchfeld auf der Taskleiste klickst und anschließend auf den Button Einstellungen.
7. Klicke anschließend in der Menüleiste auf Optionale Features.
8. Befindet sich in der rechten Spalte der App-Eintrag OpenSSH-Client, ist alles okay und brauchst du nichts weiter tun. Schließe einfach alle Einstellungsfenster.

Hier zwei Bildvorschauen, damit du besser nachvollziehen kannst, was ich meine:

Steht hingegen im Task-Manager der ssh-agent auf „Beendet“, musst du OpenSSH in Windows aktivieren:

1. Tätige im Task-Manager einen Rechtsklick auf die Zeile ssh-agent und wähle im Auswahlmenü Dienste öffnen.
   
2. Scrolle in dem sich öffnenden Fenster „Dienste“ runter zur Zeile OpenSSH Authentication Agent.
3. Tätige einen Rechtsklick auf die Zeile und wähle im Auswahlmenü Eigenschaften aus.
   
4. Wähle in dem sich öffnenden Fenster unter der Registerkarte Allgemein den „Starttyp“ Automatisch aus.
   
5. Speichere deine Eingabe, indem du zuerst auf den Button Übernehmen und anschließend auf den Button OK klickst.
   
6. Fertig. 🙂 OpenSSH wird ab sofort automatisch auf deinem Windows-Computer ausgeführt. Du kannst jetzt das Fenster „Dienste“ sowie den Task-Manager schließen.

Befindet sich in den Optionalen Features kein Eintrag zum OpenSSH-Client, musst du diesen nachinstallieren. Das ist jedoch kompliziert, weshalb du diesbezüglich einen Fachmann oder eine Fachfrau in deiner Nähe aufsuchen solltest, falls du das nicht selbst erledigen kannst. Andernfalls breche die Aktion SSH/SFTP an dieser Stelle lieber ab und suche nach einem zuverlässigen VPN-Anbieter im Netz. Viele schwören derzeit auf CyberGhost oder NordVPN – aber da solltest du dich wirklich schlau machen, welches VPN zu deinen Ansprüchen passt.

Ist alles okay und aktiviert? Sehr gut! Dann kannst du mit dem nächsten Schritt weitermachen.

Schritt 2: SSH-Zugang beim Webhoster prüfen

Ein SSH-Zugang ist in dem von dir gewählten Webhosting-Paket für deine WordPress-Website entweder bereits enthalten oder du musst die Option dazukaufen beziehungsweise auf ein höheres Paket wechseln.

Überprüfe das, indem du dich auf der Webseite deines Webhosters (Providers) in deinem Account einloggst und gezielt nach SSH suchst. Alternativ schaue in die Bestellung oder in den Webhosting-Vertrag, ob dort etwas über SSH drin steht. Auch kannst du auf der Website des Anbieters nach Details zu dem von dir bestellten Webhosting-Angebot suchen. Meist ist es so: Befindet sich in der Zeile „SSH“ ein (grüner) Haken, ist ein SSH-Zugang enthalten. Befindet sich dort ein (rotes) Kreuz, ist SSH nicht enthalten.

Enthält dein Webhosting-Paket einen SSH-Zugang und ist dieser freigeschaltet, ist das großartig und kannst du direkt zu Schritt 3 übergehen.

Andernfalls solltest du ernsthaft in Betracht ziehen, auf ein Webhosting-Paket zu wechseln, das SSH gewährleistet. Wie gesagt, das empfehle ich nur dann, wenn du kein zuverlässiges VPN auf deinem Computer nutzt, sonst wären das unnötig doppelte Kosten. Sprich: Nutze entweder VPN oder SSH/SFTP.

Sobald du über einen SSH-Zugang verfügst und dieser von deinem Webhoster freigeschaltet ist, kannst du mit Schritt 3 weitermachen. Vergiss nicht, ein Lesezeichen zu meinen Artikel zu setzen, damit du im Nachgang schnell auf ihn zurückgreifen kannst.

Alles erledigt und wieder zurück? Gut gemacht! Dann kommen wir jetzt zum nächsten Schritt.

Schritt 3: SSH beim Webhoster aktivieren

Auch in diesem Schritt muss ich dich noch mal „wegschicken“, da für die Einrichtung von SFTP in einem FTP-Programm wie FileZilla (siehe Schritt 4) die vorherige Freischaltung bzw. Aktivierung des SSH-Zugangs erforderlich ist. Du hast ja das Lesezeichen zum Artikel, kann also eigentlich nichts schiefgehen.

Je nach Webhoster (Provider) wird dein SSH-Zugang entweder sofort nach Bestellung freigeschaltet oder SSH muss im Account von dir für jede Domain gesondert aktiviert werden. Jeder Webhoster handhabt das anders.

Logge dich in den Account deines Webhosters ein und schaue nach, ob und wie du SSH selber aktivieren kannst.

Ist die Aktivierung im Account nicht selbsterklärend durchführbar, durchforste den Fragen-und-Antworten-Katalog (FAQ) deines Webhosters nach einer passenden Anleitung oder entsprechenden Erklärung (gebe einfach „SSH“ ins Suchfeld ein).

Solltest du gar nicht weiterkommen, kontaktiere bitte deinen Webhoster und frage nach, „wie man den SSH-Zugang aktivieren kann“.

HINWEIS: Manchmal kann es bis zu 24 Stunden dauern, bis ein Webhoster nach einem Paketwechsel oder Hinzubestellung einer Option den SSH-Zugang freischaltet. Achte darauf, was der Webhoster dir mitteilt, und habe Geduld.

Bis du zurück und bereit für den letzten Schritt? Mega! Finde ich total klasse, dass du dranbleibst! Noch mal tief durchatmen und los. Jetzt folgt die Schritt-für-Schritt-Anleitung für FileZilla.

Schritt 4: SFTP mit SSH-Daten in FileZilla einrichten

Als Erstes achte darauf, dass FileZilla auf dem neuesten Stand ist. Die jeweils aktuelle Version von FileZilla findest du auf der Download-Seite des Anbieters. Windows-Nutzer:innen sollten die „-setup.exe“-Datei herunterladen, um stets die neuesten Updates zu erhalten.

Anleitung:

1. Öffne FileZilla auf deinem (Windows-) Computer.
2. Navigiere in der Menüleiste zu Datei / Servermanager.
3. Markiere im Servermanager den Server-Eintrag deiner WordPress-Website, der geändert werden soll (tätige einen einfachen Linksklick auf den Eintrag).
4. Wähle in der rechten Spalte unter dem Tab „Allgemein“ das Protokoll SFTP – SSH File Transfer Protocol aus (klicke auf den Pfeil im Auswahlfeld).
   (Hast du vorher in der Zeile Protokoll FTP – File Transfer Protocol zu stehen gehabt, verschwindet nach der Änderung auf SFTP die Zeile Verschlüsselung).
5. Hast du von deinem Webhoster einen anderen Host-Namen für deinen SSH-Zugang erhalten als bisher für deinen „normalen“ FTP-Zugang, trage im Feld Server den neuen Host-Namen ein (der kann aus Buchstaben und Zahlen bestehen und die Endung des Webservers deines Providers enthalten, beispielsweise: xxxx1234xx.example.com). Richte dich diesbezüglich nach den Vorgaben deines Webhosters.
6. Wähle in der Zeile „Verbindungsart“ die Option Nach Passwort fragen aus. So musst du zwar bei jeder Verbindung das Passwort für den SFTP-Zugang eingeben, aber das ist deutlich sicherer als die Speicherung des Passworts in FileZilla.
7. Trage in der Zeile „Benutzer“ den SSH-Benutzernamen ein, der dir vom Webhoster vorgegeben wird (zum Beispiel „ssh-x1x2x3“).
8. Wechsel zur Registerkarte (zum Tab) „Erweitert“ und trage in das Feld unter „Standard-Verzeichnis auf Server“ den Pfad ein, der direkt per SSH zu dem WordPress-Verzeichnis deiner Website führt (beispielsweise: /www/htxxx/x1x2x3/blog1/). Auch dieser wird vom Webhoster vorgegeben (mit Ausnahme des letzten Teils „blog1“ in meinem Beispiel, hierbei handelt es sich um ein Unterverzeichnis, das du zur Trennung mehrerer Blogs eventuell selbst vorgegeben hast).
9. Wechsel nun zum Tab „Übertragungs-Einstellungen“, setze einen Haken vor „Anzahl gleichzeitiger Verbindungen begrenzen“ (klicke auf das Kästchen) und stelle die „Maximale Anzahl der Verbindungen“ auf 1 ein (trage die Ziffer 1 ein), um Verbindungsstörungen zu vermeiden (siehe dazu mein Artikel Gelöst: Verbindungsproblem zu Webserver in FileZilla in der Kategorie Extratipps).
10. Speichere deine Eingaben mit Klick auf den Button OK.
11. Verwaltest du mehrere WordPress-Websites, wiederhole die Schritte 3 bis 10 mit jedem Server-Eintrag in FileZilla, für die du einen SSH-Zugang bestellt und aktiviert hast.

Fertig. 🙂 Die Server-Einträge sehen nun ungefähr so aus, wie oben in der Beispielvorschau im Abschnitt „Die Lösung: SSH-Zugang und SFTP“ angezeigt.

Ab sofort wird dir jedes Mal, wenn du dich in Filezilla mit dem Webserver deiner WordPress-Website verbindest, nach der Passworteingabe ein SSH-Zertifikat deines Webhosters angezeigt (das nicht als Zertifikat bezeichnet ist, sondern die Serverbezeichnung, den SSH-Serverschlüssel und den Fingerabdruck anzeigt). BEACHTE bei diesem Vorgang, dass du NICHT den Schlüssel speicherst (andernfalls verschwindet er im „Nirvana“ der FileZilla-Programmdateien auf deinem Computer), sondern bei jeder Verbindung einfach auf den Button OK klickst!

Hier eine letzte Bildvorschau:

TIPP: Für noch mehr Sicherheit lege in den Einstellungen von FileZilla ein Master-Passwort fest (unter Bearbeiten / Einstellungen / Oberfläche / Passwörter / wähle „Passwörter mit einem Master-Passwort geschützt speichern“ aus und vergebe ein Passwort (das du 2x eingeben musst) / speichere die Einstellung mit Klick auf den Button OK. Und WICHTIG: Merke dir das FileZilla-Master-Passwort, weil ein verloren gegangenes nicht wiederhergestellt werden kann!

Gratuliere! Du hast jetzt echt viel zur Sicherheit deiner WordPress-Website(s) beigetragen. Ab sofort erfolgen Verbindungen und Übertragungen zwischen dem Webserver deines Providers und deinem (Windows-) Computer mithilfe eines FTP-Programms wie FileZilla ausschließlich verschlüsselt. Wenn du dann auch noch meine Tipps und Hinweise zu Firewall und Co. beherzigt hast, werden es Cyberkriminelle nun deutlich schwerer haben, an deine WordPress-Daten zu gelangen, und die Angriffsversuche (hoffentlich) auch bei dir zurückgehen.

Dieser Artikel wurde aktualisiert am 20. August 2025

Namira McLeod. Administratorin und Gründerin von ROCK DEINEN PC (und WP). Arbeit mit WordPress seit 2003, mit Windows und im Internet seit den 1990ern. Alle meine Tipps und Anleitungen sind praxiserprobt, damit du dein Vorhaben möglichst einfach und schnell umsetzen kannst. Helfen sie dir weiter, freue ich mich über einen Obolus. Solltest du andere Erfahrungen gemacht haben, freue ich mich über deinen Hinweis.

Windows schneller starten und aufräumen ohne Zusatzprogramm

WordPress Gutenberg und Blöcke vollständig deaktivieren

JPG in WebP umwandeln ohne Plugin ab WordPress 5.8

WebP Bilder in Windows anzeigen und öffnen

WordPress Passwort zurücksetzen ohne E-Mail oder Benutzername

IP-Adressen in Windows und Fritz!Box finden

Externe Links richtig verlinken in WordPress

Windows Bildschirmauflösung ändern für neuen Monitor

Hilfe bei WordPress-Absturz nach Plugin-Update

Windows-Computer piept? Batterie wechseln

Favicon, Touch-Icon in WordPress einfügen ohne Plugin

Von Windows geschützte Dateien löschen

Anker-Link in WordPress setzen ohne Plugin

Windows-Sicherheit: ratsame Einstellungen

WordPress Backup manuell machen ohne Plugin

Schriftarten richtig löschen in Windows 10

Schneller von WordPress abmelden ohne Login

Alte FritzBox als Repeater im Heimnetz nutzen

WordPress Sicherheitsschlüssel nachträglich anlegen

Windows 10 im abgesicherten Modus starten

Aktualisierungsdatum in WordPress-Beitrag anzeigen

Office ClickToRun deaktivieren oder Zeitplan einrichten

WordPress Papierkorb-Funktionen ändern

Gleiche Textinhalte mit Windows Datei-Explorer schneller finden

PHP-Version aktualisieren für WordPress

Windows Gerätetreiber deaktivieren statt löschen

WordPress Kategorien erstellen und beschreiben

Defekte Office-Datei wiederherstellen

Automatische Updates in WordPress, Plugins und Themes einrichten

Windows Standard-Speicherort für neue Inhalte ändern

Langes Netzwerkkabel statt langes Telefonkabel für stabiles Internet

Wenn die Tastatur im Windows-Bootvorgang nicht reagiert

„Danke für dein Vertrauen in WordPress“-Zeile im Backend ausblenden

Symbol automatisch an externe Links anfügen in WordPress

Windows 10 Taskleiste nutzen und einrichten

Wenn die Windows-Symbole in der Taskleiste verrückt spielen

Hunderte Links in einem Ruck in WordPress-Datenbank ändern

Bilder mit neuer Windows-Fotoanzeige öffnen und bearbeiten

Zugriffsrechte auf wichtige Dateien im WordPress-Verzeichnis ändern

Gelöst: Verbindungsproblem zu Webserver in FileZilla

Dateien in Windows verschlüsseln mit 7-Zip

Lange Links im Text umbrechen in WordPress

Laufwerksbuchstabe zuweisen oder ändern in Windows

Webseiten schneller aufrufen in Windows, im Browser, mit KI

Desktop-Verknüpfung einer Microsoft Store-App erstellen

Eine statistische Seite als Homepage festlegen in WordPress

Windows Schnellstart deaktivieren und Störungen vermeiden

Festplatte (HDD/SSD) partitionieren in Windows im laufenden Betrieb

Browser immer direkt im Privatmodus starten

Das Jahr automatisch aktualisieren in WordPress (Copyright-Zeile)

Zertifikate in Windows installieren für mehr Sicherheit

WordPress-Seite mit Kommentaren in Kategorie verschieben

Fehlermeldung zu fTPM-Firmwareversion beheben in Windows