Die “berühmte 5-Minuten-Installation” ist ein Marketing-Slogan, kein professioneller Standard. Eine Standard-WordPress-Installation ist geschwätzig, nicht optimiert und oft unsicher.
Als Entwickler “installieren” wir WordPress nicht einfach nur; wir provisionieren es. Dieser Guide behandelt die wesentlichen Konfigurationskonstanten und Härtungstechniken, die 2026 in jeder Boilerplate für Kundenprojekte enthalten sein sollten.
1. Die Macht der wp-config.php
Dies ist das Gehirn deiner Installation. Hör auf, es auf Standardeinstellungen zu lassen.
Umgebungskontrolle (Environment Control)
Seit WordPress 5.5 ist WP_ENVIRONMENT_TYPE Standard. Nutze es, um zu verhindern, dass Entwicklungsfehler in die Produktion gelangen.
// In wp-config.php
define( 'WP_ENVIRONMENT_TYPE', 'production' ); // 'local', 'development', 'staging', 'production'Dann in deinem Code:
if ( wp_get_environment_type() === 'production' ) {
// Caching aktivieren, Fehler deaktivieren
}Sicherheitshärtung (Hardening)
Verhindere, dass Kunden (oder Hacker) die Seite über das Dashboard zerstören.
// Datei-Editor deaktivieren (Theme/Plugin Editor)
define( 'DISALLOW_FILE_EDIT', true );
// Plugin/Theme Installation/Updates verhindern (Gut für unveränderliche Deployments)
define( 'DISALLOW_FILE_MODS', true );
// SSL im Admin erzwingen
define( 'FORCE_SSL_ADMIN', true );Beitrags-Revisionen
Datenbank-Aufblähung-Killer. Brauchst du wirklich 100 Versionen von “Über Uns”?
define( 'WP_POST_REVISIONS', 10 ); // Behalte die letzten 10
// ODER
define( 'WP_POST_REVISIONS', false ); // Komplett deaktivieren (Nicht empfohlen)2. Professionelles Debugging
Zeige niemals Fehler im Frontend an. Logge sie.
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', '/tmp/wp-errors.log' ); // Log außerhalb des Web-Root verschieben!
define( 'WP_DEBUG_DISPLAY', false );
// SQL-Abfragen für Performance-Debugging loggen (In Produktion ausschalten!)
define( 'SAVEQUERIES', false );3. Bereinigung des “Core Bloat”
WordPress kommt mit Funktionen, die 90% der Business-Seiten nicht brauchen: Emojis, oEmbeds und XML-RPC.
Installiere kein Plugin, um sie zu deaktivieren. Erstelle ein Must-Use Plugin (wp-content/mu-plugins/lean-core.php).
<?php
/* Plugin Name: Lean Core */
// 1. Emojis deaktivieren (Spart HTTP-Anfrage)
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'wp_print_styles', 'print_emoji_styles' );
// 2. XML-RPC deaktivieren (Sicherheit)
add_filter( 'xmlrpc_enabled', '__return_false' );
// 3. WP Version entfernen (Security by Obscurity)
remove_action( 'wp_head', 'wp_generator' );
// 4. RSS Feeds deaktivieren (Wenn du eine Broschüren-Seite baust)
// function wppoland_disable_feed() {
// wp_die( 'Kein Feed verfügbar, besuchen Sie unsere Homepage!' );
// }
// add_action('do_feed', 'wppoland_disable_feed', 1);4. Der “Salts”-Mythos
Du kennst die Authentifizierungsschlüssel in wp-config.php.
define('AUTH_KEY', 'deine einzigartige phrase hier');
// ...Fakt: Das Ändern dieser Schlüssel meldet sofort alle Benutzer ab. Das ist die “Nuklearoption”, wenn eine Seite gehackt wurde. Pro Tip: Automatisiere ihre Rotation mit einem CLI-Skript oder Vault, wenn du Enterprise-Seiten verwaltest.
5. Checkliste Zusammenfassung
Bevor du launchst:
- Setze
WP_ENVIRONMENT_TYPEauf production. - Setze
DISALLOW_FILE_EDITauf true. - Begrenze
WP_POST_REVISIONS. - Verschiebe
WP_DEBUG_LOGin einen privaten Ordner. - Deaktiviere Emojis/XML-RPC per Code.
Eine gut konfigurierte WordPress-Instanz ist leise, sicher und schnell.
Mehr über unsere WordPress-Sicherheitsaudits.
