Du willst deine WordPress Website sicherer machen oder die Ladezeiten verbessern? Dann ist die htaccess-Datei dein Schlüssel. Sie bietet dir volle Kontrolle über wichtige Einstellungen, von Weiterleitungen bis zur Sicherheit.
In diesem Beitrag erfährst du, was die htaccess‑Datei ist, warum sie für WordPress wichtig ist und wie du sie findest oder neu erstellst. Wir zeigen dir Schritt für Schritt, wie du die WordPress htaccess-Datei anlegst, sicher bearbeitest und mit hilfreichen Snippets deine Website absicherst und beschleunigst.
Du möchtest direkt loslegen? Springe zu den Abschnitten Datei finden, Datei erstellen oder Best Practices.
Was ist die .htaccess‑Datei?
Definition
Die .htaccess (HyperText Access) ist eine versteckte Konfigurationsdatei für Apache‑Webserver. Sie ermöglicht dir, serverseitige Einstellungen auf Verzeichnisebene zu ändern, ohne Zugriff auf die globale Serverkonfiguration zu haben. WordPress nutzt diese Datei unter anderem, um Permalinks zu generieren und hat deshalb standardmäßig einen Abschnitt mit Regeln, der zwischen # BEGIN WordPress und # END WordPress liegt. Ändere diesen Bereich nicht, da WordPress die Regeln bei Anpassungen der Permalinks automatisch neu schreibt.
Wesentliche Aufgaben der .htaccess‑Datei:
- Weiterleitungen und Umschreibungen: Mit RewriteEngine On und passenden RewriteRule‑Direktiven leitest du alte URLs auf neue um oder erzwingst HTTPS (mehr dazu später).
- Sicherheitsregeln: Du kannst Zugriffe blockieren, Verzeichnisse mit Passwörtern schützen und sensitive Dateien wie wp-config.php verbergen.
- Performance Tweaks: Durch GZIP‑Kompression, Browser Caching oder das Sperren von Hotlinks lässt sich die Ladezeit reduzieren
Wichtige Aufgaben der htaccess-Datei:
- Weiterleitungen & Umschreibungen – URLs umleiten, HTTP zu HTTPS erzwingen
- Sicherheit – Zugriffe sperren, Passwörter setzen, sensible Dateien schützen
- Performance – GZIP Komprimierung, Browser Caching, Hotlinks blockieren
Wichtig: Die .htaccess Datei entfaltet ihre Wirkung nur auf Apache Servern. Manche Managed Hosts ignorieren .htaccess vollständig. In solchen Fällen nimmst du deine Einstellungen direkt auf dem Server oder im Hosting Dashboard vor. Prüfe deshalb immer zuerst, ob dein Hoster die Nutzung von .htaccess unterstützt.
So findest du die Standard WordPress htaccess-Datei
Die WordPress htaccess-Datei befindet sich im Root Verzeichnis deiner Website, meist public_html, www oder httpdocs. Da Dateien, die mit einem Punkt beginnen, versteckt sind, musst du sie explizit einblenden. So gehst du vor:
Zugriff per FTP
- Verbinde dich mit einem FTP‑Programm wie FileZilla.
- Navigiere in das Root Verzeichnis deiner WordPress Installation.
- Aktiviere die Option zum Anzeigen versteckter Dateien (Server → Force showing hidden files). Danach solltest du die .htaccess sehen.
Zugriff per cPanel oder Webhosting Panel
- Melde dich in deinem Hosting Panel (z. B. cPanel) an.
- Öffne den File Manager und wechsle in das Verzeichnis public_html.
- Über die „Settings“ im Dateimanager kannst du „Show hidden files (dotfiles)“ aktivieren, um die .htaccess einzublenden.
Plugin Lösungen
Wenn du keinen direkten Zugriff auf den Server hast, kannst du Plugins nutzen, die eine grafische Oberfläche für die .htaccess bieten. Beispiele sind WP Htaccess Editor oder All In One WP Security. Diese Plugins erstellen bei Bedarf eine .htaccess und fertigen vor dem Speichern Backups an. Nutze sie jedoch mit Vorsicht und prüfe deine Änderungen anschließend.
Falls du gar keine .htaccess findest, könnte sie noch nicht existieren oder vom Server ignoriert werden. In diesem Fall musst du sie neu erstellen (nächster Abschnitt).
Htaccess WordPress erstellen: Schritt für Schritt erklärt
Bevor du Änderungen vornimmst, erstelle immer eine Sicherheitskopie deiner aktuellen Datei. Selbst kleinste Tippfehler können deine Website lahmlegen!
Methode 1: Über das WordPress Dashboard
Die schnellste Variante, die Standard WordPress htaccess zu erzeugen:
- Melde dich im WordPress Backend an.
- Gehe zu Einstellungen → Permalinks und speichere die Einstellungen, ohne etwas zu ändern.
- WordPress schreibt die notwendigen Umschreiberegeln automatisch in die .htaccess. Falls WordPress keine Schreibrechte besitzt, zeigt es dir den benötigten Code an, den du manuell einfügen kannst.
Methode 2: Manuelle Erstellung per FTP
- Öffne einen Texteditor (z. B. Notepad) und füge den nachfolgenden WordPress .htaccess Default ein. Diese Regeln stammen aus der offiziellen WordPress Dokumentation und sorgen dafür, dass alle Anfragen an die index.php weitergeleitet werden, sofern keine Datei oder kein Verzeichnis existiert.
- Speichere die Datei als „.htaccess“ (achte darauf, dass kein .txt‑Anhang bleibt) und lade sie per FTP in dein Root Verzeichnis hoch.
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Methode 3: Manuelle Erstellung per cPanel
- Öffne den File Manager deines Hosting Panels und wähle „+ File“.
- Benenne die Datei „.htaccess“ und erstelle sie. Anschließend kannst du sie per Editor mit dem oben gezeigten Code befüllen.
Tipps zum sicheren Bearbeiten
- Erstelle ein Backup: Lade deine aktuelle .htaccess herunter oder lege vor Änderungen eine Kopie .htaccess.backup an.
- Bearbeite lokal: Öffne die Datei mit einem reinen Texteditor und füge Änderungen hinzu. Lade sie danach hoch und teste sofort.
- Editiere niemals zwischen # BEGIN WordPress und # END WordPress: WordPress überschreibt diesen Bereich bei jeder Permalink Änderung.
- Beachte die Reihenfolge: Apache verarbeitet Regeln von oben nach unten. Spezifische Regeln sollten daher vor allgemeineren stehen.
WordPress Live Hacking Webinar verpasst? Hol dir jetzt das Recording plus extra Content!
Hast du unser Webinar „Live-Hack einer WordPress Seite & Lösungen für Agenturen“ mit Matthias verpasst? Sichere jetzt das Recording und die wertvollen Follow-up Ressourcen.
WordPress htaccess bearbeiten: Best Practices & nützliche Snippets
Im folgenden Abschnitt findest du praxiserprobte Code Snippets für mehr Sicherheit und bessere Performance. Füge sie vor oder nach dem WordPress Block ein und teste deine Seite nach jeder Änderung. Alle Beispiele nutzen die offizielle Apache Syntax.
Sicherheit
Admin Bereich mit Passwort schützen
Um den Zugang zum /wp-admin‑Verzeichnis zusätzlich abzusichern, erstellst du eine .htpasswd‑Datei mit Benutzernamen und verschlüsseltem Passwort und verweist in der .htaccess darauf :
AuthType Basic
AuthName „Protected Area“
AuthUserFile /path/to/.htpasswd
Require valid-user
Damit fordert der Server beim Aufruf von /wp-admin/ einen Benutzernamen und ein Passwort an. Ersetze /path/to/.htpasswd durch den tatsächlichen Pfad. Beachte, dass dieser Schutz zusätzlich zum WordPress Login greift.
Verzeichniszugriffe einschränken
Standardmäßig listet Apache den Inhalt eines Verzeichnisses auf, wenn keine index.php vorhanden ist. Um zu verhindern, dass Besucher oder Bots deine Ordnerstruktur sehen, füge folgenden Befehl ein:
Options -Indexes
Dieser Einzeiler deaktiviert die Verzeichnisanzeige und führt bei Direktaufrufen zu einem 403 Forbidden. So verhinderst du, dass neugierige Besucher deine Ordner erkunden.
IP‑Sperre für /wp-admin und wp-login.php
Um den Zugang zum Backend nur ausgewählten IP‑Adressen zu erlauben, kannst du diese in der .htaccess whitelisten. Das folgende Beispiel aus der RunCloud Dokumentation zeigt die Umsetzung für moderne Apache Versionen:
<IfModule mod_authz_core.c>
<Location /wp-admin>
Require ip 123.45.67.89
# Require ip 111.222.333.444 ← weitere IPs hinzufügen
</Location>
</IfModule>
<IfModule !mod_authz_core.c>
<Location /wp-admin>
Order deny,allow
Deny from all
Allow from 123.45.67.89
# Allow from 111.222.333.444
</Location>
</IfModule>
Ersetze die Platzhalter durch deine eigene IP‑Adresse. Wenn du dich von wechselnden Standorten anmeldest oder mehrere Nutzer:innen hast, ist diese Methode unpraktisch. Nutze dann lieber Zwei Faktor Authentifizierung oder sichere den Login mit einem Plugin.
Sensible Dateien schützen
Angreifer versuchen häufig, Konfigurationsdateien direkt aufzurufen. Um etwa wp-config.php zu verbergen, füge diesen Block ein:
<Files wp-config.php>
Order Allow,Deny
Deny from All
</Files>
Weitere sensible Dateitypen (SQL‑Backups, Log‑Dateien, Skripte) kannst du mit folgendem Muster sperren:
<FilesMatch „\.(sql|log|conf|bak|ini)$“>
Order allow,deny
Deny from all
</FilesMatch>
XML‑RPC deaktivieren
Der XML‑RPC‑Endpunkt kann für DDoS‑Angriffe missbraucht werden. Wenn du ihn nicht benötigst, blockiere ihn mit wenigen Zeilen:
<Files xmlrpc.php>
Order allow,deny
Deny from all
</Files>
Nutzer:innen vor Klick Jacking schützen
Der HTTP‑Header X‑Frame Options verhindert, dass deine Seite in einem fremden Frame geladen wird (Clickjacking). Setze ihn via .htaccess wie folgt:
Header always set X-Frame-Options „SAMEORIGIN“
Dieser Befehl erlaubt Frames nur vom eigenen Ursprung. Für komplette Deaktivierung aller Frames kannst du DENY anstelle von SAMEORIGIN verwenden.
Mixed Content Warnungen verhindern
Wenn deine Seite per HTTPS ausgeliefert wird, aber interne Ressourcen über HTTP eingebunden sind, erscheint ein Sicherheitshinweis im Browser. Der Content Security Policy Header mit dem Wert upgrade-insecure-requests sorgt dafür, dass alle HTTP‑Anfragen automatisch auf HTTPS umgeschrieben werden:
Header always set Content-Security-Policy „upgrade-insecure-requests;“
Passwortabfrage per .htaccess für einen Ordner
Um einen beliebigen Ordner vor unbefugtem Zugriff zu schützen, kannst du die oben genannte Authentifizierung auch außerhalb von /wp-admin einsetzen. Erstelle eine .htpasswd‑Datei mit Benutzernamen und verschlüsseltem Passwort und füge folgenden Block in die .htaccess des zu schützenden Verzeichnisses ein:
AuthType Basic
AuthName „Geschützter Bereich“
AuthUserFile /absoluter/pfad/.htpasswd
Require valid-user
Damit wird bei jedem Aufruf des Ordners eine Passwortabfrage angezeigt. Kombiniere diese Methode mit IP‑Sperren, um die Sicherheit weiter zu erhöhen.
Performance
GZIP‑Kompression aktivieren
GZIP reduziert die Dateigröße deiner Scripts, Styles und HTML‑Dokumente, bevor sie an den Browser gesendet werden. Füge dazu folgenden Code in deine .htaccess ein:
<IfModule mod_deflate.c>
# HTML, CSS, JS und Schriftarten komprimieren
AddOutputFilterByType DEFLATE text/html text/css text/javascript application/javascript application/rss+xml application/x-font-ttf application/x-font-otf application/vnd.ms-fontobject image/svg+xml
# Browser‑Bugs ausgleichen (nur für alte Browser notwendig)
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent
</IfModule>
Diese Regeln aktivieren die Kompression für häufige Dateitypen. Prüfe anschließend mit Tools wie GTmetrix, ob die Komprimierung aktiv ist.
Browser Caching für statische Inhalte
Caching speichert Dateien im Browser des Besuchers, sodass sie beim nächsten Aufruf direkt geladen werden. Du kannst die Cache Dauer mit dem Cache Control Header steuern. Ein einfaches Beispiel setzt für gängige Dateitypen eine Lebensdauer von 30 Tagen:
<FilesMatch „\.(ico|pdf|flv|jpg|jpeg|png|gif|js|css|swf)$“>
Header set Cache-Control „max-age=2592000, public“
</FilesMatch>
Die Zahl 2592000 entspricht 30 Tagen in Sekunden. Passe den Zeitraum an deine Bedürfnisse an. Alternativ kannst du auch mod_expires verwenden, um für jede Dateiendung eigene Zeiträume zu definieren.
Hotlink Schutz aktivieren
Hotlinking bedeutet, dass andere Websites deine Bilder direkt einbinden und so deinen Traffic verbrauchen. Das folgende Snippet verhindert, dass Bilder auf fremden Domains angezeigt werden. Ersetze deine-seite.de durch deine Domain:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?deine-seite\.de [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Die Bedingung prüft, ob die Anfrage von deiner Domain stammt. Ist das nicht der Fall, gibt der Server einen 403‑Fehler aus.
HTTP → HTTPS‑Weiterleitung
Hast du ein SSL‑Zertifikat eingerichtet, solltest du den gesamten Traffic auf HTTPS umleiten. Hostinger beschreibt dazu folgendes Muster:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Füge diesen Block direkt nach RewriteEngine On ein. Anschließend werden alle HTTP‑Anfragen dauerhaft auf die HTTPS‑Version weitergeleitet.
Sicherheit durch HTTP‑Header
Für zusätzliche Sicherheit können spezielle HTTP‑Header in der .htaccess gesetzt werden:
- Strict Transport Security: Erzwingt HTTPS für ein Jahr und verhindert MitM‑Angriffe. Nutze Header set Strict-Transport-Security „max-age=31536000;includeSubDomains;“.
- X‑Content Type Options: Verhindert das MIME‑Type Sniffing im Browser: Header set X-Content-Type-Options „nosniff“.
- Referrer-Policy: Steuert die Übertragung des Referrer Headers: Header set Referrer-Policy „strict-origin-when-cross-origin“.
Kombiniert erhöhen diese Header die Sicherheit erheblich.
Unser WordPress Speed Test
Prüfe deine Ladezeit und erhalte das Ergebnis per E-Mail! Gemeinsam finden wir die beste Lösung für dich und dein Unternehmen. Oder teste unser WordPress Hosting direkt mehrere Tage kostenlos!
Wie Raidboxes dir mit der WordPress htaccess Datei hilft
Raidboxes ist ein Managed Hosting Anbieter aus Deutschland, der sich ausschließlich auf WordPress spezialisiert hat. Wenn du deine Webseite bei uns betreibst, kannst du dich darauf verlassen, dass Performance, Sicherheit und einfache Bedienung oberste Priorität haben.
Unsere aktuelle Infrastruktur unterstützt die Bearbeitung der WordPress htaccess Datei, während ältere Boxen mit NGINX diese Datei ignorieren. In diesen Fällen übernehmen wir automatisch die Aufgaben, die sonst über .htaccess geregelt würden.
Für fortgeschrittene Anpassungen findest du in unserem Helpcenter eine ausführliche Anleitung zur Nutzung der .htaccess Datei in WordPress.
Daneben erhältst du bei uns automatische Updates, serverseitiges Caching, kostenlose Let’s Encrypt Zertifikate sowie einen Sicherheitsschild mit Web Application Firewall. So musst du dich weniger um Technik kümmern und hast mehr Zeit für Inhalte.
Teste Raidboxes 14 Tage lang kostenlos und überzeuge dich selbst von Performance und Support!
Du willst zu Raidboxes wechseln?
Sprich mit uns! Gemeinsam finden wir die beste Lösung für dich und dein Unternehmen. Oder teste unser WordPress Hosting direkt mehrere Tage kostenlos!
WordPress htaccess optimieren für mehr Sicherheit und Performance
Die .htaccess‑Datei ist ein unscheinbares, aber leistungsstarkes Tool. Du hast gelernt, wie du sie findest, einrichtest und mit wenigen Zeilen Code an deine Bedürfnisse anpasst. Schon der Standard Block sorgt für saubere Permalinks, doch erst zusätzliche Regeln verwandeln deine Seite in eine Festung. Verzeichnisschutz, IP‑Filter und Sicherheits Header erschweren Angriffe; GZIP‑Kompression, Browser Caching und Hotlink Schutz steigern die Geschwindigkeit. Alle Anpassungen solltest du behutsam testen und stets eine Sicherung parat haben.
Wenn du dich lieber auf Inhalte konzentrieren möchtest, kann Managed Hosting wie bei Raidboxes viele Aufgaben abnehmen. Ob du selbst Hand anlegst oder Unterstützung nutzt, jetzt weißt du, wie du das Potenzial der WordPress htaccess Datei ausschöpfst.
Häufig gestellte Fragen zu WordPress htaccess
Wie bearbeite ich die .htaccess‑Datei in WordPress?
Du kannst die WordPress htaccess-File direkt im Root Verzeichnis deines Webspace mit einem FTP-Programm bearbeiten. Achte auf Backups, um Daten und Informationen zu sichern. So kannst du Standard Regeln anpassen und deine Webseite optimieren.
Welche Vorteile bringt mir eine optimierte .htaccess‑Datei?
Eine optimierte htaccess-Datei verbessert Performance mit GZIP-Komprimierung, erhöht die Privatsphäre durch Security Header und sichert den Ordner WP-Admin. Zusätzlich schützt sie sensible Inhalte und erleichtert die Verarbeitung von Affiliate Links und Ausnahmen.
Was gehört in die Standard WordPress htaccess?
Die Standard WordPress htaccess enthält Regeln für Permalinks, leitet http zu https um und schützt wichtige Elemente. Typische Einträge wie RewriteCond und RewriteRule helfen beim Update deiner Webseite, damit System und Inhalte korrekt geladen werden.
Brauche ich eine .htaccess‑Datei?
Ja, die htaccess Datei ist für WordPress auf Apache Webservern unverzichtbar. Sie steuert wichtige Themen wie Sicherheit, Upload Größe und Zugriff auf Ordner WP-Content. Ohne diese Konfigurationsdatei fehlen viele Standard Regeln und Schutzmechanismen.
Wo finde ich .htaccess in WordPress?
Die htaccess-Datei liegt im Root Verzeichnis deiner Webseite. Du erreichst sie über FTP oder cPanel. So schützt du Daten und kontrollierst den Zugriff auf Drittanbietern.
Abonniere den Raidboxes Newsletter!
Wir liefern dir einmal monatlich topaktuelle WordPress Insights, Business Tipps & mehr.
Schreibe einen Kommentar