Wurde dir angeraten, die Datenbank von WordPress aus Sicherheitsgründen zu verschlüsseln? Ein guter Tipp, den du auch nachträglich bei bestehender Website umsetzen kannst. Ich erkläre dir in meiner Schritt-für-Schritt-Anleitung, wie du einen Sicherheitsschlüssel in der wp-config.php anlegen und damit die Datenbank besser vor unbefugten Zugriffen schützen kannst.
WordPress-Datenbank schützen
Wer eine Website oder ein Blog-Projekt mit WordPress.org umsetzt, wird sich früher oder später mit diversen Sicherheitseinstellungen befassen müssen. Eine Möglichkeit, die Struktur der Internetseite vor schädlichen Eingriffen zu schützen, besteht darin, die Datenbank-Tabellen zu verschlüsseln.
Die Datenbank besteht aus Tabellen, die unter anderem von WordPress, installierten Themes und Plugins bei der Installation automatisch angelegt werden, genau wie Datenbankeinträge passend zu jedem Beitrag, jeder Seite, jedem Kommentar, jeder Statistik und jeder Einstellung, die du im Dashboard deiner WordPress-Website konfigurierst.
Des Weiteren werden Einträge in der Datenbank erzeugt, wenn du Änderungen an der wp-config.php vornimmst. Das ist die Datei, die beim Installationsstart von WordPress.org entweder von dir manuell angelegt oder bei der „5-Minuten-Installation“ automatisch erzeugt und im WordPress-Verzeichnis abgelegt wurde. In dieser Datei kannst du den sogenannten Sicherheitsschlüssel eintragen, der die Datenbankeinträge vor unerlaubten Zugriffen Dritter schützen soll.
Hast du noch keinen Sicherheitsschlüssel in der wp-config.php angelegt, empfehle ich dir, das unbedingt nachzuholen. Keine Bange! Das funktioniert auch nachträglich. Von mir erfolgreich praxiserprobt.
Wichtig: Vorher Backup machen!
Bevor du dich an meine Anleitung machst, ist es besonders wichtig, ein komplettes Backup inklusive aller Datenbanktabellen deiner bestehenden WordPress-Website zu machen. Denn ein kleiner Code, den ich nachstehend beschreibe, sorgt in diesem Fall für eine erhebliche Veränderung in der MariaDB- oder MySQL-Datenbank.
Solltest du keine automatischen Backups eingerichtet haben bzw. per „Klick“ durchführen können, kann dir mein umfassender Artikel WordPress Backup manuell machen ohne Plugin weiterhelfen – insbesondere, was das Sichern der Datenbank und aller einzelnen Datenbanktabellen (Schritte 1 bis 3) betrifft.
Alles gesichert? Super! Dann kann’s losgehen.
Anleitung Sicherheitsschlüssel in wp-config.php anlegen
- Öffne mit einem FTP-Programm (in meinem Beispiel nutze ich FileZilla) das Hauptverzeichnis deiner WordPress-Website.
Alternativ: Logge dich in den Account deines Providers (Webhoster) ein, gehe über den Dateimanager oder File-Manager oder Ähnliches zum Verzeichnis deiner WordPress-Website.
Falls du das Verzeichnis gar nicht finden solltest, schaue bitte in den FAQ (Fragen und Antworten) deines Providers.
Das WordPress-Verzeichnis besteht aus vielen Ordnern und Dateien und sieht in etwa so aus:
WordPress-Hauptverzeichnis mit wp-config.php (Ansicht in FileZilla)
In der Vorschau habe ich mit roten Pfeilen gekennzeichnet, an welcher Stelle im WordPress-Hauptverzeichnis sich die Datei wp-config.php befindet, auf die ich im nächsten Schritt eingehe.
- Speichere nun die wp-config.php auf deinem Computer (lade die Datei vom Webserver herunter und speichere sie auf einer Festplatte, wo du sie schnell wiederfindest). Damit hast du sie gesichert und kannst sie jederzeit ins Hauptverzeichnis zurückspielen, falls etwas schieflaufen sollte – wovon ich nicht ausgehe. 😉
Nutzt du FileZilla, verbinde dich mit dem Server deiner Website und navigiere im geöffneten Fenster zum Hauptverzeichnis von WordPress. Klicke mit der rechten Maustaste auf die Datei wp-config.php. Im Auswahlmenü klicke auf Herunterladen. Hier eine Vorschau:
wp-config.php herunterladen (Ansicht in FileZilla) - Verbleibe in der Ansicht deines WordPress-Verzeichnisses, klicke (nochmals) mit der rechten Maustaste auf die wp-config.php und im Auswahlmenü auf Ansehen/Bearbeiten. Nun öffnet sich die Datei in einem neuen Fenster.
- Scrolle in diesem Fenster (wp-config.php – Editor) runter zum Abschnitt WordPress Datenbanktabellen-Präfix. Siehe Vorschau:
WordPress Datenbanktabellen-Präfix in wp-config.php (Ansicht in FileZilla)
Nun folgt der wichtigste Schritt: die Eintragung des WordPress-Sicherheitsschlüssels:
- Trage in der Code-Zeile
$table_prefix = '_';zwischen dem ersten Anführungszeichen (') und dem Unterstrich (_) eine beliebige Abfolge von Buchstaben und Zahlen ein (in meinem Beispiel: 123XX45aa – nicht übernehmen!). Verwende keine Sonderzeichen, Umlaute oder sonstigen Zeichen, sondern ausschließlich beliebig viele Klein- und Großbuchstaben (kein ß) sowie Zahlen. Auf keinen Fall darf ein Leerzeichen gesetzt werden.
BEACHTE: Der Rest der Zeile muss so stehenbleiben, wie vorgegeben, mit den beiden Anführungszeichen, dem Unterstrich und dem Semikolon (;). Sollte am Ende deiner gewählten Zeichenfolge kein Unterstrich stehen, füge unbedingt einen ein (warum der Unterstrich so wichtig ist, erläutere ich im nächsten Abschnitt).
In meinem Beispiel sieht die vollständige Code-Zeile so aus:
$table_prefix = '123XX45aa_'; - Bist du fertig, klicke oben im wp-config.php-Editor-Fenster auf Datei und im Auswahlmenü auf Speichern.
Geänderte wp-config.php speichern (Ansicht in FileZilla) - Nun schließe die Datei (klicke oben rechts im Fenster auf das x).
- Jetzt erscheint (in FileZilla) eine Meldung, dass die Datei geändert wurde. Bestätige mit Klick auf den Button JA.
Änderungsmeldung mit JA bestätigen (Ansicht in FileZilla) - Jetzt melde dich vom Server ab. Klicke einfach ganz oben im Menü des FTP-Programms (in meinem Beispiel FileZilla) auf Server und Trennen.
- Zuguterletzt schließe das FTP-Programm (FileZilla).
Fertig! 🙂 Du hast es geschafft, einen Sicherheitsschlüssel in WordPress anzulegen, genauer: einen Datenbanktabellen-Präfix in der wp-config.php einzutragen, der dafür sorgt, dass die Tabellen in der WordPress-Datenbank verschlüsselt werden. Woran du das erkennen kannst, erkläre ich im nächsten Abschnitt.
Überprüfung verschlüsselte WordPress-Datenbank
Um zu überprüfen, ob die Änderung an der wp-config.php erfolgreich war, musst du dich in der MySQL- oder MariaDB-Datenbank deiner WordPress-Website anmelden bzw. einloggen.
Wie das geht, erkläre ich ebenfalls in meinem Artikel WordPress Backup manuell machen ohne Plugin, und zwar in Schritt 1: Login in die Datenbank.
Bist du drin und befindest dich auf der Startseite von phpMyAdmin (Hauptansicht der Datenbank), wird in der linken Spalte lediglich der Datenbankname angezeigt. Um alle Datenbanktabellen einzublenden, gehe wie folgt vor:
- Klicke auf das Kästchen mit dem Kreuz links neben dem Datenbanknamen (in meinem Vorschau-Beispiel „db1234567“). Nun werden in der linken Spalte alle Datenbanktabellen-Bezeichnungen eingeblendet (in meinem Vorschau-Beispiel „123XX45aa_options“ u.a.).
WordPress-Datenbank mit verschlüsselten Tabellen
Hast du alles richtig gemacht, haben sich die Datenbanktabellen-Bezeichnungen automatisch geändert. Wo vorher „wp“ (Abkürzung für WordPress) stand, steht jetzt der Sicherheitsschlüssel (Code), den du in die wp-config.php eingetragen hast (in meinem Vorschau-Beispiel „123XX45aa“) – und zwar vor jeder einzelnen Tabellenbezeichnung. Die Abkürzung „wp“ wurde somit durch deine gewählte Buchstaben-Zahlen-Abfolge ersetzt.
Nun erkennst du sicher auch, warum der Unterstrich (_) so wichtig ist. Er stellt eine sichtbare Trennung und gleichzeitige Verbindung zwischen Sicherheitsschlüssel und dem Namen der Datenbanktabellen-Bezeichnung dar.
Abschließend mache zur Sicherheit wieder ein Backup deiner Datenbank inklusive aller Datenbanktabellen (ausloggen kannst du dich danach mit Klick auf das kleine grüne Kästchen „Exit“) und speichere deine neue wp-config.php (per FileZilla) auf deinem Computer, wie oben beschrieben.
Gratuliere! 🙂 Du hast erfolgreich deine WordPress-Datenbank (nachträglich) verschlüsselt und damit den Zugriff auf das „Herz“ deiner Website durch unbefugte Dritte ab sofort erschwert.