WordPress Sicherheit – Tipps zu allgemeinen Sicherungsmaßnahmen und Sicherheits-Plugins

Unerlaubte Änderungen am Quellcode, Datenverluste oder Schäden für die Website-Besucher – Angreifer können einer ungeschützten WordPress-Seite großen Schaden zufügen. Im schlimmsten Fall wird die Seite völlig unbrauchbar oder landet auf einer Blacklist.
Interne und externe Sicherungsmaßnahmen haben daher oberste Priorität und sollten ein fester Bestandteil der regelmäßigen Website-Pflege sein.

Wir widmen uns im aktuellen Beitrag den typischen Sicherheitsgefahren für WordPress-Websites, zeigen allgemeine Sicherungsmaßnahmen auf und geben Tipps für WP Security-Plugins.

Die größten Gefahren für die WordPress-Website

WordPress gehört weltweit zu den meistgenutzten CMS. Die große Beliebtheit hat aber zugleich zur Folge, dass WordPress auch zu begehrten Hacker-Zielen gehört. Die Sicherheit der Websites wird vor allem durch folgende Angriffe gefährdet:

Automatische Login-Versuche: Brute-Force-Attacken

Bei diesen Attacken wird das System mit einer hohen Anzahl an Passwort-Kombinationen bombardiert, mit dem Versuch, Zugang zum Adminbereich zu erlangen. In dem Fall hätte der Angreifer die komplette Kontrolle über die Website.

Abhilfe schaffen hier neben Plugins zur Anmelde-Limitierung die Einrichtung starker, komplexer Passwörter.

Sicherheitslücken werden ausgenutzt

Angreifer nutzen Crawler, um Webseiten gezielt nach Sicherheitslücken abzusuchen, z.B., wenn sie wissen, dass ein bestimmtes Plugin eine Sicherheitslücke aufweist.

Manuelle Angriffe

Zwar laufen die meisten Angriffe auf WordPress-Seiten automatisiert. Locken aber viele lohnenswerte Daten, z.B. Zahlungsdaten, investieren Hacker auch die Zeit in manuelle Angriffe.

Allgemeine Tipps zur Sicherheit

Auch wenn Sicherheits-Plugins einen großen Anteil am Schutz Eurer Website leisten, solltet Ihr stets generelle Maßnahmen zur Sicherung ergreifen. Dazu gehören:

• starke Passwörter verwenden für Datenbank und Verwaltung
• nicht den Benutzernamen „Admin“ verwenden: Bei automatisierten Angriffen wird automatisch „Admin“ verwendet. Lautet der Benutzername anders, wird der automatische Anmeldeversuch zusaätzlich erschwert.
• nicht genutzte Plugins und Themes IMMER entfernen
• nur vertrauenswürdige Quellen für Themes und Plugins nutzen, am besten nur von: https://wordpress.org
• WordPress-Installation und alle Erweiterungen auf dem aktuellen Stand halten

Tipps für WordPress Sicherheits-Plugins

Die meisten Sicherheits-Plugins für WordPress bieten einen Rundum-Schutz für Eure Website. Sie beinhalten u.a. folgende Schutzmechanismen:

• Scanning nach Malware
• Firewalls
• IP-Adressen sperren
• Benutzeraktionen protokollieren
• WordPress Sicherheitsschlüssel aktualisieren
• Blockade schädlicher Netzwerke
• Zwei-Faktoren-Authentifizierung

Ihr solltet für die Sicherung Eurer Website besser ein multifunktionales Plugin nutzen, statt viele kleinere, zugleich aber darauf achten, inwieweit der Funktionsumfang notwendig ist. Wir haben im Folgenden 5 der meistgenutzten Security-Plugins für WordPress ausgewählt und geben Anhaltspunkte zum Anwendungsumfang.

All in one WP Security & Firewall

Dieses Plugin ist besonders gut für WordPress-Einsteiger geeignet, die sich einen Standardschutz wünschen. All in one WP Security & Firewall ist intuitiv und übersichtlich und bietet eine Zusammenstellung der wichtigsten WordPress-Absicherungen, z.B.:

• kleine Firewall
• Überwachung von Benutzern und Registrierungen
• Schutz gegen Brute-Force-Angriffe

Der Schutzstatus wird über einen Score gekennzeichnet. Je höher, desto besser ist Eure Website geschützt.

iThemes Security

Ebenfalls gut für WordPress-Einsteiger geeignet ist das iThemes Security Plugin. Im Menü erhaltet Ihr einen Überblick über alle wichtigen Sicherheitseinstellungen, die von leichter bis hoher Sicherheit sortiert sind.

Das Plugin sichert u.a. gegen:

• Brute-Force-Attacken
• Codeeinschleusungen
• Angriffe auf das Backend
• nicht erlaubte PHP Ausführungen

Wordfence

Wordfence gehört eindeutig zu den beliebtesten Sicherheits-Plugins für WordPress. Es funktioniert mit Security Scans, d.h. alle Dateien und Ordner werden regelmäßig gescannt und Ihr erhaltet anschließend eine Benachrichtigung zu den Sicherheitslücken. Das Plugin ist jedoch nur in Englisch erhältlich, sodass es teilweise auch zu Falschmeldungen durch deutsche Dateinamen kommt.

Weiterhin solltet Ihr beachten, dass das Plugin auf den Benutzer-Servern läuft, die beim Scanvorgang überlastet werden können.

Sucuri Security

Wie Wordfence bietet auch Sucuri Security ständige Sicherheitsscans, sodass Malware und Hackerangriffe frühzeitig erkannt und Abwehrmaßnahmen ergriffen werden.

Für Anfänger bzw. Personen mit wenig WordPress-Erfahrung ist dieses Sicherheits-Plugin jedoch weniger geeignet, da die Analyse der Informationen von Sucuri einiges Fachwissen erfordert.

MalCare

Das Plugin MalCare verbindet einen großen Funktionsumfang mit leichter Bedienbarkeit und ist daher für WordPress-Benutzer mit geringer technischer Erfahrung gut geeignet. Mit nur einem Klick kann das tägliche automatische Scannen oder sofortiges Scannen ausgelöst werden.

Das Plugin läuft auf externen Servern. Negative Geschwindigkeitsauswirkungen auf die eigene Website sind also nicht zu befürchten.

Egal, für welches Sicherheits-Plugin Ihr Euch entscheidet – denkt bitte immer daran, dass die Erweiterung nur ein Teil einer umfassenden Sicherheitsstrategie für Eure Website ist und nur im Zusammenspiel mit den oben genannten allgemeinen Sicherungsmaßnahmen ein hoher Schutz gewährleistet werden kann.

Weitere Blogbeiträge zum Thema WordPress

4 Kommentare  |  Kommentar schreiben