WordPress Sicherheit – Plugins & weitere Sicherheitsmaßnahmen

WordPress gehört weltweit zu den meistgenutzten CMS. Die große Beliebtheit hat aber zugleich zur Folge, dass WordPress auch zu begehrten Hacker-Zielen gehört. Die Sicherheit der Websites wird vor allem durch folgende Angriffe gefährdet:

Bei diesen Attacken wird das System mit einer hohen Anzahl an Passwort-Kombinationen bombardiert, mit dem Versuch, Zugang zum Adminbereich zu erlangen. In dem Fall hätte der Angreifer die komplette Kontrolle über die Website.

Abhilfe schaffen hier neben Plugins zur Anmelde-Limitierung die Einrichtung starker, komplexer Passwörter.

Angreifer nutzen Crawler, um Webseiten gezielt nach Sicherheitslücken abzusuchen, z.B., wenn sie wissen, dass ein bestimmtes Plugin eine Sicherheitslücke aufweist.

Zwar laufen die meisten Angriffe auf WordPress-Seiten automatisiert. Locken aber viele lohnenswerte Daten, z.B. Zahlungsdaten, investieren Hacker auch die Zeit in manuelle Angriffe.

Auch wenn Sicherheits-Plugins einen großen Anteil am Schutz Eurer Website leisten, solltet Ihr stets generelle Maßnahmen zur Sicherung ergreifen. Dazu gehören:

• starke Passwörter verwenden für Datenbank und Verwaltung

• nicht den Benutzernamen „Admin“ verwenden: Bei automatisierten Angriffen wird automatisch „Admin“ verwendet. Lautet der Benutzername anders, wird der automatische Anmeldeversuch zusaätzlich erschwert.

• nicht genutzte Plugins und Themes IMMER entfernen

• nur vertrauenswürdige Quellen für Themes und Plugins nutzen, am besten nur von: https://wordpress.org

• WordPress-Installation und alle Erweiterungen auf dem aktuellen Stand halten

Die meisten Sicherheits-Plugins für WordPress bieten einen Rundum-Schutz für Eure Website. Sie beinhalten u.a. folgende Schutzmechanismen:

• Scanning nach Malware

• Firewalls

• IP-Adressen sperren

• Benutzeraktionen protokollieren

• WordPress Sicherheitsschlüssel aktualisieren

• Blockade schädlicher Netzwerke

• Zwei-Faktoren-Authentifizierung

Ihr solltet für die Sicherung Eurer Website besser ein multifunktionales Plugin nutzen, statt viele kleinere, zugleich aber darauf achten, inwieweit der Funktionsumfang notwendig ist. Wir haben im Folgenden 5 der meistgenutzten Security-Plugins für WordPress ausgewählt und geben Anhaltspunkte zum Anwendungsumfang.

Dieses Plugin ist besonders gut für WordPress-Einsteiger geeignet, die sich einen Standardschutz wünschen. All in one WP Security & Firewall ist intuitiv und übersichtlich und bietet eine Zusammenstellung der wichtigsten WordPress-Absicherungen, z.B.:

• kleine Firewall

• Überwachung von Benutzern und Registrierungen

• Schutz gegen Brute-Force-Angriffe

Der Schutzstatus wird über einen Score gekennzeichnet. Je höher, desto besser ist Eure Website geschützt.

Ebenfalls gut für WordPress-Einsteiger geeignet ist das iThemes Security Plugin. Im Menü erhaltet Ihr einen Überblick über alle wichtigen Sicherheitseinstellungen, die von leichter bis hoher Sicherheit sortiert sind.

Das Plugin sichert u.a. gegen:

• Brute-Force-Attacken

• Codeeinschleusungen

• Angriffe auf das Backend

• nicht erlaubte PHP Ausführungen

Wordfence gehört eindeutig zu den beliebtesten Sicherheits-Plugins für WordPress. Es funktioniert mit Security Scans, d.h. alle Dateien und Ordner werden regelmäßig gescannt und Ihr erhaltet anschließend eine Benachrichtigung zu den Sicherheitslücken. Das Plugin ist jedoch nur in Englisch erhältlich, sodass es teilweise auch zu Falschmeldungen durch deutsche Dateinamen kommt.

Weiterhin solltet Ihr beachten, dass das Plugin auf den Benutzer-Servern läuft, die beim Scanvorgang überlastet werden können.

Wie Wordfence bietet auch Sucuri Security ständige Sicherheitsscans, sodass Malware und Hackerangriffe frühzeitig erkannt und Abwehrmaßnahmen ergriffen werden.

Für Anfänger bzw. Personen mit wenig WordPress-Erfahrung ist dieses Sicherheits-Plugin jedoch weniger geeignet, da die Analyse der Informationen von Sucuri einiges Fachwissen erfordert.

Das Plugin MalCare verbindet einen großen Funktionsumfang mit leichter Bedienbarkeit und ist daher für WordPress-Benutzer mit geringer technischer Erfahrung gut geeignet. Mit nur einem Klick kann das tägliche automatische Scannen oder sofortiges Scannen ausgelöst werden.

Das Plugin läuft auf externen Servern. Negative Geschwindigkeitsauswirkungen auf die eigene Website sind also nicht zu befürchten.

Egal, für welches Sicherheits-Plugin Ihr Euch entscheidet – denkt bitte immer daran, dass die Erweiterung nur ein Teil einer umfassenden Sicherheitsstrategie für Eure Website ist und nur im Zusammenspiel mit den oben genannten allgemeinen Sicherungsmaßnahmen ein hoher Schutz gewährleistet werden kann.

Weitere Blogbeiträge zum Thema WordPress