Ist deine WordPress-Website bei einem Provider auf einem Webserver gespeichert, auf dem Apache 2.4 oder höher installiert ist? Dann rate ich dir an, sobald wie möglich die Sicherheitscodes in der .htaccess-Datei anzupassen.
Alle Ausführungen auf dieser Seite beziehen sich auf Apache-Webserver (nicht Nginx o.a.) und stellen eine Ergänzung zu meinem Artikel Zugriffsrechte auf wichtige Dateien im WordPress-Verzeichnis ändern dar. Dort erkläre ich alles rund um Zugriffsrechte, Dateiberechtigungen und wie man WordPress-Sicherheitscodes in die .htaccess einfügen kann.
Was ist „Apache“ in Zusammenhang mit WordPress?
Mit „Apache“ ist ein freies quelloffenes Computerprogramm der Apache Software Foundation (ASF) gemeint, das seit über 20 Jahren auf zahlreichen Webservern von Internetdienste-Anbietern installiert ist, um unter anderem eine reibungslose Wiedergabe von auf dem Webserver gespeicherten (WordPress-) Webseiten zu gewährleisten. Als Übertragungsmethoden dienen standardisierte Übertragungsprotokolle wie HTTP, HTTP/2 oder HTTPS und Netzwerkprotokolle (zum Beispiel TCP). Deshalb spricht man auch von „Apache-Webserver“. Die genaue Bezeichnung lautet „Apache HTTP Server“.
Was ist neu bei Apache 2.4?
Apache HTTP Server 2.4 und höher benötigt im Vergleich zu früheren Versionen deutlich weniger Arbeitsspeicher und sorgt für einen besseren Lastenausgleich. Das heißt, deine WordPress-Website lädt schneller.
SSL-Sitzungsdaten in Verbindung mit TLS 1.3 und höher können nun serverübergreifend ausgetauscht werden. Das spricht für eine schnellere SSL-Verschlüsselung.
Die neueste Version 2.4.66 (Stand 03.03.2026) wie auch die vorherigen Versionen von 2.4 haben zahlreiche Schwachstellen beseitigt. Das bedeutet mehr Sicherheit für deine WordPress-Website.
Welche Apache-Version nutzt der Webhosting-Anbieter?
Um herauszufinden, welche Apache HTTP Server-Version dein Webhosting-Anbieter (Provider, Webhoster) auf seinen Webservern, wo deine WordPress-Website gespeichert ist, aktuell verwendet, stellst du am besten eine kurze Anfrage:
Liebes XXX-Team,
welche Apache-Version läuft auf den von mir verwendeten Webservern?
Meine Domain(s): example.com, …
Ich frage nach, weil sich die Befehlscodes in der .htaccess ab Apache 2.4 geändert haben (z.B. von „Order“ zu „Require“).
(Ersetze XXX durch den Namen deines Webhosting-Anbieters und example.com durch die Domainadresse(n), die du besitzt).
TIPP: Sollte der Anbieter eine ältere Version als Apache 2.4 nutzen (z.B. die als nicht mehr sicher eingestufte Version 2.2), bitte darum, aus Sicherheitsgründen zeitnah zur neuesten Apache-Version (mindestens 2.4.66) zu wechseln. Darüber hinaus sollte der Provider dafür sorgen, dass stets automatisch auf die neueste stabile Version aktualisiert wird.
Warum müssen jetzt die Sicherheitscodes in der .htaccess geändert werden?
Mit Apache HTTP Server 2.4 wurden neue Richtlinien eingeführt.
Bisher konnte man nicht berechtigte Zugriffe auf sensible Dateien im WordPress-Verzeichnis mithilfe der Richtlinien Order, Allow, Deny und Satisfy in der .htaccess-Datei verhindern.
Damit die Sicherheitseinstellungen von Apache HTTP Server 2.4 und höher auf deiner WordPress-Website wirksam werden können, müssen diese Richtlinien nun umgeschrieben werden. Aus Order allow,deny > Deny from all > Satisfy all wird nun <RequireAll> > Require all denied > </RequireAll>.
Ein Vorher-Nachher-Vergleich:
Apache 2.2 (alt):
# protect wp-config.php
<files wp-config.php>
Order allow,deny
Deny from all
Satisfy all
</files>
Apache 2.4 (neu):
# protect wp-config.php
<files wp-config.php>
<RequireAll>
Require all denied
</RequireAll>
</files>
Vorher wie nachher werden mit diesem Sicherheitscode alle Zugriffe von außen auf die wichtige wp-config.php-Datei verweigert. Mit dem Unterschied, dass die neuen Richtlinien für eine bessere Zusammenarbeit mit Apache 2.4 und nachfolgenden Versionen sorgen und damit für deutlich mehr Sicherheit.
Andersherum, möchtest du bestimmte Zugriffe ausdrücklich erlauben, wird aus Order allow,deny > Allow from all nun <RequireAll> > Require all granted > </RequireAll>.
Hier ein Beispiel:
<RequireAll> Require all granted Require not ip 43.255.255.255 </RequireAll>
Dieser Code in der .htaccess-Datei (im Hauptverzeichnis des WordPress-Verzeichnisses) erlaubt den Zugriff aller IP-Adressen, mit Ausnahme der IP-Adresse 43.255.255.255 (der Zugriff dieser IP-Adresse wird verweigert).
Weitere Richtlinien und Erklärungen findest du auf der Apache-Webseite (auf Englisch).
Ändere jetzt die Sicherheitscodes in der .htaccess
Bezug nehmend auf meinen Artikel Zugriffsrechte auf wichtige Dateien im WordPress-Verzeichnis ändern im Abschnitt „WordPress-Sicherheitscodes in .htaccess einfügen“, ersetze die dort angegebenen Code-Zeilen in der .htaccess (im Hauptverzeichnis von WordPress) durch folgende:
# protect readme.html <files readme.html> <RequireAll> Require all denied </RequireAll> </files> # protect liesmich.html <files liesmich.html> <RequireAll> Require all denied </RequireAll> </files> # protect wp-config-sample.php <files wp-config-sample.php> <RequireAll> Require all denied </RequireAll> </files> # protect wp-config.php <files wp-config.php> <RequireAll> Require all denied </RequireAll> </files> # protect .htaccess <files ~ "^.*\.([Hh][Tt][Aa])"> <RequireAll> Require all denied </RequireAll> </files>
Genauso verhält es sich im Übrigen mit allen anderen Sicherheitscodes, mit denen du sensible Dateien in deinem WordPress-Verzeichnis schützen willst.
Und vergiss bitte nicht, nach der Änderung die .htaccess zu speichern und die entsprechende Dateiberechtigung (440 oder 444) zuzuweisen, wie im oben genannten Artikel im Abschnitt „Ändere die Zugriffsrechte der .htaccess und wp-config.php“ beschrieben.
Ein letzter TIPP: Befehlscode-Zeilen in der .htaccess, die mit <IfModule …> beginnen, brauchst du derzeit nicht zu ändern. Sie funktionieren weiterhin. 🙂
Namira McLeod. Administratorin und Gründerin von ROCK DEINEN PC (und WP). Arbeit mit WordPress seit 2003, mit Windows und im Internet seit den 1990ern. Alle meine Tipps und Anleitungen sind praxiserprobt, damit du dein Vorhaben möglichst einfach und schnell umsetzen kannst. Helfen sie dir weiter, freue ich mich über einen Obolus. Solltest du andere Erfahrungen gemacht haben, freue ich mich über deinen Hinweis.
