#10 So machen Sie ihre WordPress Seite sicherer

Ein Überblick der besten WordPress-Sicherheits-Plugins

Die meisten von uns sorgen sich nicht um die Sicherheit ihrer WordPress-Webseite.

Sicherheit, Backups und Wiederherstellung von Webseiten werden meistens erst ein Thema, wenn es zu spät ist.

Mögliche Probleme zu vermeiden, ehe es zu spät ist, liegt in der Natur des Menschen und wird sich wahrscheinlich nie ändern – für die meisten Menschen jedenfalls. Ich empfehle Ihnen, proaktiv zu sein, wenn es um die WordPress-Sicherheit ihrer Webseite geht.

Wenn Sie nur wenig Zeit für Planung und Vorbereitung aufwenden, können Sie das Risiko erheblich verringern, dass Ihre Webseite gehackt wird.

In diesem Beitrag behandeln wir einige der besten WordPress-Sicherheits-Plugins. Einige der überprüften Plugins bieten eine spezifischere Funktionalität als andere. Bevor Sie eine Auswahl treffen, sollten Sie sicherstellen, dass Sie die Funktionen richtig vergleichen.

Sicherheitslücken in WordPress

Die Anzahl der potenziellen Sicherheitslücken, mit denen WordPress-Webseiten konfrontiert sind, ist tatsächlich viel größer, als die meisten Leute erkennen. Normalerweise denken wir an die offensichtlichen Dinge wie die Verwendung sicherer Kennwörter und die Aktualisierung der WordPress-Kerndateien. Um ehrlich zu sein, diese speziellen Elemente decken nur einen kleinen Prozentsatz der gesamten Schwachstellen ab. Andere Dinge, die berücksichtigt werden müssen, sind:

  • Server-Schwachstellen
  • Theme Sicherheit
  • Plugin-Sicherheit
  • Dateiberechtigungen
  • Sichern bestimmter Dateien (wie WP-Admin und WP-Config und WP-Includes)
  • Datenbanksicherheit
  • Computer-Schwachstellen
  • FTP-Schwachstellen
  • und mehr

Wie Sie sehen, ist die Liste lang und wir haben gerade an der Oberfläche gekratzt. Um es noch komplizierter zu machen, kann kein einziges Plugin wirklich alle Sicherheitslücken abdecken. Und das sollte auch nicht wirklich Ihr Ziel sein, schließlich ist das Verwalten der WordPress-Sicherheit ein Balanceakt. Sie könnten den ganzen Tag damit verbringen, Ihre Webseite abzusichern. Sie haben aber auch ein Geschäft zu gründen bzw. zu führen, richtig?

Wie stellen Sie fest, ob Ihre WordPress-Seite gehackt wurde?

Herauszufinden, ob Ihre WordPress-Seite gehackt wurde, ist nicht immer so einfach, wie Sie vielleicht denken. Es gibt mehrere Möglichkeiten, Ihre Webseite zu bewerten, von denen keine perfekt oder narrensicher ist. Ansonsten kommt es auf einfache alte Detektivarbeit an – und Hacker können ein hinterhältiger Haufen sein.

Das Durchführen regelmäßiger Scans Ihrer Webseite mit kostenlosen Drittanbieter-Services ist eine gute Idee. Die Google Webmaster-Tools sind der beste Startpunkt, da ihre Interpretation Ihrer Webseite den größten Einfluss auf Ihr Ranking innerhalb der SERPs hat. Seien Sie sich jedoch bewusst, dass sogar GWT fehleranfällig ist – eine problemlose Webseite in den Augen von Google kann tatsächlich Probleme haben. Denken Sie auch daran, wie Sie Ihre Webseite indexieren, indem Sie in der Google-Suche “site: deinewebseite.com” eingeben. Durchsuchen Sie eine anständige Auswahl Ihrer Seiten- und Beitragsergebnisse und suchen Sie nach verdächtigem Material.

Ein kostenloser Service wie Sucuri Site Check scannt Ihre Seite kostenlos. In den meisten Fällen wird Sie Sucuri auf Anzeichen von Malware, Spam-Injektionen, Verfälschung oder Blacklisting aufmerksam machen. Alternativ gibt es auch kostenpflichtige Dienste wie CodeGuard, die Ihre Webseite täglich sichern und Sie auf Änderungen aufmerksam machen.

Schließlich ist es immer eine gute Idee, Ihr Google Analytics-Konto auf ungewöhnliche Dinge zu überwachen. Obwohl GA heutzutage ein wenig schwierig sein kann, wenn der Datenverkehr zu Verkehrsspitzen führt, sollten Sie die langfristigen Muster weiterhin im Auge behalten. Die Überwachung der Bandbreitennutzung durch den CPanel Ihres Hosts ist ebenfalls ratsam.

Eine Übersicht der besten WordPress-Sicherheits-Plugins

Wenn Sie Ihre Webseite vor den häufigsten Sicherheitsbedrohungen für WordPress schützen, befinden Sie sich in einer viel besseren Position als die meisten anderen Webseiten. Die große Mehrheit der Webseitenbesitzer macht sich erst zu spät Gedanken über die Sicherheit.

Glauben Sie nicht, dass Sie eine 100% sichere Webseite erreichen können – das ist einfach nicht realistisch. Setzen Sie sich stattdessen ein vernünftigeres Ziel, Ihr Risiko zu begrenzen und vor einigen der häufigsten Bedrohungen zu schützen.

Denken Sie daran, dass der Schutz vor nicht-zielgerichteten Angriffen immer einfacher ist, da sie automatisiert sind und normalerweise nach allgemeinen Schwachstellen suchen. Gezielte Angriffe sind viel schwieriger vor Angriffen zu schützen, da Ihre Webseite gegenüber dem Hacker ist. Immer wenn Sie eine Person haben, die bereit ist, sich die Zeit für die Analyse Ihrer spezifischen Webseite auf Schwachstellen zu nehmen, besteht ein erhöhtes Risiko.

iThemes Security

iThemes Security ist in einer kostenlosen und kommerziellen Versionen erhältlich

Als eines der beliebtesten WordPress-Sicherheits-Plug-Ins bietet iThemes Security sowohl eine kostenlose als auch eine Premium-Version. Dies bedeutet, dass es wirklich keine Entschuldigung dafür gibt, Ihre derzeitige Sicherheitssituation nicht zu verbessern. Die verschiedenen Preisoptionen stehen zur Verfügung:

  • $ 80 USD / Jahr für 2 Webseiten + 12 Monate Support und Updates
  • $ 100 / Jahr für 10 Webseiten + 12 Monate Support und Updates
  • $ 150 US-Dollar / Jahr für unbegrenzte Webseiten und 12 Monate Support und Updates

 iThemes kann die häufigsten Sicherheitsbedrohungen abdecken, darunter:

  • Brute-Force-Schutz.
  • Überwachen Sie Kerndateien auf Änderungen.
  • Sowohl die Login- als auch die Admin-Seite werden ausgeblendet.
  • Benutzer, die ihren Benutzernamen oder ihr Passwort zu oft falsch eingeben, werden gesperrt.
  • Zwei-Faktor-Identifikation
  • Benutzeraktionen protokollieren
  • Erzwingen der Verwendung sicherer Kennwörter für bestimmte Benutzerrollen und Dateiberechtigungen.
  • Ticketing-Support steht auch allen professionellen Benutzern zur Verfügung.

Mit mehr als 30 verschiedenen Möglichkeiten, mit denen iThemes die Sicherheit Ihrer Webseite verbessert, sollten Sie einige Dinge beachten, bevor Sie einsteigen. Wenn Sie das Plugin auf einer vorhandenen Webseite installieren, besteht die Möglichkeit, dass einige Änderungen die Funktionalität deiner Webseite beschädigen können. Von besonderem Interesse sind die Änderungen an der Datenbank und die Änderung des Pfads Ihres WP-Inhaltsverzeichnisses. Als Vorsichtsmaßnahme sollten Sie sicherstellen, dass Sie eine Sicherungskopie Ihrer Webseite erstellen, bevor Sie das Plugin aktivieren oder neue Funktionen aktivieren.

Wordfence

Wordfence kann Ihre Webseite auch kostenlos schützen

Wordfence ist das zweite Sicherheits-Plugin auf unserer Liste, das sowohl eine kostenlose als auch eine Premium-Version enthält. Je nachdem, wie viele Lizenzen Sie erwerben und wie lange jede Lizenz gültig ist, kann Wordfence einige recht starke Rabatte anbieten. Während eine 1-Jahres-Lizenz für eine Seite beispielsweise 39 US-Dollar kostet, kostet eine 5-Jahres-Lizenz nur 29,25 US-Dollar pro Jahr. Wenn Sie mehrere Webseiten betreiben oder Lizenzen für Kundenwebseiten erwerben, können Sie 10 Lizenzschlüssel für 12 Monate zu einem Preis von je 16,90 US-Dollar erwerben. Wie Sie sehen, sinken die Kosten bei größerem Volumen erheblich.

Wordfence ist mehr als nur ein eigenständiges Plugin – Wordfence-Server werden Ihre Seite in regelmäßigen Abständen (kostenlose Version) oder in benutzerdefinierten Intervallen nach Dateiänderungen, Code-Injektionen, Malware oder bekannten Backdoors durchsuchen. Die Premium-Option bietet erweiterte Scan-Optionen, mit denen Sie Scans mit geringem Verkehrsaufkommen koordinieren können.

Mit einem etwas anderen Ansatz als iThemes Security ist Wordfence auf die folgenden Aufgaben spezialisiert:

  • Scannen nach Dateiänderungen
  • IP-Adressen blockieren
  • Zwei-Faktor-Authentifizierung
  • Ländersperren und Länderumleitungen
  • Benutzerdefinierte Benachrichtigungen

Wie Sie sehen, trägt Wordfence viel dazu bei, die Sicherheit Ihrer Webseite zu verbessern. Es bietet einige andere Funktionen als die anderen Plugins, die in diesem Beitrag behandelt werden und es besteht ein geringeres Problemrisiko im Vergleich zu anderen Plugins.

All in One WP Security

All in One ist eine sehr beliebte kostenlose Option

Als das wahrscheinlich beste kostenlose WordPress-Sicherheitstool zeigt All in One WP Security derzeit über 200.000 Installationen (im Vergleich zu iThemes 600K). Mithilfe eines praktischen Abstufungssystems können Sie mit diesem Plugin relativ leicht erkennen, in welchen Bereichen die Sicherheit Ihrer Webseite verbessert werden muss. Das Haupt-Dashboard verfügt über eine Anzeige, die Ihre aktuelle Sicherheitsstufe zwischen 0 und 470 einordnet, je nachdem, wie viele Funktionen derzeit aktiviert sind.

Mit diesem Plugin besteht allerdings auch die Gefahr, dass Ihre Webseite beschädigt oder in ihrer Funktionen eingeschränkt wird. Um die Wahrscheinlichkeit dieses Ereignisses zu verringern, haben sie drei Kategorien von Änderungen implementiert – grundlegende, mittlere und fortgeschrittene. Die grundlegenden Funktionen lassen sich relativ sicher aktivieren, während die mittleren und fortgeschrittenen Einstellungsmöglichkeiten evtl. die Funktionalität Ihrer Webseite beeinträchtigen. Wenn etwas schief geht, gibt es detaillierte Anweisungen zur Behebung des Problems, aber es ist immer noch eine gute Idee, auf der Seite der Vorsicht zu bleiben.

Jede primäre Sicherheitsfunktion ist in einem eigenen Untermenü enthalten und wird durch eine detaillierte Beschreibung unterstützt, sodass Sie genau wissen, was Sie ändern. Die umfangreiche Liste von Sicherheitsfunktionen umfasst:

  • Die Fähigkeit, die WP Meta-Informationen zu deaktivieren
  • Überwachung der Benutzerkonten auf offensichtliche Schwachstellen
  • Schutz vor Brute-Force-Anmeldeangriffen, der umfassender ist als das Plug-In für Anmeldeversuche
  • Eine Einstellung, bei der Sie die Registrierung neuer Benutzer manuell genehmigen müssen Datenbankpräfixverwaltung
  • Schutz bestimmter Dateien, einschließlich der Möglichkeit, PHP-Dateien vom Dashboard aus zu bearbeiten
  • Blacklisting von Benutzern basierend auf ihrer IP-Adresse oder einem Bereich von IP-Adressen
  • Grundlegender Firewall-Schutz
  • Ändern der URL der Anmeldeseite, Cookie-basierte Anmeldungen sowie Captchas und Whitelists
  • Kommentar Spamschutz
  • Erkennung von Dateiänderungen
  • Deaktivieren Sie das Kopieren von Text und die Verwendung Ihrer Webseite in einem iFrame

Sucuri Security

Sucuri bietet Scannen und Überwachen an

Sucuri bietet ein kostenloses Plugin an, das im WordPress-Repository verfügbar ist. Ähnlich wie das kostenlose webbasierte Scan-Tool von Sucuri, wurde das Plugin vor allem dazu entwickelt, Sie auf mögliche Probleme mit Ihrer Webseite hinzuweisen. Es gibt vier Hauptbereiche, bei denen dieses Plugin helfen kann:

Die erste betrifft das Überwachen und Aufzeichnen aller Aktivitäten in Ihrer WordPress-Installation. Sucuri versucht, ein genaues Protokoll darüber zu führen, wer was wann macht. Diese spezielle Funktion entspricht einer Sicherheitskamera, die überwacht, was auf Ihrer Webseite passiert – welche Benutzer sich anmelden und was sie tun, während sie sich dort aufhalten.

Ein weiteres wichtiges Merkmal von Sucuri Security ist die Überwachung aller Dateien, einschließlich WP-Core, Themes und Plugins. Wenn Sie diese Funktion ordnungsgemäß verwenden möchten, müssen Sie sicherstellen, dass das Plugin auf einer sauberen Webseite installiert wird. Sobald das Plugin aktiviert ist, erstellt es eine Momentaufnahme aller Dateien unter der Annahme, dass sie bekanntermaßen gut sind. Ab diesem Zeitpunkt werden Sie über alle Änderungen informiert – einschließlich des Hinzufügens neuer Dateien.

Die Überwachung von Malware und Sperrlisten wird vom kostenlosen Scanner von Sucuri bereitgestellt. Sie können auch feststellen, ob Ihre Webseite zu einer der vielen Blacklist-Engines hinzugefügt wurde.

Schließlich hilft Ihnen das Plugin auch, einige der grundlegenden, aber entscheidenden Schritte zu unternehmen, um Ihre Webseiten-Sicherheit zu verbessern. Dazu gehören:

  • Entfernen der WordPress-Versionsinformationen
  • Schützt das Upload-Verzeichnis vor dem Durchsuchen und der PHP-Ausführung
  • Einschränkung des Zugriffs auf WP-Inhalte und WP-Includes
  • Überprüfen Sie Ihre Sicherheitsschlüssel
  • Beschränken des Zugriffs auf den Datei-Editor mit dem WordPress-Dashboard.

BulletProof Security

Obwohl ihre Webseite etwas veraltet ist, ist BulletProof Security mit über 100.000 Downloads weiterhin ein beliebtes WordPress-Sicherheits-Plugin im Repository. BPS bietet zwei Versionen ihres Plugins an – kostenlos und kostenpflichtig. Die kostenpflichtige Version ist ein einmaliger Kauf von 59,95 US-Dollar und umfasst lebenslange Updates und technischen Support sowie unbegrenzte Installationen.

Die Liste der in BulletProof Security enthaltenen Funktionen ist zu lang, um sie aufzuführen.

  • Ein einfaches Ein-Klick-Setup
  • Htaccess-Schutz gegen XSS-, RFI-, CSRF-, Base64-, SQL-Injection- und andere Hacking-Versuche
  • Anmeldesicherheit und -überwachung, einschließlich maximaler Anmeldeversuche und Sperrzeit
  • Datenbank-Backups
  • Änderungen des Datenbankpräfixes
  • Dateiüberwachung und Quarantäne hochgeladener Dateien
  • E-Mail-Benachrichtigungen für verschiedene Benutzeraktionen
  • Vieles mehr

Obwohl ihre Webseite veraltet scheint, sind ihre Supportforen im WordPress-Repository aktiv, und die Fragen der Benutzer scheinen schnell beantwortet zu werden.

Fazit

Wenn Sie Sicherheitsmaßnahmen ergreifen, um Ihre WordPress-Seite zu schützen, kann dies als proaktiv betrachtet werden und wird Sie in eine bessere Position bringen als jemand, der nichts dagegen unternimmt. Es gibt mehrere hochwertige Sicherheits-Plugins, die alle dazu beitragen, Ihre Webseite sicherer zu machen – einschließlich der kostenlosen Versionen.

Obwohl es keine 100% ige Sicherheit einer Webseite gibt, ist es immer besser Vorsichtsmaßnahmen zu treffen. Selbst wenn ein Sicherheits-Plugin installiert ist, ist es dennoch wichtig, auf ungewöhnliche Ereignisse auf Ihrer Webseite zu achten, die auf ein Problem hinweisen könnten. Denken Sie auch daran, dass ein höherer Bekanntheitsgrad Ihrer Webseite das Risiko eines gezielten Angriffs erhöht.

Link zum Originalartikel

zurück

weiter