Im Bereich der Sicherheit ist „gut genug“ schlichtweg nicht ausreichend. Aus diesem Grund sollten Sie stets auf ein erstklassiges WordPress-Sicherheits-Plugin oder einen entsprechenden Service setzen.
Es ist unbestreitbar, dass Premium-WordPress-Plugins im Allgemeinen einen deutlichen Mehrwert gegenüber kostenlosen Alternativen bieten. Doch selbst unter den Premium-Angeboten gibt es einige, die in ihrer Liga ganz oben spielen. Sie mögen zwar kostspielig sein, doch ihr Einfluss auf Ihr Unternehmen ist einzigartig und jede WordPress-Webseite, die ihren Wert kennt, kann schlichtweg nicht auf sie verzichten.
Dieser Beitrag widmet sich vier dieser außergewöhnlichen Plugins und Dienstleistungen. Bevor wir jedoch tiefer eintauchen, wollen wir einen Schritt zurücktreten und uns mit der komplexen Thematik der Webseitensicherheit auseinandersetzen.
Warum ist Webseitensicherheit so wichtig?
Eine berechtigte Frage.
Es ist nicht immer einfach, sich für Sicherheit zu begeistern, insbesondere wenn Ihr Unternehmen wächst und Ihre Webseite Monat für Monat erfolgreich ist. Nun, Ihre Firma ist zu 100 % digital – diese wenigen Dateien, die irgendwo auf einem öffentlichen Server liegen, machen Ihr Geschäft zu dem, was es ist.
Und ob Sie es glauben oder nicht, es ist ein sehr fragiles Fundament auf dem Ihre gesamte Zukunft ruht. Wöchentlich werden neue Bibliotheken, Software und Funktionen veröffentlicht, doch das Sicherheitsniveau ist im Wesentlichen dasselbe wie vor zehn Jahren (es gibt immer noch viele unangenehme Methoden, um eine Webanwendung zum Absturz zu bringen).
Dies gilt insbesondere für WordPress, das aus Sicherheitsaspekten keine besonders vertrauenswürdige Architektur aufweist.
Das Risiko für Sie als Geschäftsinhaber ist immens – Sie können alles, was Sie über Jahre aufgebaut haben, innerhalb von Sekunden verlieren. Stellen Sie sich vor – das Geschäft kommt abrupt (oder schleichend) zum Stillstand, Kundenbeschwerden und Ärgernis steigen exponentiell und es gibt keine Möglichkeit, dies zu beheben.
Selbst wenn Sie regelmäßige und mehrfache Backups von allem haben und die Seite wiederherstellen können, wird der Schaden an Ihrem Ruf irreversibel sein.
Kurzum: Handeln Sie bitte im Interesse Ihres Unternehmens und seines Ansehens, bevor es zu spät ist. Indem Sie einen oder mehrere der in diesem Artikel vorgestellten Vorschläge umsetzen, können Sie etwa 99 % der Schwachstellen in Ihrer Verteidigungskette eliminieren (was das verbleibende 1 % betrifft, jeder hat sie). Übernehmen Sie die Verantwortung für die Sicherheit Ihrer WordPress-Webseite.
Handeln Sie jetzt!
Genug der eindringlichen Worte, kommen wir nun zu den eigentlichen Empfehlungen. 😜
SUCURI
SUCURI ist eine Cloud-Firewall, ein CDN, Überwachungs- und DDoS-Schutz – alles in einem einzigen Paket.
Es ist ein entkoppelter, plattformunabhängiger Service, der mit jedem CMS oder Web-Setup funktioniert, insbesondere mit WordPress, Joomla, Drupal und Magento.
Werfen Sie einen Blick auf die Preispläne, dort finden Sie großartige Angebote. Besonders hervorzuheben ist der Jahresplan für 199,99 $, der alles Notwendige abdeckt (Hack-Scans, Blacklist-Überwachung, DDoS-Schutz, CDN, SSL, Firewall) und zusätzlich eine Reaktionszeit von zwölf Stunden sowie eine 30-tägige Geld-zurück-Garantie bietet! :-O
Teuer?
Für eine Webseite, die monatlich oder jährlich mehrere Tausend Euro einspielt und durch einen unbedachten, automatisierten Angriff alles verlieren kann? Ganz und gar nicht!
Wordfence
Wordfence ist mittlerweile ein etablierter Name und eines der besten Freemium-Plugins auf dem Markt. Selbst nach über 2 Millionen aktiven Installationen behält es eine nahezu perfekte Bewertung und ist für erfahrene WordPress-Administratoren die erste Wahl.
Doch der wahre Wert dieses Plugins liegt in der Premium-Version. Diese bietet eine überaus nützliche Firewall und herausragende Features (IP-Filterung, Länderblockierung, Backdoor-Scans, um nur einige zu nennen).
Das Tüpfelchen auf dem i ist das Reporting-Dashboard, das direkt in Ihrem WordPress-Admin-Menü zugänglich ist.
Preis? 99 $ pro Webseite und Jahr. Im Ernst, das ist doch ein Witz?!
iThemes Security
iThemes ist ein bekannter Name im Bereich des verwalteten WordPress-Hostings. Sie bieten jedoch auch ein ausgezeichnetes Premium-Sicherheits-Plugin namens iThemes Security an. Es ist ein weiteres Rundum-Sorglos-Paket, das einige einzigartige und nützliche Funktionen beinhaltet. Ich möchte kurz ein paar davon ansprechen.
Dateiveränderungserkennung: Bei WordPress dreht sich (fast) alles um Dateien und deren Inhalt. Wird ein Plugin installiert, fügt es seine Dateien hinzu; wird der Kern aktualisiert, werden etliche Dateien ersetzt usw. Wenn sich also jemand unbefugt Zugriff auf Ihre Webseite verschafft und Schadcode einfügt, ist die Erkennung von Dateiveränderungen eines der ersten Dinge, auf die Sie achten sollten.
404-Erkennung: Die größte Bedrohung für die meisten Webseiten geht nicht von entschlossenen Hackern aus, sondern von Bots, die gedankenlos und unermüdlich ihre Angriffe ausführen. Ein WordPress-Bot, der auf das Hacken spezialisiert ist, beginnt beispielsweise damit, nach Schlüssel-URLs in einem System zu suchen, das möglicherweise kompromittiert ist.
Er könnte beispielsweise nach /admin, /members-only, /private usw. suchen, in der Hoffnung, eine Seite zu finden, die nach einem Passwort-Bruch den Zugriff auf die Seite ermöglicht. Da dieser Bot jedoch nur raten und die Optionen einzeln durchgehen kann, erzeugt er eine Vielzahl von 404-Anfragen (nicht gefunden) auf dem Server.
Mit anderen Worten, er fordert förmlich auf, blockiert zu werden, was iThemes Security sehr gut beherrscht.
Ehrlich gesagt ist die Anzahl der Funktionen zu umfangreich, um sie hier alle zu besprechen. Ich empfehle Ihnen daher, die Webseite zu besuchen und sich selbst ein Bild zu machen.
Wenn Sie ein freiberuflicher WordPress-Entwickler sind, können Sie bis zu 10 Webseiten für 127 $ pro Jahr sichern. Das sind 12,7 $ pro Jahr für eine einzelne Webseite. Unfassbar!
Cloudflare
Zweifellos haben Sie schon von Cloudflare gehört. Es ist einer der Top-Namen (wenn nicht sogar der Top-Name), wenn es um leistungsstarke CDNs geht. Falls Sie sich nicht selbst mit CDNs auseinandergesetzt haben, ist Cloudflare wahrscheinlich das Erste, was Ihnen in den Sinn kommt, oder der erste Name, der empfohlen wird.
Was Sie jedoch vielleicht nicht wissen, ist, dass der Pro-Plan ein branchenführendes Sicherheitsangebot ist, das von Unternehmen wie Discord, Crunchbase, Udacity, ZenDesk und Cisco genutzt wird. Genug der Namen, bevor mein Gehirn explodiert!
Cloudflare ist nicht nur an WordPress gebunden, sondern funktioniert universell. Es ist ein extrem seriöses, leistungsstarkes Angebot für Unternehmen, die in enormen Dimensionen agieren und sich keinerlei Schwäche erlauben können.
Die Pro-Pläne sind zwar kostspielig – die Basisversion startet bei 20 $ pro Monat – aber sie beinhalten großartige Features wie Bild- und mobile Optimierung. Wenn Sie also in einer Größenordnung operieren, in der die Gesetze der (Computer-)Physik außer Kraft gesetzt werden und nur das Beste vom Besten gut genug ist, ist Cloudflare die Lösung.
MalCare
Sorgen Sie für eine malwarefreie WordPress-Webseite mit dem MalCare Plugin.
Angesichts der wachsenden Zahl an Hackern und Spam-Webseiten ist es heutzutage relativ einfach, sich mit diversen Bedrohungen zu infizieren. Daher ist es wichtig, stets vorbereitet zu sein. Glücklicherweise können Plugins wie MalCare Malware sofort von Ihren Webseiten entfernen, entweder manuell oder automatisch, je nach Ihren Präferenzen.
Das Besondere an diesem Plugin ist seine sofortige Einsatzbereitschaft. Und das Beste daran, es wird Ihre Webseite nicht verlangsamen, da die Scans auf den Servern des Anbieters durchgeführt werden.
Selbst wenn Ihre Webseite bereits gehackt und infiziert wurde, kann MalCare sie möglicherweise in weniger als einer Minute reparieren, ohne Ihre sauberen Dateien zu verändern. Da Vorbeugen besser ist als Heilen, kann der Algorithmus selbst die raffiniertesten Bedrohungen erkennen, die sich zu einer erheblichen Gefahr für Ihre Daten und Werte entwickeln könnten. Er blockiert diese in Echtzeit, sobald die Erkennung abgeschlossen ist.
Neben diesen Funktionen gibt es auch Extras, die sich als sehr nützlich erweisen können, wie zum Beispiel:
- Massen-Webseiten-Updates, die Design, Plugins und mehr umfassen
- Absicherung Ihrer Webseite mit bewährten Sicherheitspraktiken
- Zusammenarbeit mit Teammitgliedern für einen besseren Schutz
- Captcha-basiertes Smart Login, um bösartige Bots abzuwehren
Fügen Sie dieses zuverlässige Plugin Ihrer WordPress-Webseite hinzu und lehnen Sie sich entspannt zurück, im Wissen, dass Hacker keine Chance haben, Ihre Vermögenswerte zu manipulieren.
Google Authenticator
Google Authenticator für WordPress ist ein einfaches Plugin, mit dem Sie die Zwei-Faktor-Authentifizierung aktivieren können. Die Authentifizierungs-App ist sowohl für iPhone- als auch für Android-Geräte verfügbar.
Sie können die Zwei-Faktor-Authentifizierung für jeden Benutzer zusätzlich zum regulären Passwort aktivieren.
WP Security Audit Log
WP Security Audit Log hilft dabei, jedes einzelne Ereignis auf Ihrer Webseite zu protokollieren. Es funktioniert auch mit WordPress Multisite. Durch die Nutzung dieses Plugins können Sie Sicherheit und Produktivität gewährleisten und Ihren Workflow optimieren.
Das Plugin hat mehr als 70.000 aktive Installationen und ist ein unverzichtbares Werkzeug für WordPress-Administratoren und Sicherheitsexperten.
Merkmale:
- Verfolgt nahezu jede Aktivität auf Ihrer WordPress-Seite.
- Überwacht Benutzeraktivitäten, wie z. B. Passwortänderungen.
- Die Berichterstattung ist auf Millisekunden genau.
- Zeichnet die IP-Adresse auf.
WPS Hide Login
WPS Hide Login ist ein leichtgewichtiges Plugin, mit dem Sie die Admin-Anmelde-URL Ihrer Seite mühelos ändern können. Deaktivieren Sie das Plugin, und Ihre Seite kehrt wieder in ihren ursprünglichen Zustand zurück.
Das Ändern der Admin-URL ist eine gute Maßnahme, um die Anmeldeseite vor Angreifern zu schützen und automatisierte Brute-Force-Attacken zu vermeiden.
BulletProof Security
BulletProof Security bietet einen Malware-Scanner, eine Firewall, Login-Sicherheit, DB-Backup, Anti-Spam und vieles mehr.
Dieses Plugin verfügt über einen Ein-Klick-Setup-Assistenten, mit dem Sie Ihre Webseite mit wenigen Klicks absichern können.
Highlights:
- MScan Malware Scanner
- .htaccess-Schutz
- Abmeldung bei Inaktivität
- Login-Überwachung, Protokollierung und Sicherheit
- JTC-Spamschutz
- Integrierte Firewall
Das BulletProof-Plugin bietet auch eine PRO-Version mit erweiterter Sicherheitsabdeckung.
Cerber Security
Cerber Security schützt Ihre Webseite vor Hackerangriffen, Spam, Trojanern und Malware.
Reduzieren Sie Brute-Force-Angriffe durch Begrenzung der Anzahl an Anmeldeversuchen über das Anmeldeformular, XML-RPC/REST-API-Anforderungen oder mithilfe von Authentifizierungs-Cookies.
Highlights:
- Erlaubt oder beschränkt den Zugriff über Whitelist und Blacklist von IP-Adressen, IP-Bereichen oder Subnetzen.
- Erkennt automatisch Spam-Kommentare und verschiebt sie in den Papierkorb oder lehnt sie ganz ab.
- Citadel-Modus für massive Brute-Force-Angriffe.
- Schutz vor DDoS-Angriffen.
- Versteckt wp-login.php und wp-signup.php vor möglichen Angriffen.
- Blockiert sofort IP-Adressen oder Subnetze, wenn versucht wird, sich mit einem nicht existierenden Benutzernamen anzumelden.
Das Plugin ist kostenlos.
Block Bad Queries
Block Bad Queries oder BBQ überprüft den gesamten eingehenden Datenverkehr und blockiert unauffällig fehlerhafte Anfragen, die bösartige Befehle wie eval(, base64_ und übermäßig lange Anfragestrings enthalten.
Dies ist eine einfache, aber perfekte Lösung für Webseiten, die keine starke .htaccess-Firewall verwenden können.
Einige der wichtigsten Funktionen sind:
- Hilft bei der Abwehr von SQL-Injection-Angriffen.
- Scannt den gesamten eingehenden Datenverkehr und blockiert fehlerhafte Anfragen.
- Liefert Statistiken wie die Anzahl der Treffer pro Muster und ein Balkendiagramm aller Zähldaten.
- Hilft bei der Blockierung von Directory-Traversal-Angriffen.
Anti-Malware Security und Brute-Force Firewall
Anti-Malware Security und Brute-Force Firewall führen einen vollständigen Scan durch, um bekannte Sicherheitsbedrohungen und Backdoor-Skripte automatisch zu entfernen.
Es bietet eine Firewall, die SoakSoak und andere Malware daran hindert, den Revolution Slider und andere Plugins auszunutzen.
Highlights:
- Deaktivieren Sie XMLRPC.
- Verhindern Sie Brute-Force- und DDoS-Angriffe.
- Integritätsprüfungen von Core-Dateien.
Anti-Malware Security und Brute-Force Firewall ist Open-Source-Software und daher kostenlos nutzbar.
All In One WP Security & Firewall
Das All-In-One-WP-Sicherheit und -Firewall ist ein umfassendes, benutzerfreundliches, stabiles und gut unterstütztes WordPress-Plugin, das Ihrer Webseite zusätzliche Sicherheit und eine Firewall bietet, indem es verschiedene Tools nutzt, die bewährte Sicherheitspraktiken umsetzen.
Highlights:
- Erzwingen, dass nur starke Passwörter erlaubt sind.
- Blockieren Sie schädliche Bots.
- Anmeldesperre basierend auf IP oder Aktion.
- Schutz vor Brute-Force- und XSS-Angriffen.
und vieles mehr.
Fazit
Zusammenfassend lässt sich sagen, dass Sie mit keinem dieser Plugins/Dienste etwas falsch machen können. Für einige funktioniert eine Kombination aus Wordfence und Cloudflare am besten, während andere es bevorzugen, SUCURI zu aktivieren und sich keine Sorgen mehr über massenhaft blockierte Angriffe machen zu müssen.
Mein Rat?
Das Gleiche, was ich immer sage: Überstürzen Sie nichts und nehmen Sie Bewertungen stets mit Vorsicht zur Kenntnis. Auch meine. 😜
Starten Sie mit der kostenlosen/günstigsten Version, testen Sie sie über einen gewissen Zeitraum hinweg in verschiedenen Anwendungsszenarien und wechseln Sie erst dann zu einer anderen Lösung.
Ich wünsche Ihnen eine sichere und erfolgreiche WordPress-Umsetzung! 👍